Paul Fleet - Fotolia
La mayoría de organizaciones no tienen planes de respuesta ante incidentes
La mayoría de las empresas carecen de planes de respuesta a incidentes, otras no los prueban y casi la mitad no cumplen con GDPR, pero algunos reportan mejoras en la seguridad a través de la automatización, según un estudio.
La mayoría de las organizaciones aún no están preparadas para responder adecuadamente a los incidentes de seguridad cibernética, con el 77% de más de 3.600 profesionales de seguridad y TI encuestados indicando que no tienen un plan de respuesta a incidentes de seguridad cibernética (CSIRP) aplicado de manera coherente en toda la empresa.
En el Reino Unido, el 75% de los encuestados dijo que no tiene un CSIRP consistente en toda la empresa, que es solo un poco mejor que el promedio global, según el estudio Organización ciber resiliente de 2019, realizado por el Instituto Ponemon y patrocinado por IBM Resilient.
En el Reino Unido, el 28% de los encuestados dijo que tenía un CSIRP, pero no se aplica de manera consistente; el 25% dijo que su CSIRP era "informal" o "ad hoc", y el 23% dijo que no tenía un CSIRP.
El Instituto Ponemon observó que, si bien los estudios muestran que las empresas que pueden responder rápida y eficientemente para contener un ataque cibernético dentro de los 30 días ahorran más de 1 millón de dólares en el costo total de una brecha de datos en promedio, las deficiencias en una adecuada planificación de respuesta a incidentes de seguridad cibernética se ha mantenido consistente en los últimos cuatro años del estudio.
De las organizaciones que tienen un plan implementado, más de la mitad (54%) no prueban sus planes regularmente, dejándolas menos preparados para administrar de manera eficaz los procesos complejos y la coordinación que debe tener lugar después de un ataque.
Sin embargo, el estudio mostró que a las empresas del Reino Unido les fue un poco mejor que el promedio global, con 45% de las empresas con un CSIRP instalado que dijeron que no lo probaron regularmente o en absoluto.
Esto significa que solo el 25% de las organizaciones del Reino Unido tienen CSIRP en toda la empresa y solo el 55% de esos planes se prueban regularmente, a pesar del hecho de que, en los últimos dos años, el 56% de las organizaciones del Reino Unido encuestadas dijeron que habían experimentado una violación de datos, 62% dijo que había sufrido un incidente de seguridad cibernética, y el 51% dijo que había visto frecuentes interrupciones en los procesos de negocios o TI.
De las organizaciones del Reino Unido que experimentaron una violación de datos, el 50% dijo que experimentaron dos o tres incidentes en el último año, y de las organizaciones que experimentaron un incidente de seguridad cibernética, el 19% había experimentado más de cinco.
A pesar de que la mayoría de las organizaciones del Reino Unido (70%) dicen que la gravedad de los incidentes ha aumentado y el 61% dice que el volumen de incidentes ha aumentado, el 48% cree que su capacidad de recuperación ha mejorado. Específicamente, el 26% dijo que el tiempo para detectar, contener y responder a incidentes ha aumentado, y el 30% dijo que ha aumentado "significativamente".
Cumplimiento GDPR
El estudio muestra que la dificultad continua que enfrentan los equipos de seguridad cibernética al implementar un plan de respuesta a incidentes de seguridad cibernética también ha afectado el cumplimiento de las empresas con el Reglamento General de Protección de Datos (GDPR) de la UE.
Casi la mitad de los encuestados globales (46%) dice que su organización aún no se ha dado cuenta del cumplimiento total de GDPR, incluso cuando se acerca el primer aniversario de la legislación.
El estudio también mostró que la automatización en la respuesta sigue emergiendo, con solo el 23% de los encuestados globales y solo el 18% de los encuestados del Reino Unido que dicen que su organización utiliza significativamente tecnologías de automatización, como la gestión de identidades y autenticación, las plataformas de respuesta a incidentes, y las herramientas de información de seguridad y gestión de eventos (Siem), en su proceso de respuesta.
Sin embargo, las organizaciones con un uso extenso de la automatización califican su capacidad para prevenir (69% frente a 53%), detectar (76% frente a 53%), responder (68% frente a 53%) y contener (74% frente a 49%) un ataque cibernético como superior a la muestra global de encuestados.
El uso de la automatización es una oportunidad perdida para fortalecer la resiliencia cibernética, ya que las organizaciones que implementan completamente la automatización de seguridad ahorran $1.55 millones en el costo total de una violación de datos, según el informe, en contraste con las organizaciones que no usan la automatización y obtienen un costo total mucho mayor de una violación de datos, de acuerdo con el estudio Costo de una violación de datos de 2018.
En el Reino Unido, el estudio encontró que el 68% de los encuestados dijo que los líderes reconocen que la resiliencia cibernética afecta los ingresos, el 65% dijo que los líderes reconocen que la automatización, el aprendizaje automático, la inteligencia artificial y la orquestación fortalecen la resistencia cibernética, y el 52% dice que los líderes reconocen que la resiliencia cibernética afecta la marca y reputación.
La brecha en las habilidades de seguridad cibernética está socavando aún más la resiliencia cibernética, según el informe, porque las organizaciones no tienen suficiente personal y no pueden administrar los recursos y las necesidades de manera adecuada. Los participantes de la encuesta dijeron que carecen del personal necesario para mantener y probar sus planes de respuesta a incidentes adecuadamente y que están enfrentando 10-20 asientos libres en los equipos de seguridad cibernética.
Solo el 30% de los encuestados globales informaron que la dotación de personal para la seguridad cibernética es suficiente para lograr un alto nivel de resiliencia cibernética, y aproximadamente tres cuartos de los encuestados del Reino Unido y del mundo califican su dificultad para contratar y retener personal de seguridad cibernética como moderadamente alto a alto.
Además de la brecha de habilidades, casi la mitad de los encuestados globales (48%) y un tercio de los encuestados del Reino Unido dijeron que su organización implementa demasiadas herramientas de seguridad separadas, lo que en última instancia aumenta la complejidad operativa y reduce la visibilidad en la postura general de seguridad.
La colaboración mejora la resiliencia
Las organizaciones finalmente reconocen que la colaboración entre la privacidad y la seguridad cibernética mejora la resistencia cibernética, según el informe, con un 62% que indica que alinear los equipos es esencial para lograr la resiliencia. La mayoría de los encuestados cree que la función de privacidad se está volviendo cada vez más importante, especialmente con el surgimiento de nuevas regulaciones, como el GDPR y la Ley de Privacidad del Consumidor de California, y están priorizando la protección de datos al tomar decisiones de compra de TI.
"No planificar es un plan para fallar cuando se trata de responder a un incidente de seguridad cibernética", dijo Ted Julian, vicepresidente de gestión de productos y cofundador de IBM Resilient. “Estos planes deben someterse a pruebas de estrés con regularidad y necesitan el apoyo total de la junta para invertir en las personas, los procesos y las tecnologías necesarias para sostener dicho programa. Cuando la planificación adecuada se combina con las inversiones en automatización, vemos compañías capaces de ahorrar millones de dólares durante un incumplimiento".
El informe recomendó que las organizaciones inviertan en automatización para reducir la complejidad y optimizar su infraestructura de TI, señalando que demasiadas soluciones y tecnologías de seguridad innecesarias pueden reducir la resiliencia cibernética.
El informe también recomendó implementar un CSIRP ampliamente en toda la empresa para aumentar la probabilidad de prevenir un ataque y reducir el tiempo para detectar, contener y responder a un ataque.