Los avances en ciberseguridad se han estancado en las empresas del Reino Unido: cómo solucionarlo

A diario leemos sobre los daños y la destrucción causados ​​por los ciberataques. Solo este mes, investigación revelada La mitad de las empresas del Reino Unido se vieron obligadas a detener o interrumpir proyectos de transformación digital debido a amenazas estatales. En un mundo ideal, historias como esta llegarían a la alta dirección, redoblando los esfuerzos para mejorar la ciberseguridad. Sin embargo, los últimos hallazgos del gobierno revelan una historia diferente.

Lamentablemente, el progreso se ha estancado en varios frentes, según los últimos datos. Encuesta sobre violaciones de seguridad cibernética. Uno de los pocos aspectos positivos que se pueden extraer del informe anual es el creciente conocimiento de la norma ISO 27001.

Las empresas más grandes en la mira

Publicado desde 2016, el estudio del gobierno se basa en una encuesta a 2,180 empresas del Reino Unido. Sin embargo, existe una gran diferencia entre una microempresa con hasta nueve empleados y una empresa mediana (de 50 a 249 empleados) o grande (de más de 250 empleados).

Por eso no podemos interpretar demasiado la cifra principal: una caída anual en el porcentaje de empresas que reportaron un ciberataque o una brecha de seguridad en el último año (del 50 % al 43 %). Incluso el gobierno admite que esta caída probablemente se deba a que menos microempresas y pequeñas empresas identifican ataques de phishing. Es posible que simplemente se deba a que son cada vez más difíciles de detectar, gracias al uso malicioso de la IA generativa (GenAI).

De hecho, la proporción de empresas medianas (67%) y grandes (74%) que reportan incidentes de seguridad sigue siendo elevada. Además, las empresas grandes (29%) y medianas (20%) también tienen más probabilidades que el resto de las empresas (16%) de sufrir un resultado negativo. Esto podría incluir desde la pérdida de acceso a archivos y servicios de terceros hasta sistemas corruptos, aplicaciones más lentas y robo de datos y fondos personales. Además, las grandes empresas son las más propensas a reportar interrupciones del negocio como:

• Requerir tiempo adicional del personal para lidiar con infracciones/ataques (32 % frente al 17 % general)
• Implementación de nuevas medidas de seguridad (26% frente a 18%)
• Interrupción del trabajo diario de los empleados (19% vs 9%)
• Interrupción del servicio/entrega de bienes (8% frente a 3%)
• Recepción de quejas de clientes (6% frente a 2%)

Además, mientras que se estima que el 20% de las empresas en general han sido víctimas de al menos un delito cibernético en los últimos 12 meses, la cifra aumenta al 43% de las empresas medianas y al 52% de las grandes empresas.

El bueno y el malo

La buena noticia es que la mayoría de las empresas medianas y grandes han tomado medidas clave en cada una de las mejores prácticas del NCSC. Paso 10 Guía para mejorar la ciberseguridad. El porcentaje de empresas que han implementado medidas en cinco o más áreas ha aumentado ligeramente durante el último año, del 80 % al 82 % en las medianas empresas y del 91 % al 95 % en las grandes. Además, entre el 95 % y el 100 % de estas organizaciones cuentan con al menos tres normas o controles técnicos recomendados, como protección contra malware actualizada, firewalls de red, permisos de acceso/administración de TI restringidos, seguridad de dispositivos y VPN.

Sin embargo, esto esconde un panorama general posiblemente más preocupante. Por ejemplo:

Programas de capacitación del personal Se encontraban en vigor en el 54% de las empresas medianas y en el 76% de las grandes, cifras similares a las del año pasado.

Revisiones de riesgos de proveedores externos Sólo el 32% de las empresas medianas y el 45% de las grandes las llevaron a cabo, frente al 28% y el 48% del año pasado.

Planes de respuesta a incidentes Estaban implantados en tan sólo el 53% de las empresas medianas y el 75% de las grandes (frente al 55% y el 73%).

También parece existir una falta de dirección estratégica y rendición de cuentas por parte de la alta dirección. Solo el 70 % de las grandes empresas (frente al 66 %) y el 57 % de las medianas empresas (frente al 58 %) cuentan con una estrategia de ciberseguridad. En demasiadas grandes empresas, la ciberseguridad está a cargo del director de TI (19 %) o de un gerente, técnico o administrador de TI (20 %).

Las empresas siempre deben tener una respuesta proporcional a sus riesgos; por ejemplo, un panadero independiente en un pequeño pueblo probablemente no necesite realizar pruebas de penetración con regularidad. Sin embargo, deben esforzarse por comprender sus riesgos, y que el 30 % de las grandes empresas no sean proactivas, al menos en conocerlos, es una lástima», argumenta Tom Kidwell, cofundador de Ecliptic Dynamics.

Sin embargo, siempre hay medidas que las empresas pueden tomar para reducir el impacto de las infracciones y detener los ataques en sus inicios. La primera es comprender el riesgo y tomar las medidas adecuadas.

Sin embargo, solo la mitad (51%) de los consejos de administración de empresas medianas cuentan con un responsable de ciberseguridad, cifra que aumenta al 66% en las empresas más grandes. Estas cifras se han mantenido prácticamente sin cambios durante tres años. Además, solo el 39% de los líderes empresariales de empresas medianas recibe actualizaciones mensuales sobre ciberseguridad, cifra que se eleva a la mitad (55%) en el caso de las grandes empresas. Dada la velocidad y el dinamismo del panorama actual de amenazas, esta cifra es demasiado baja.

¿A dónde vamos desde aquí?

Una forma obvia de mejorar la madurez en ciberseguridad sería adoptar el cumplimiento de estándares de mejores prácticas como la ISO 27001. En este sentido, el informe presenta señales contradictorias. Por un lado, afirma lo siguiente:

“Parecía haber una creciente conciencia sobre acreditaciones como Cyber ​​Essentials e ISO 27001 y, en general, eran valoradas positivamente”.

Se dice que la presión de los clientes y los miembros de la junta directiva y la “tranquilidad de los interesados” impulsan la demanda de tales enfoques, mientras que los encuestados juzgan acertadamente que la norma ISO 27001 es “más sólida” que Cyber ​​Essentials.

Sin embargo, el conocimiento de los 10 Pasos y los Fundamentos Cibernéticos está disminuyendo. Y muchas menos grandes empresas buscan asesoramiento externo sobre ciberseguridad que el año pasado (51 % frente al 67 %).

Ed Russell, gerente comercial CISO de Google Cloud en Qodea, afirma que la inestabilidad económica puede ser un factor.

“En tiempos de incertidumbre, los servicios externos suelen ser las primeras áreas en sufrir recortes presupuestarios, aunque reducir el gasto en asesoramiento en ciberseguridad es una medida arriesgada”, explica a ISMS.online.

Russell sostiene que normas como la ISO 27001 mejoran enormemente la madurez cibernética, reducen el riesgo cibernético y mejoran el cumplimiento normativo.

“Estos estándares ayudan a las organizaciones a establecer bases de seguridad sólidas para gestionar los riesgos e implementar controles adecuados para mejorar la protección de sus valiosos activos de información”, añade.

La norma ISO 27001 está diseñada para impulsar la mejora continua, ayudando a las organizaciones a mejorar su postura general de ciberseguridad y su resiliencia a medida que las amenazas evolucionan y las regulaciones cambian. Esto no solo protege la información más crítica, sino que también genera confianza con las partes interesadas, lo que ofrece una ventaja competitiva.

Etay Maor, estratega jefe de seguridad de Cato Networks, está de acuerdo, pero advierte que el cumplimiento no necesariamente equivale a seguridad.

“Estas directrices estratégicas deberían formar parte de una práctica de seguridad integral que incluya marcos operativos y tácticos, evaluación constante para compararla con las amenazas y ataques actuales, ejercicios de respuesta ante brechas de seguridad y más”, explica a ISMS.online. “Son un buen punto de partida, pero las organizaciones deben ir más allá”.