Aquí está todo lo que está mal con la ciberseguridad en el Reino Unido hoy ISMS.online

Aquí está todo lo que está mal con la ciberseguridad en el Reino Unido hoy

Por Phil Muncaster • 23 May 2024

Para obtener un útil panorama anual de la postura de seguridad de las empresas del Reino Unido, no busque más que el informe del gobierno. Encuesta sobre violaciones de seguridad cibernética. Proporciona una visión relativamente detallada de lo que funciona y, más comúnmente, de lo que no. En general, tres cuartas partes de las empresas (el 93% de las medianas y el 98% de las grandes) dicen que sus directorios consideran la ciberseguridad como una “alta prioridad”. Pero decir no es hacer.

Existe un claro margen de mejora en múltiples áreas, incluida la respuesta a incidentes, la seguridad de la cadena de suministro, la responsabilidad de la junta directiva y la gestión de riesgos. Quizás lo más preocupante sea la falta de conciencia sobre los marcos e iniciativas de seguridad liderados por los gobiernos. Junto con los estándares de mejores prácticas como ISO 27001, estos podrían contribuir en gran medida a mejorar la ciberresiliencia de las PLC del Reino Unido.

Margen de mejora

La estadística principal es que la mitad (50 %) de las empresas que respondieron afirman haber experimentado algún tipo de violación o ataque de seguridad en los últimos 12 meses, cifra que aumenta hasta el 70 % de las medianas empresas (y el 74 % de las grandes). Esto es considerablemente superior a las cifras respectivas del 32%, 59% y 69% del año pasado, pero no significa necesariamente más infracciones; podría ser que se estén detectando más. De hecho, el informe comienza con buenas noticias.

Según el estudio, que se basa en una encuesta realizada a 2,000 empresas del Reino Unido y entrevistas de seguimiento con 44, la ciberhigiene está mejorando. El informe destaca un aumento anual en el número de empresas dedicadas a:

Protección actualizada contra malware (del 76% en 2023 al 83% en 2024)
Restringir los derechos de administrador (67% a 73%)
Cortafuegos de red (66% a 75%)
Procesos acordados para correos electrónicos de phishing (48% a 54%)

Según el informe, esto es una inversión de un patrón observado en los tres años anteriores de la encuesta, donde algunas áreas habían experimentado caídas constantes. Sin embargo, todavía existen preocupaciones sobre lo siguiente:

Gestión de riesgos: Menos de un tercio (31%) de las empresas realizaron evaluaciones de riesgos cibernéticos el año pasado (aumentando al 63% de las medianas y al 72% de las grandes). Además, sólo un tercio (33%) implementó monitoreo de seguridad (63%, 71%).

Riesgo del proveedor: Solo el 11% de las empresas revisan los riesgos de la cadena de suministro, cifra que asciende a solo el 28% de las medianas y menos de la mitad (48%) de las grandes.

Compromiso de la junta directiva: Sólo el 30% de los encuestados tiene miembros de la junta directiva directamente responsables de la cibernética como parte de su función, cifra que asciende a la mitad (51%) de las empresas medianas y al 63% de las grandes empresas. Esto no ha cambiado desde el año pasado.

Estrategia: Sólo el 58% de las medianas empresas y el 66% de las grandes empresas cuentan siquiera con una estrategia formal de ciberseguridad.

Respuesta al incidente: Sólo una quinta parte (22%) tiene planes de respuesta a incidentes, cifra que aumenta hasta el 55% y el 73% en las medianas y grandes empresas.

Ayuda externa: Solo el 41% de los encuestados dice que busca información u orientación sobre ciberseguridad fuera de la organización, menos que la cifra de 2023 (49%). Sólo el 13% conoce el Centro Nacional de Ciberseguridad Guía de 10 pasos (37%, 44%) y sólo el 12% dijo lo mismo sobre Cyber Essentials (43%, 59%).

Lo que piensan los expertos

Marie Wilcox, evangelista de seguridad de Panaseer, sostiene que ni siquiera las mejoras en la higiene cibernética pueden enmascarar la mala postura de seguridad de muchas empresas del Reino Unido.

“Las organizaciones todavía no logran implementar controles de seguridad esenciales. En el mejor de los casos, las organizaciones todavía están por debajo de los estándares de 2021. Incluso las grandes empresas que comprenden los riesgos a menudo no implementan controles adecuadamente: al menos el 29% no cuenta con controles para la gestión de parches o para restringir el acceso a los dispositivos propiedad de la organización”, argumenta.

“Dado que los atacantes tienden a elegir lo más fácil, el 98% de las infracciones podrían evitarse centrándose en los fundamentos de seguridad y una mejor higiene cibernética. Avanzar hacia el medio del grupo al contar con los controles y políticas adecuados ayudará a evitar la gran mayoría de los ataques”.

El estratega jefe de seguridad de Cylera, Richard Staynings, señala la gestión de riesgos de terceros como una falla crítica para muchas empresas del Reino Unido. Sostiene que los proveedores nunca deberían ganar contratos para sectores de infraestructura críticos como la atención médica simplemente basándose en la oferta más baja.

“El problema es que pocas empresas aplican [las mejores prácticas de seguridad] en sus contratos con terceros, por lo que es un requisito previo garantizar que tengan políticas y procedimientos que cumplan con nuestros propios estándares, que cuenten con garantía de calidad, capacitación del personal y controles de acceso. establecidos y que proporcionen la certificación ISO/IEC 27001, el estándar más conocido del mundo para sistemas de gestión de seguridad de la información (SGSI)”, añade.

El director ejecutivo de Socura, Andy Kays, está particularmente consternado por la proporción relativamente pequeña de empresas que han formalizado planes de respuesta a incidentes, un hecho que describe como "asombroso".

“Las empresas siempre tendrán un plan en caso de incendio, pero no aplicarán el mismo cuidado en caso de violación de datos, lo cual estadísticamente es mucho más probable. Va en contra del sentido común”, continúa.

“En caso de una infracción, las empresas no llevan registros, no informan a la policía ni a los reguladores, no evalúan la escala y el impacto del incidente. No están logrando lo mínimo indispensable. También es importante señalar que, en primer lugar, las empresas están haciendo muy poco para prevenir o detectar infracciones”.

Construyendo un futuro más resiliente

Uno de los hallazgos más decepcionantes del informe es la falta de conciencia sobre las iniciativas de seguridad gubernamentales como los 10 Pasos y Cyber Essentials, que están diseñadas para mejorar la seguridad básica de las empresas habituales. Lo mismo ocurre con los estándares de seguridad de mejores prácticas reconocidos a nivel mundial, como ISO 27001, a pesar de que algunos encuestados lo ven en términos positivos. Matt Thomas, jefe de mercados del Reino Unido en NCC Group, sostiene que debería estar en la lista de tareas pendientes de muchas organizaciones más grandes.

“Si bien la certificación ISO 27001 principalmente allana el camino para que las empresas aumenten su ciberresiliencia, los beneficios van mucho más allá. Desde el punto de vista de la credibilidad, puede ayudar a proteger la reputación. Y como marco reconocido mundialmente, puede ayudar con auditorías y adaptar estrategias, al mismo tiempo que garantiza que las empresas cumplan con la legislación y eviten costosas multas”, dice a ISMS.online.

“Si la ISO 27001 se adopta más ampliamente, podríamos estar viendo un panorama muy diferente cuando se publiquen futuras encuestas sobre violaciones cibernéticas. Las empresas que adoptan un enfoque proactivo en su ciberhigiene tienen, sin duda, menos probabilidades de ser víctimas de un ciberataque”.

Keith Fenner, director general de EMEA y Diligent, concluye que la legislación de la UE como NIS 2 y DORA obligará a muchas organizaciones a mejorar su gestión de riesgos y sus informes.

"Para prepararse, las organizaciones necesitan un programa de cumplimiento de TI sólido, cada vez más respaldado por inteligencia artificial y capacidades de automatización que les permitan asignar controles a múltiples regulaciones y monitorear continuamente los controles para reducir la probabilidad de violaciones de datos", le dice a ISMS.online.

“Este programa debe ser parte de una plataforma GRC integrada para facilitar las auditorías internas y externas, permitir que múltiples partes interesadas de la organización vean y colaboren, y permita la presentación de informes simplificados a la junta directiva, de modo que el riesgo cibernético se integre en la estrategia general de la organización. . Por último, la junta directiva y la gerencia deberían aprovechar los programas de capacitación y certificaciones, así como recurrir a sus CISO, para desarrollar su alfabetización cibernética de modo que puedan gobernar de manera efectiva los riesgos cibernéticos en toda la empresa”.

Phil Muncaster

Phil Muncaster ha sido periodista de TI durante 20 años. Comenzó como reportero en el título de TI empresarial IT Week en 2005 y ascendió al puesto de editor de noticias antes de dejarlo para seguir una carrera independiente. Desde entonces, Phil ha escrito para títulos como The Register, donde trabajó como corresponsal en Asia mientras residía en Hong Kong durante más de dos años, MIT Technology Review, SC Magazine, Infosecurity Magazine y otros.

Lea más de Phil Muncaster

Seguridad de la información 9 December 2025

Un año en cumplimiento: cinco cosas que aprendimos en 2025

Un año de cumplimiento normativo: cinco cosas que aprendimos en 2025

Los últimos 12 meses han demostrado una vez más que el panorama de la ciberseguridad suele estar plagado de incidentes. Las brechas de seguridad importantes cuestan a las organizaciones...

Phil Muncaster

La seguridad cibernética 3 December 2025

Qué significa el proyecto de ley de ciberseguridad y resiliencia para las infraestructuras críticas

Ha tardado mucho en llegar. Tras haber sido objeto de reflexión desde el Discurso del Rey en 2024, el Proyecto de Ley de Ciberseguridad y Resiliencia (CSRB) ha llegado a su fin...

Phil Muncaster

La seguridad cibernética 18 November 2025

En lo que respecta a la tecnología operativa, la visibilidad es la base de una seguridad eficaz.

En lo que respecta a la tecnología operativa (TO), la visibilidad es la base de una seguridad eficaz.

La tecnología de la información (TI) suele acaparar los titulares, sobre todo ahora que nos adentramos en una nueva era donde la IA lo impulsa todo. Pero es la tecnología operativa (TO) la que aún...

Phil Muncaster