Un nuevo estudio de Tenable dice que el 94% de las organizaciones experimentaron un ciberataque o un compromiso con impacto en el negocio en los últimos 12 meses; El 46% resistió cinco o más ataques.
Imagen: Forrester / Tenable
A medida que los actores de amenazas cobran impulso con un ataque continuo de malware relacionado con COVID-19 y estafas de phishing, los líderes de seguridad y comerciales están preocupados por el impacto en la empresa. Según un nuevo informe de Tenable, el 94% de los encuestados experimentaron un impacto empresarial ataque cibernetico en el último año, y el 46% de las empresas sufrieron cinco o más ataques.
Una de las causas señaladas fue una desconexión entre el negocio y la seguridad de una organización, y se vio agravada por el brote de COVID-19:
- En abril, el 41% de los encuestados tuvo al menos un ciberataque directamente relacionado con COVID-19 en los últimos 12 meses.
- El informe encontró que el 96% de los encuestados desarrollaron estrategias de respuesta COVID-19: el 75% de los líderes empresariales y de seguridad dijeron que sus estrategias de respuesta COVID-19 están “algo” alineadas
- En dos años, el 77% de los ejecutivos espera que aumenten los ciberataques
VER: Seguridad de confianza cero: una hoja de trucos (.) (TechRepublic)
Un “programa de seguridad debe incluir la identificación de todos los activos en todos los entornos informáticos y la comprensión de la exposición de cada uno, incluidas las vulnerabilidades, las configuraciones incorrectas y otros indicadores de salud de seguridad”, dijo Nathan Wenzler, estratega jefe de seguridad de Tenable.
Impacto de los ciberataques
Los ciberataques pueden tener un efecto importante en la empresa, afectando no solo las operaciones diarias, sino que pueden dañar permanentemente la reputación de una empresa si no se abordan de inmediato. El informe reveló lo que experimentaron los encuestados:
- 36% perdió datos confidenciales o productividad
- 35% sufrió pérdidas económicas o robo
- 32% experimentó robo de identidad
Es evidente que las empresas necesitan estrategias de respuesta para las infracciones, pero el 75% de los líderes de la organización no se sienten sincronizados con las estrategias. Los líderes empresariales exigen una imagen clara de la ciberseguridad, mientras que sus líderes de seguridad luchan por encontrar la claridad.
Conectando la desconexión
Solo el 40% de los líderes de seguridad pueden responder con un alto nivel de confianza: “¿Qué tan seguros o en riesgo estamos?” Pero, según el informe, solo un líder de ciberseguridad que se alinea fuertemente con el líder empresarial de una organización puede tener confianza en la respuesta. Solo cuatro de cada 10 líderes de seguridad cumplen con este requisito. El informe identificó una desconexión entre el negocio y la seguridad sobre cómo manejar el riesgo cibernético. Menos del 50% de los líderes de seguridad comprenden la relación entre una amenaza de ciberseguridad y cómo afecta directamente a un riesgo empresarial específico, mientras que no hay suficientes líderes de seguridad (51%) que creen en una coordinación con las necesidades de las partes interesadas del negocio, en cuanto a costos, rendimiento y riesgo. -objetivos de reducción.
A pesar de la avalancha de ciberataques, solo el 25% de los líderes de seguridad revisan periódicamente las métricas de rendimiento de la seguridad con las partes interesadas del negocio.
No comunicarse
Si bien los ataques de ciberseguridad pueden tener un impacto tremendo en las finanzas, la reputación y la sostenibilidad de una empresa, la ciberseguridad rara vez se integra por completo en una estrategia comercial. La coordinación clara entre los líderes de seguridad y los ejecutivos comerciales es fundamental. No hay suficiente discusión sobre la estrategia de ciberseguridad: el 47% de los líderes de seguridad con frecuencia discute la ciberseguridad con los ejecutivos de negocios, y el 42% de los ejecutivos de negocios rara vez, “si es que alguna vez”, consultan con los líderes de seguridad sobre estrategias de negocios.
Incluso si la política requiere que los líderes de seguridad apliquen objetivos de gestión de riesgos comerciales y prácticas de priorización de vulnerabilidades, solo el 44% de los líderes de seguridad cumplen. Más del 50% de los líderes de seguridad informan que la seguridad tiene una evaluación y comprensión integrales de lo que es vulnerable a los ataques. Para medir el riesgo de sus organizaciones, menos del 50% de las organizaciones de seguridad utilizan métricas de amenazas que incorporan el contexto de riesgo empresarial.
VER: Política de mejores prácticas de certificados SSL (TechRepublic Premium)
“Abordar los esfuerzos del programa de seguridad desde una perspectiva de gestión de riesgos permite a los líderes de seguridad mejorar la desalineación y elevar la conversación sobre el riesgo cibernético dentro de la organización”, dijo Wenzler. Sugirió que los líderes de seguridad creen un lenguaje unificado y simplificado “que no sea abiertamente técnico y enmarque el riesgo cibernético de tal manera que sea fácil de entender para todos” para que los líderes empresariales y de seguridad puedan tomar mejores decisiones sobre la gestión de riesgos. Añadió: “Aquí es donde vemos a los CISO y líderes de seguridad más exitosos que abogan por la seguridad tanto de la tecnología como del negocio; evolucionando de expertos en tecnología a líderes de seguridad alineados con el negocio”.
Los líderes de seguridad no solo analizan y priorizan los posibles riesgos cibernéticos (a pesar de un contexto de amenaza limitado), sino que también ejecutan soluciones en función de lo que los líderes empresariales consideran activos críticos.
Una organización puede esperar un buen resultado cuando la seguridad y el negocio están sincronizados con los datos contextuales acordados. Los líderes de seguridad alineados con el negocio tienen ocho veces más probabilidades, como sus pares que operan de forma aislada, de tener mucha confianza en informar el nivel de seguridad o riesgo de las organizaciones. Muchas organizaciones alineadas con los negocios (80%) emplean un Oficial de seguridad de la información comercial (BISO), en comparación con el 35% de sus contrapartes menos alineadas.
¿Seguro o en riesgo?
Otros hallazgos del informe:
- El 72% de los líderes de seguridad alineados con el negocio (exitosos) están “muy o completamente confiados en su capacidad para informar sobre el nivel de riesgo de sus organizaciones”
- El 9% de los líderes de seguridad que no trabajan en conjunto con las empresas responden con el mismo nivel de confianza.
- El 85% de esos líderes de seguridad alineados con el negocio utilizan métricas para rastrear el retorno de la inversión (ROI) en ciberseguridad y el éxito de un negocio.
- El 25% de los líderes de seguridad que no trabajan en conjunto con las empresas no solo están aislados, sino que son reactivos y no emplean métricas.
4 conclusiones clave del informe
El informe ofreció estos cuatro elementos importantes a tener en cuenta:
- Un “clima de incertidumbre” es el alimento propicio para las amenazas de seguridad cibernética y crea una preocupación de mayor perfil, un tema de visibilidad a nivel de la junta.
- Los líderes de seguridad realmente se esfuerzan por brindar a sus pares líderes empresariales lo que estos últimos quieren: claridad sobre la ciberseguridad de la empresa.
- Muchas organizaciones no alinean la seguridad con los negocios, lo que crea una “desconexión” en la gestión de los ciberataques.
- La ciberseguridad debe desarrollarse junto con la estrategia empresarial.
La empresa necesita un nuevo enfoque de seguridad. Wenzel explicó: “Uno que eleva y alinea el papel del CISO con otros líderes empresariales. La seguridad de la información es realmente una función de gestión de riesgos”, no solo una función de TI.
Metodología
Tenable encargó a Forrester que realizara una encuesta en línea a 416 ejecutivos de seguridad y 425 ejecutivos de negocios, y que entrevistara a cinco ejecutivos de negocios y de seguridad para examinar las estrategias y prácticas de ciberseguridad en empresas medianas y grandes.
Tecnotraffic
Esperemos que te haya sido útil Comparte nuestro post . .
Nos vemos pronto!