putilov_denis - stock.adobe.com
La poca conciencia de seguridad sigue siendo un reto enorme
Si bien 95% de empresas mexicanas cuenta con un plan de manejo de incidentes, hay una profunda falta de conciencia de seguridad entre sus colaboradores de TI, señala una encuesta de OTRS Group.
Este año 2023, las compañías mexicanas enfrentarán la gigantesca tarea de prepararse para el nivel de amenazas en el ciberespacio, que se ha elevado aún más desde el comienzo de la guerra en Ucrania. Sin embargo, existen grandes retos para los equipos de TI del país, el primero de los cuales es atacar la falta de awareness cuando se trata de amenazas graves que acechan la seguridad.
Para empezar, casi la mitad de los equipos de seguridad en México (47 %) ha tenido dificultad para aplicar parches por usar una versión antigua de software –porcentaje que apenas ha bajado desde 2021 (48 %)– porque la mayoría ni siquiera sabía que había una nueva versión disponible (60 %) o porque no conocían las consecuencias de no utilizar la última versión del software (34 %). Así lo reflejan los datos de la segunda parte del estudio “OTRS Spotlight: Corporate Security”, llevado a cabo por la empresa de software OTRS Group, en colaboración con la compañía de investigación de mercado Pollfish.
Además, a pesar de que, en México, un 95% de las empresas cuenta con un plan de manejo de incidentes –y que cerca de dos tercios (62 %) ha encontrado particularmente útil optimizar sus esfuerzos de seguridad de TI para evitar consecuencias más graves, y casi la mitad (48 %) ha encontrado útil documentar y estructurar los incidentes–, solo un tercio (35 %) sabe cómo actuar de acuerdo con ese plan.
A estos desafíos se une la necesidad de las compañías por ahorrar costos en las soluciones que ya se encuentran en uso.
"Todos los días, los nuevos ataques a los departamentos de TI de las compañías de todas las industrias y tamaños se difunden públicamente. Sin embargo, muchas optan por ignorar este problema y no proporcionan a sus equipos de TI y seguridad los medios necesarios para protegerse lo mejor posible contra los ciberataques ni para prepararse para el peor escenario, ya sea porque subestiman la amenaza o porque no desean realizar las inversiones necesarias”, señala Christopher Kuhn, director de operaciones de OTRS Group y director general de OTRS Inc. "Estas compañías están jugando con fuego. Escatimar en herramientas técnicas de seguridad de TI es igual a un departamento de bomberos sin camión de bomberos. Las herramientas no podrán coartar todos los intentos de ataque, pero mitigarán el daño”.
Beneficios de usar SIEM, SOAR y gestión de vulnerabilidades
Como parte de los procesos de gestión de incidentes, las empresas están utilizando herramientas tecnológicas de apoyo como el software de orquestación, automatización y respuesta de seguridad (SOAR, por sus siglas en inglés). Pero estas soluciones se utilizan menos en México (40 %) que en otros países de América Latina, como Brasil (54 %), o a nivel mundial, como Estados Unidos y Singapur, donde 65 % usan SOAR.
A pesar de la baja tasa de uso, los beneficios de herramientas como las de SOAR parecen ser claros para la mayoría del personal de seguridad de TI en México que participó en la encuesta, realizada entre 500 empleados de equipos de seguridad de TI en todo el mundo, incluyendo cien de México. Así pues, el 40 % de los encuestados que no usan SOAR actualmente indican que planean incorporar el software en un futuro. El retorno de la inversión es prometedor: dos tercios de los participantes a nivel mundial (66 %) que ya usaban SOAR afirman que les ha simplificado trabajar con TI, y más de la mitad (56 %) confirman que los protege contra los impactos de los incidentes de seguridad futuros.
A pesar de sus beneficios, 17 % de las empresas en México no tienen planes de incorporar SOAR a corto plazo, y hay un 3 % que no sabe si ya utilizan o planean incorporarlas.
Además, la encuesta encontró que en el país norteamericano se utilizan más las herramientas de seguridad de la información y gestión de eventos (SIEM, por sus siglas en inglés) (67 %) y de gestión de vulnerabilidades (82 %), de modo semejante al promedio de uso mundial (77 % y 81 %, respectivamente). Las herramientas de gestión de vulnerabilidades ayudan principalmente a quienes ya usan alguna solución para resolverlas y mejorar la protección (72 %), para estructurarlas y documentarlas (61 %) y para detectar las vulnerabilidades más rápido (51 %).
Los proveedores gubernamentales ganan confiabilidad
Otro hallazgo de la encuesta de OTRS Group es el cambio en el uso de diferentes fuentes de información sobre vulnerabilidades respecto al 2021. Más de la mitad (56 %) de los equipos de seguridad mexicanos obtienen actualmente información sobre vulnerabilidades de las listas de correo (mailings) y de las listas de fallas de seguridad informática divulgadas públicamente y por instituciones gubernamentales de otros países (50 %). La tercera fuente en importancia son los proveedores gubernamentales (27 %), que ha aumentado un 286 % comparado con el 2021, cuando solo 7 % de los departamentos de TI en México utilizaban al gobierno como fuente confiable. En último lugar quedaron las consultas a través de vendedores (23 %) y proveedores comerciales (21 %).
Finalmente, cuando se trata de mapear sus procesos de seguridad como parte de la gestión de incidentes de seguridad, las empresas en México por lo general combinan varias infraestructuras. La gran mayoría (66 %) utiliza las normas ISO/IEC 27035, seguidas por CERT (17 %), NIST (15 %) y KRITIS (11 %). Un enorme 10 % no utiliza ninguna infraestructura para mapear sus procesos de seguridad.
"La gran mayoría de las compañías ya cuentan con las bases para una buena seguridad de TI. Ahora es importante aplicar y profundizar esas bases, ya que los planes de gestión de incidentes no bastan por sí solos para comportarse de manera segura y, por lo tanto, para proteger la empresa a largo plazo”, dice Christopher Kuhn. "Por una parte, el foco debe colocarse en difundir las fuentes de riesgos de seguridad y las medidas preventivas necesarias en toda la compañía. Por otra, los ejecutivos no deberían dudar en invertir en herramientas para ayudar a su equipo a incrementar la seguridad y a reaccionar rápida y eficazmente ante una emergencia”, concluye.