Más del 70% de organizaciones nacionales no tiene estrategia para incidentes de ciberseguridad
Raúl Rivera, coordinador CCI en el país
Un 71% de organizaciones nacionales no disponen de una estrategia previamente establecida para gestionar los incidentes de ciberseguridad.
Esta es una de las conclusiones a las que llegó el Estudio sobre el estado de la ciberseguridad en los servicios esenciales y críticos de Costa Rica, elaborado por José Valiente y Juanjo Arenas, en conjunto entre el Centro de Ciberseguridad Industrial (CCI) de España y Cybersec Cluster.
"Cuando hablamos de cómo estamos preparados para gestionar incidentes en servicios esenciales observamos que la mayor parte de esto está concentrado en que estamos trabajando en definir un proceso que todavía no necesariamente está consolidado, estamos tratando de hacer que de alguna manera se consolide y muchas de las cosas que estamos realizando se están haciendo de manera reactiva.
La misma gestión, el mismo incidente que eso involucra nos está llevando a tomar decisiones en esos servicios esenciales que estamos liderando", explicó Raúl Rivera, coordinador del CCI en el país, durante la presentación de los resultados del estudio en la actividad La Voz de la Industria en Costa Rica.
Otro elemento que se analizó fue la evaluación del nivel de riesgo de los sistemas de información y/o operación de los servicios esenciales.
"Al respecto, un cuarto de los panelistas reconoce que en sus organizaciones no se ha realizado ninguna evaluación del riesgo. Un dato realmente alto que debe instar a la reflexión", considera el documento.
Fuente: CCI
No obstante, la mayoría afirma que sí se han realizado este tipo de evaluaciones no relacionadas con riesgos.
En concreto, en el 43% de los casos se han tratado de evaluaciones técnicas -que incluyen configuración, segmentación, análisis de vulnerabilidades o pruebas de intrusión, entre otras cosas-. Además, en un 39% se han acometido evaluaciones organizativas, es decir, de políticas, procedimientos, roles o responsabilidades.
"Sobre la gestión de ciberincidentes, hasta un 21% de los panelistas reconoce que no existe como tal en sus respectivas organizaciones. Y hasta un 25% que se lleva a cabo de manera reactiva.
Pero eso no es todo: otro 25% afirma que aún se está definiendo el proceso. Por tanto, si se aglutinan todos estos datos, puede afirmarse con rotundidad que las empresas del 71% de los encuestados no disponen de una estrategia previamente establecida para gestionar los incidentes de ciberseguridad", indica el reporte.
El análisis recomienda que este es un aspecto en el que las organizaciones costarricenses que ofrecen servicios esenciales y críticos deben trabajar más.
"Llama la atención que no existe un proceso de gestión de incidentes de ciberseguridad en servicios esenciales, es un buen porcentaje de respuestas, lo cual también es preocupante porque estamos hablando de servicios que están relacionados con temas de ciberseguridad y no necesariamente estamos siendo eficientes en cuanto que no tenemos un proceso formal", añadió Rivera, director para Centroamérica y Caribe del Departamento de Ciberseguridad e Inteligencia de Mastercard.
Fuente: CCI
En lo que tiene que ver con las medidas de ciberseguridad con las que cuentan las organizaciones de los encuestados el antivirus (según el 72% de las respuestas) es la principal herramienta.
Pero hay otras en segundo término que se encuentran en una posición alta, como son las copias de seguridad (58,5%) o los firewalls convencionales (53%). El resto de medidas ofrecen resultados muy similares, como son los referentes a las políticas y procedimientos documentados (40%), los firewalls industriales (38%), los IDS/IPS (36%), la gestión de respuesta a incidentes (36%), la correlación de eventos (32%) o la gestión de identidades (32%).
En el resto, su representación es prácticamente testimonial, como lo es la de aquellos que reconocen no tener implementada ninguna medida de ciberseguridad (4%).
Por último, en cuanto a la forma en la que se trabajan las acciones de ciberseguridad, el 30% de los encuestados afirma que en sus organizaciones se actúa únicamente cuando hay un incidente; es decir, de forma reactiva.
Mismo porcentaje que aquellos que señalan como opción el seguimiento de las recomendaciones de la operativa interna, cercano al 28% del cumplimiento de las directrices mínimas establecidas en leyes y regulaciones y del 26% del seguimiento de las recomendaciones de una consultora externa.
Otro hallazgo es que muchos de los encuestados (en algunos casos con valores de hasta el 25%) aseguran que los diferentes departamentos de sus empresas no se involucran en materia de ciberseguridad. "Queda, por tanto, mucho trabajo por delante, puesto que la ciberseguridad debe ser un aspecto transversal al negocio", consideran los autores.
Más hallazgos
Acerca de la concientización por parte de la alta dirección sobre el cumplimiento de la normativa de ciberseguridad, la mayoría de los que respondió se pronuncian en términos positivos: el 38% asegura que sus directivos están medianamente sensibilizados y el 28 que están muy sensibilizados.
No obstante, destaca ese 21,5% procedente de aquellos que reconocen que sus altas direcciones están poco sensibilizadas.
Fuente: CCI
En tanto, los proveedores de las empresas son más variados. Sin embargo, hay tres que destacan por encima del resto: los fabricantes de tecnologías de la información o industriales (proveedores en el caso del 26% de los encuestados), especialistas en ciberseguridad (23%) y proveedores internos (21%).
Fuente: CCI
Además, en general se incluyen requisitos de ciberseguridad en los nuevos proyectos de las empresas costarricenses.
"De hecho, en todos los requisitos facilitados en la encuesta -en el diseño, implantación, arquitectura en la red LAN, operación, arquitectura de red WAN y de protección de la información- se ofrece de forma completa: en todos ellos se supera el 30% de respuestas. Incluso en algunos, como es el caso de los requisitos de arquitectura en la red LAN, se llega al 44%.
Los requisitos básicos, por su parte, también ofrecen resultados bastante igualitarios a estos últimos. No obstante, todavía queda un porcentaje en todos los requisitos (entre el 10 y el 15%) en los que nunca se incluyen requisitos de ciberseguridad", menciona el análisis.
"Cuando hablamos de la segmentación de redes para asegurarnos que cuando un ciberdelincuente logra penetrar la red de una organización, no pueda navegar libremente y que se encuentren redes segmentadas que permitan ir conteniendo los ataques, encontramos que la mayor parte de las redes en servicios esenciales están físicamente aisladas de las redes corporativas, lo cual es bueno, estamos viendo una muy buena práctica, eso nos ayuda a entender que no combinamos las redes que garantizan la gestión de los servicios críticos con las que son operativas dentro de cualquier organización", agrega Rivera al respecto.
Fuente: CCI
Por otro lado, un 20,5% reconoce que no tienen previsto comenzar nuevas actividades o proyectos de ciberseguridad en sus servicios esenciales o críticos. Y del porcentaje restante, el 37% lo hará en un plazo de un año, el 26,5% en uno de seis meses y el 16% sin una fecha determinada.
Este tipo de empresas incluyen, a grandes rasgos, la ciberseguridad en sus nuevos proyectos. De hecho, en todos los requisitos facilitados en la encuesta se supera el 30% en su forma completa. Incluso en algunos se llega al 44%.
No obstante, todavía queda un porcentaje en todos los requisitos (entre el 10 y el 15%) en los que nunca se incluye la ciberseguridad. "Pese a que la cifra no es mala, es mejorable", señala el trabajo de investigación.
Sobre las motivaciones para ejecutar e implantar soluciones de ciberseguridad en los servicios esenciales o críticos de las compañías de los encuestados son diversas.
La mejora continua (33%) es la principal, el resto lo completan el cumplimiento de leyes o regulaciones (23%) y la exigencia de mercado o clientes (15%). La imposición por parte de la dirección apenas está representada con un 3%.
Por último, se consultó la opinión acerca de la que será, bajo sus puntos de vista, la evolución futura de la inversión en recursos humanos y del presupuesto en ciberseguridad en los servicios esenciales o críticos.
"Y aquí el optimismo se ha abierto paso de forma contundente. No en vano, hasta un 47% de los participantes en la encuesta opina que esta partida se incrementará. De hecho, apenas un insignificante 2% considera que esta inversión disminuirá", finaliza el informe.