¿Se ha estancado la ciberresiliencia del Reino Unido? SGSI.en línea

¿Se ha estancado la ciberresiliencia del Reino Unido?

Por Dan Raywood • 14 May 2024

Todas las empresas deberían aspirar a ser más ciberresilientes. Esto significa que son más capaces de defenderse y sobrevivir a un ataque y recuperarse cuando ocurre un incidente. Sin embargo, medir la resiliencia cibernética puede ser un desafío. Ahí es donde el gobierno Encuesta Longitudinal de Seguridad Cibernética entra en juego.

Publicado a principios de este año, encuentra que las organizaciones apenas han mejorado su resiliencia cibernética en comparación con encuestas realizadas en años anteriores. La falta de interés en Cyber Essentials y la ISO 27001 es particularmente preocupante.

La resiliencia se mantiene estable

La clave de esta encuesta es que rastrea las mismas 1000 empresas para cada “ola” anual que realiza para medir el progreso a lo largo del tiempo entre las empresas británicas medianas y grandes. Esta última ola (tres) concluye que la ciberresiliencia se ha mantenido en gran medida estable a pesar de un probable cambio en los presupuestos y las prioridades a raíz de la pandemia.

En lo que respecta a las políticas, ha habido un ligero aumento en el número de empresas que han elaborado un plan de continuidad del negocio que cubre la ciberseguridad (76% versus 69% hace dos años), una lista escrita de las vulnerabilidades de su empresa (61% versus 54 %), un proceso escrito de respuesta a incidentes (59 % frente a 51 %) y una póliza de seguro cibernético (79 % frente a 66 %).

A pesar de estas mejoras marginales, Brian Honan, director ejecutivo de BH Consulting, sostiene que las estadísticas no pueden tomarse como indicadores de la resiliencia de la ciberseguridad de una empresa.

"Muchos de esos elementos ahora se establecen como requisitos mínimos para las empresas que deseen contratar nuestro seguro cibernético", le dice a ISMS.online.

Añade que muchas empresas todavía no ven la ciberseguridad como un riesgo empresarial crítico sino más bien como un problema de TI.

“Cuanto antes las empresas comprendan mejor cuánto dependen de sus sistemas de TI, Internet y los datos que tienen, antes se darán cuenta de que la ciberseguridad debe tratarse y gestionarse como un riesgo empresarial crítico”, argumenta.

Simon Newman, director ejecutivo del Cyber Resilience Center, dice a ISMS.online que todavía ve que muchas empresas luchan incluso con la ciberhigiene básica.

“Una de las razones principales es la percepción de falta de habilidad o conocimiento, pero también sabemos que, en primer lugar, lograr que comprendan la amenaza es un verdadero desafío”, argumenta.

En particular, ha visto empresas que piensan que es mejor esperar unas semanas antes de actualizar su software, ya que “escuchan historias” sobre nuevas actualizaciones que causan problemas.

Honan agrega que para fortalecer la postura cibernética, las organizaciones deben basar su estrategia de ciberseguridad en un programa integral de riesgo cibernético con un nivel maduro de procesos y procedimientos, y una aceptación y liderazgo integrales por parte de la alta dirección.

¿Están conscientes los jefes?

La encuesta longitudinal revela que el 55% de las empresas ahora tienen un miembro en su junta directiva cuyas funciones incluyen la supervisión de los riesgos de ciberseguridad. También ha habido un aumento en la proporción de empresas que informan que su junta directiva analiza la ciberseguridad: 43% este año, frente al 37% en la primera ola.

Honan dice que las juntas directivas y la alta dirección deben comprender que un volumen cada vez mayor de regulaciones en torno a la ciberseguridad, la protección de datos, la inteligencia artificial y el Internet de las cosas, tanto en el Reino Unido como en la UE, están aumentando la responsabilidad por la ciberseguridad en la alta dirección y la junta directiva. nivel.

Confiar en el proceso

Desafortunadamente, el cumplimiento de los marcos y estándares de mejores prácticas parece estar estancado. La encuesta revela que sólo el 38% de las empresas siguen ahora los consejos de mejores prácticas en Cyber Essentials (ya sea certificaciones Standard o Plus) o ISO 27001. Newman del Cyber Resilience Centre dice que estas opciones pueden ser útiles, pero a menudo existe el desafío de lo que él llama un “cliente desinformado”, donde los usuarios no saben a dónde acudir en busca de experiencia técnica.

Newman añade que el conocimiento y la adopción de Cyber Essentials siguen siendo demasiado bajos, especialmente entre las empresas más pequeñas, que no necesariamente ven el valor de seguirlo. Otros lo hacen sólo para cumplir con los requisitos del contrato. Afirma que parte del problema es la incapacidad del gobierno para promover el valor de Cyber Essentials y los consejos sobre mejores prácticas del Centro Nacional de Seguridad Cibernética (NCSC).

Newman sostiene que el costo también es un problema, ya que los complementos a menudo elevan el desembolso total para Cyber Essentials hasta £1000. Aunque la mayoría de las organizaciones han implementado los controles necesarios para alcanzar Cyber Essentials, muchas no han obtenido la acreditación completa, según la encuesta.

Con una pequeña ayuda

La encuesta de este año encontró que sólo el 19% cumple con la norma ISO 27001, pocos cambios con respecto a Wave One (15%). Esto parece contradecir la sugerencia de la encuesta de que "los hallazgos de las entrevistas cualitativas sugieren que las empresas consideran que la certificación ISO 27001 es la acreditación más sólida y sustantiva disponible".

Honan de BH Consulting sostiene que muchas organizaciones consideran que ISO 27001 es demasiado oneroso o costoso de lograr y mantener.

"Entonces, si bien muchas empresas pueden utilizar la norma ISO 27001 como marco sobre el cual desarrollar su programa de ciberseguridad, es posible que no todas den el siguiente paso para buscar la certificación de la norma", afirma.

Lograr la certificación y mantener el cumplimiento puede requerir tiempo, dinero y recursos, aunque los especialistas en cumplimiento externos pueden agilizar significativamente el proceso a través de herramientas digitales.

Estar certificado según un estándar como ISO 27001 puede permitir a una organización demostrar a las partes interesadas clave, como la junta directiva, la alta dirección, los clientes y los reguladores, que están siguiendo las mejores prácticas de ciberseguridad reconocidas por la industria.

¿Podría la IA ayudar a estas empresas a acelerar su proceso de cumplimiento? Honan dice que la clave para la norma ISO 27001, y de hecho para muchas regulaciones cibernéticas actuales, es adoptar un enfoque de seguridad basado en el riesgo.

"Como tal, para que ISO 27001 sea aplicable a su organización, es necesario centrarse en los requisitos del negocio", afirma. "Si bien los documentos con plantillas e incluso la IA pueden ayudar a desarrollar su proyecto ISO 27001, yo tendría cuidado de garantizar que los resultados de estas herramientas no sean demasiado genéricos para su negocio".

Daniel Raywood

Dan Raywood ha escrito sobre seguridad de TI desde 2008 y fue analista en la práctica de seguridad de la información en 451 Research. Ha hablado en programas como 44CON, SecuriTay, SteelCon, Irisscon e Infosecurity Europe, además de escribir para varios blogs de proveedores y realizar presentaciones en webcasts.

Lea más de Dan Raywood

La seguridad cibernética 30 Septiembre 2025

¿La violación de GROK generará grandes preocupaciones de seguridad?

¿La violación de Grok creará preocupaciones de seguridad para GenAI?

Un incidente reciente ha suscitado inquietud sobre el manejo de datos por parte de las herramientas GenAI. ¿Es hora de garantizar que sus datos no terminen en sus archivos?

Daniel Raywood

La seguridad cibernética 29 May 2025

El marco de ciberseguridad y privacidad del NIST se renueva

Ciberseguridad y privacidad: el marco del NIST se renueva

El NIST anunció recientemente planes para actualizar su marco de privacidad y convertirlo en una oferta más orgánica y menos estática. ¿Beneficia esto a la práctica...?

Daniel Raywood

La seguridad cibernética 21 de enero de 2025

Vulnerabilidades de día cero: ¿cómo prepararse para lo inesperado?

Las advertencias de las agencias globales de ciberseguridad mostraron cómo las vulnerabilidades a menudo se explotan como ataques de día cero. Ante una situación tan impredecible...

Daniel Raywood