Por segundo año consecutivo, un 75 % de los participantes de la encuesta de RSA “Indice de pobreza de seguridad cibernética”, reconoce estar expuesto a un alto riesgo de seguridad cibernética.
Entre las fallas destacan el subdesarrollo de las capacidades de respuesta a incidentes (IR), ya que casi la mitad de las organizaciones definió sus capacidades básicas de IR como “ad hoc” o “inexistentes”, sin embargo, suelen acelerar los programas de refuerzo de sus capacidades de seguridad cibernética una vez que han experimentado un incidente de ese tipo que impacta en el negocio.
La encuesta también mostró que las organizaciones siguen teniendo dificultades para mejorar la seguridad cibernética porque no comprenden la manera en que los riesgos cibernéticos pueden afectar sus operaciones.
Existe mucha evidencia de que las empresas tienden a postergar las inversiones en seguridad cibernética hasta que se ven afectadas. Además, las empresas que se basan principalmente en una filosofía de defensa del perímetro están en desventaja en términos de detección de actividad maliciosa y corren el riesgo de exponer activos críticos del negocio.
Los resultados del índice de pobreza de seguridad cibernética de RSA reforzaron este concepto, ya que se informa que las organizaciones que detectan y sufren incidentes de seguridad con frecuencia tienen un 65 % más de probabilidades de contar con capacidades desarrolladas o privilegiadas. Esto demuestra que las organizaciones que lidian regularmente con incidentes de seguridad aceleran las iniciativas de fortalecimiento de los programas de seguridad y desarrollan más madurez.
Las organizaciones deben enfocarse en llevar a cabo estrategias preventivas y en priorizar la mejora de estas capacidades por sobre otras cuya importancia está creciendo, como las capacidades de detección y respuesta.Uno de los cambios más significativos respecto de la encuesta de 2015 es el aumento en la cantidad de organizaciones con programas de seguridad cibernética maduros.
El porcentaje de organizaciones con capacidades privilegiadas (la categoría más alta) tuvo un incremento superior al 50 % respecto del índice anterior, de 4.9 % a 7.4 %. Pero la percepción general de las organizaciones sobre su preparación de seguridad cibernética sigue siendo insuficiente. La cantidad de participantes que afirmó tener un nivel considerable de exposición a riesgos de seguridad cibernética se mantuvo estable en casi un 75 %, lo que refleja una disparidad cada vez mayor entre lo que se debe hacer y lo que no se debe hacer en términos de preparación de seguridad.
El segundo índice de pobreza de seguridad cibernética anual de RSA, que compila los resultados de la encuesta realizada a 878 participantes en 81 países y más de 24 sectores industriales, contó con más del doble de encuestados que el año pasado y permitió que los participantes autoevaluaran la madurez de sus programas de seguridad cibernética usando el marco de seguridad cibernética de NIST (CSF) como parámetro de medición.