ChannelBiz

RSA, la división de seguridad de EMC, acaba de publicar los resultados de su primer Cybersecurity Poverty Index, basado en los resultados de una encuesta que más de 400 profesionales de la seguridad IT de organizaciones de todos los tamaños y 61 países han respondido tomando como referencia el NIST Cybersecurity Framework.

Una de las conclusiones que más ha llamado la atención es que la seguridad parece no ser prerrogativa de las grandes empresas, casi siempre consideradas como mejor preparadas frente a los ciberataques. “El 75% de los encuestados carecen del nivel de madurez necesario para afrontar los riesgos relacionados con la ciberseguridad”, dice el informe. Claro que habría que tomar en consideración si esa falta de madurez no es sino un signo de mayor conocimiento del nivel de amenazas que hay y, por tanto, de la necesidad de una mayor preparación.

En todo caso, lo que sí indica el informe sin lugar a interpretaciones es que las empresas siguen priorizando la protección/prevención sobre la detección, a pesar de que este tipo de medidas se han demostrado insuficientes contra las amenazas y que muchas de las empresas encuestadas, dos tercios, sufrieron incidentes de seguridad que dieron lugar a pérdidas o daños en sus operaciones en el último año.

Hasta un 45% admitieron su incapacidad para medir, valorar y mitigar los riesgos de la ciberseguridad, y sólo un 21% reconoce que está preparado para este aspecto. Las respuestas procedentes de las grandes organizaciones indican que al menos este segmento de mercado “entiende la necesidad de pasar a desarrollar soluciones y estrategias de detección y respuesta para una seguridad más potente y madura”, dice el estudio de RSA.

En cuanto a sectores de actividad, las organizaciones del Sector de Telecomunicaciones se clasificaron con el más alto nivel de madurez ya que el 50% de los encuestados afirmaron tener capacidades desarrolladas o avanzadas, mientras que sólo un tercio de los encuestados procedentes de las organizaciones de servicios financieros se puntuaron como bien preparadas. Los operadores de infraestructuras críticas, el público objetivo inicial para el CSF, tendrán que hacer avances significativos en sus niveles actuales de madurez, asegura el informe.

Llama también la atención que el nivel de madurez de las organizaciones en Norteamérica se sitúe por detrás de las regiones APJ y EMEA. Las organizaciones de APJ consideran que tienen estrategias de seguridad más consolidadas, con un 39% que se clasifican como desarrolladas o por encima del nivel de madurez global, mientras que solo el 26% de las organizaciones en EMEA y el 24% en Norteamérica se posicionan como desarrolladas o aventajadas.

Tomando en consideración los datos del informe Amit Yoran, presidente de RSA, asegura que “las empresas continúan invirtiendo grandes cantidades de dinero en firewalls de nueva generación, antivirus y protección contra malware avanzado con el fin de detener las amenazas avanzadas”, y asegura también el directivo que “tenemos que cambiar nuestra forma de pensar en cuanto a seguridad, comenzando por reconocer que la prevención por sí sola es una estrategia fallida y se necesita una mayor inversión en una estrategia basada en la detección y la capacidad de responder a las amenazas”.