Global Information Security Survey

El camino hacia la ciber-resiliencia: detectar, resistir y reaccionar

  • Compartir

Las empresas conceden cada vez más importancia a destinar recursos para reforzar sus sistemas de ciberseguridad. De hecho, en los últimos tres años, se han producido avances significativos entre las empresas por reforzar sus escudos corporativos. Aunque, como concluye la decimonovena edición del informe Global Information Security Survey de EY, todavía queda mucho por hacer: un 87% de los directivos consultados muestra falta de confianza en el nivel de ciberseguridad de sus compañías.

El informe, en el que han participado más de 1.700 directivos de sistemas (CIOs y CISOs por sus siglas en inglés) de las principales empresas de todo el mundo, incluidas españolas, analiza la capacidad de gestión de las empresas ante ciberamenazas así como la madurez y fortaleza de sus sistemas. En este sentido, el informe concluye que hay tres medidas globales que las empresas deben acometer y que configuran los tres componentes para medir la ciber-resiliencia de una compañía:

  1. Detectar: aumentar su capacidad para detectar ciberamenazas
  2. Resistir: actualizar sus sistemas para resistir frente a un ciberataque
  3. Reaccionar: mejorar la reacción ante ciberataques, no sólo intentando reparar los daños sino recabando la información necesaria de posibles evidencias de sus autores.
EY - The overall picture

1 Detectar

Aumentar la capacidad de las organizaciones para detectar ciberamenazas.

Cada vez más empresas quieren utilizar mecanismos de monitorización continua para la detección de los ciberataques más sofisticados. Aun así, las empresas siguen sin contar con programas y estrategias específicas para identificar vulnerabilidades en la seguridad; además, tampoco aumentarían su inversión en detección de estas amenazas en caso de sufrir una brecha de seguridad.

EY - 64% no tiene un programa de control inteligente contra las amenazas cibernéticas / 62% no aumentaría su gasto en ciberseguridad después de sufrir un ataque que, aparentemente, no ha causado ningún daño

Por otro lado, el incremento del uso de dispositivos conectados y la evolución del Internet of Things, ha elevado exponencialmente el volumen de datos que circulan por las compañías, datos que las propias empresas reconocen no ser capaces de gestionar completamente.

2 Resistir

EY - 49% no conoce el daño financiero que un ciberataque podría suponer para su empresa

En general, las organizaciones están en el proceso de mejora de sus habilidades para resistir a los ciberataques, y muchas de ellas pueden decir que están comenzando a defenderse con éxito. Pero los ciberataques adoptan muchas formas distintas y cada vez más complejas, y mientras que la ejecución de medidas de control en el escudo corporativo puede funcionar contra virus simples, no está tan preparada como debería contra los ciberataques más sofisticados y persistentes que los cibercriminales organizados lanzan contra sus objetivos cada día. De hecho, el 86% de los directivos consultados afirma que los mecanismos de ciberseguridad de sus empresas aún no cumplen con los requisitos necesarios, frente al 88% registrado un año antes; por tanto, las compañías siguen sin estar preparadas para enfrentarse a los ciberdelincuentes.

EY - 57% de los encuestados ha sufrido recientemente un incidente de ciberseguridad

Esto implica que aún hay mucho trabajo por hacer para reforzar los sistemas de protección de las empresas (el 57% de las encuestadas afirma haber sufrido un ciberataque recientemente). Para ello, las medidas que propone el estudio de EY son las siguientes: el proceso de resistencia comienza identificando los riesgos a los que se enfrenta y continuando con la implantación de tres líneas de defensa:

  1. Primera línea de defensa: ejecutar medidas de control para operaciones cotidianas
  2. Segunda línea de defensa: implementar funciones de monitorización como controles internos, gestión de riesgos o ciberseguridad entre otros.
  3. Tercera línea de defensa: contar con sólido departamento de auditoría interna

3 Reaccionar

Si la primera línea de defensa falla (quizás la compañía no vio la amenaza) y hay un fallo en la segunda, las empresas deben estar preparadas para responder a estos incidentes de forma rápida y con la capacidad para gestionar una situación de crisis. Sin embargo, el 42% de los encuestados afirma no tener una estrategia clara a desarrollar en estos casos. También es recomendable recopilar cualquier evidencia, desde el punto de vista forense, que pueda servir para una posterior investigación y poder justificar así el ataque en caso de reclamación por parte de cualquier stakeholder y, en caso de identificación de los responsables, iniciar las reclamaciones pertinentes.

EY - ¿Cuáles consideras que son los desafíos de IoT para la seguridad de la información de su empresa?

Por último, también deben estar preparadas para volver a la normalidad del negocio de la manera más rápida posible. El 57% de los consultados considera que la continuidad del negocio y la recuperación tras un ataque serán sus principales prioridades para el presente ejercicio.

Contactos

Elena Maestre
Socia Responsable de Consultoría de Riesgos
+34 91 749 3699

Manuel Giralt
Socio de Consultoría de Riesgos
+34 91 572 7686

Ramiro Mirones
Socio de Riesgos Tecnológicos
+34 91 572 7676