Datos compilados de cientos de evaluaciones de clientes a través de 15 países, 7 Dominios de Ciberseguridad y 11 industrias.
En los últimos años ha habido un aumento en los presupuestos de seguridad corporativa debido a los ataques sofisticados y la proliferación de soluciones de ciberseguridad. Sin embargo, también ha habido un aumento en las vulnerabilidades y brechas de seguridad, lo que ha llevado a pérdidas financieras y de reputación para las empresas. Este informe destaca las industrias y países con las mejores y peores posturas de ciberseguridad, así como las vulnerabilidades más comunes.
Las industrias financieras obtienen buenos resultados debido a las amenazas a la estabilidad financiera y las regulaciones. Por otro lado, las industrias minoristas y públicas suelen tener una baja puntuación debido a la falta de prioridad en la ciberseguridad.
Las organizaciones muy pequeñas y medianas obtienen puntuaciones más altas debido a sus recursos y enfoque en la seguridad.
Las organizaciones muy grandes suelen tener una baja madurez debido a los desafíos de defender una gran superficie de ataque. El gasto financiero en ciberseguridad no siempre se traduce en una mayor madurez. Noruega tiene las mejores puntuaciones en ciberseguridad, mientras que las empresas mexicanas obtienen resultados más bajos y México es uno de los países más atacados en América Latina en los sectores público y privado.
Seguridad a nivel de aplicación
La seguridad a nivel de aplicación, describe las medidas de seguridad que tienen como objetivo prevenir que los datos o el código dentro de una aplicación sean robados o secuestrados.
En el sector financiero, la seguridad en las aplicaciones que ofrecen a sus clientes es de suma importancia debido a que manejan datos sensibles y se vinculan con cuentas bancarias. Por lo tanto, las empresas financieras obtuvieron una puntuación alta en seguridad a nivel de aplicación. Por otro lado, las empresas minoristas obtuvieron una puntuación baja debido a su rápido crecimiento en línea y a su adopción de nuevas tecnologías de pago y digitales que las hacen vulnerables a ciberataques. Las vulnerabilidades más comunes en este dominio son la divulgación de información técnica y los mensajes de error detallados. Aunque los ataques de inyección SQL ya no son tan comunes, los hackers ahora se enfocan en otros tipos de ataques, como los de XSS. Es interesante observar que muchos países europeos aún tienen puntajes relativamente bajos en este dominio, a pesar de la implementación de GDPR.
Políticas, procedimientos y gobernanza de cruzada organizacional
La gobernanza de seguridad de TI es el sistema mediante el cual una organización dirige y controla la seguridad de TI. Determina quién está autorizado a tomar decisiones. Proporciona supervisión para garantizar que los riesgos se mitiguen adecuadamente y que las estrategias de seguridad estén alineadas con los objetivos empresariales y sean consistentes con las regulaciones.
5 Principales hallazgos
La madurez en ciberseguridad de una organización está estrechamente relacionada con el riesgo. Una organización con alta madurez en ciberseguridad puede identificar y mitigar riesgos de manera efectiva, lo que reduce el riesgo a largo plazo. Cinco conclusiones principales siguen siendo relevantes, aunque han sido problemas conocidos por décadas. La falta de políticas de actualización de seguridad es un problema común que se pasa por alto. Al abordar estas conclusiones, las organizaciones pueden mejorar significativamente su madurez en ciberseguridad. Alemania obtiene altas puntuaciones y muestra un enfoque descendente hacia la ciberseguridad. Las organizaciones del sudeste asiático tienen puntuaciones más bajas, posiblemente debido a una regulación menos madura en comparación con Europa. La gestión de permisos es un desafío común en todas las organizaciones, ya que luchan por mantener máquinas y servicios de manera segura
Gestión de identidades y acceso remoto
5 Principales Hallazgos por porcentaje
El dominio de seguridad de Gestión de Identidades y Acceso Remoto aborda los hallazgos más populares y explotados por los atacantes, pero también ofrece una oportunidad para las organizaciones, ya que permite una mejora muy rápida. Las contraseñas débiles lideran el ranking de los 5 hallazgos más comunes y básicos en casi el 32% de las organizaciones, lo que junto con mecanismos de autenticación débiles, permite a los hackers acceder a datos sensibles con poco o ningún esfuerzo. El sector energético lidera este dominio, y las empresas de petróleo y gas, como infraestructuras críticas y el principal objetivo de los ciberdelincuentes, han mejorado significativamente su madurez en este ámbito. El puntaje más bajo lo obtiene Emiratos Árabes Unidos, posiblemente debido a la falta de conciencia sobre esta problemática y la tardía implementación de leyes y políticas para combatir el robo de identidad.
Seguridad a nivel de red
5 Principales Hallazgos
A pesar de contar con personal capacitado en tecnología, las empresas tecnológicas no tienen un buen desempeño en la seguridad a nivel de red, esto se debe en parte a que este trabajo es percibido como tedioso y es responsabilidad de personal menos experimentado. Además, es un esfuerzo de largo plazo que requiere colaboración entre diferentes equipos y subredes. Las empresas mexicanas tienen la puntuación más baja en este ámbito, mientras que la industria de servicios lidera el ranking, posiblemente por la presión de los clientes para aplicar medidas de seguridad de alto nivel. Los hallazgos principales destacan el impacto de la pandemia, que ha obligado a muchas organizaciones a tener una presencia en línea.
Monitoreo de operaciones de seguridad y respuestas a incidentes
5 Principales Hallazgos
El dominio de monitoreo de operaciones de seguridad y respuesta a incidentes requiere una inversión estratégica a largo plazo en tecnología, personal y procesos. La industria financiera lidera este dominio debido a su histórica inversión en la reducción del tiempo de respuesta y la contención de ciber eventos. En el ranking, Croacia ocupó el primer lugar en el 2022 debido a su alta conciencia, aprendizaje e inversión en este dominio en los últimos años. Aunque el monitoreo es una segunda línea de defensa, las organizaciones lo perciben erróneamente como una primera línea de defensa. Por lo tanto, las organizaciones deben ser cautelosas y priorizar la inversión en políticas y tecnología de protección antes de priorizar el monitoreo.
Gestión de datos e información sensible
5 Principales Hallazgos
El sector de la salud ocupa el último lugar en la clasificación de ciberseguridad, a pesar de manejar información personal sensible. Esto refleja una seria falta de conciencia sobre la protección de datos en estas organizaciones. La falta de procesos para eliminar datos sensibles en archivos compartidos es una vulnerabilidad común en este sector. Además, muchos países europeos aún no cumplen plenamente con las regulaciones de ciberseguridad, a pesar del GDPR. Las puntuaciones de madurez en el dominio son relativamente altas debido a las regulaciones que enfatizan la seguridad de los datos como un requisito fundamental en ciberseguridad.
Servidores, equipo de red y seguridad de puntos finales
El uso de tecnología obsoleta es un desafío importante en ciberseguridad. Las pequeñas organizaciones obtuvieron la puntuación más alta debido a la facilidad de aplicar medidas de seguridad en puntos finales. Noruega lidera en puntuaciones debido a su aumento en el gasto en defensa digital para proteger su infraestructura crítica de TI ante el riesgo de ciberataques patrocinados por Rusia. Este aumento de amenazas está relacionado con el apoyo militar y comercial de Noruega a Ucrania.
Recomendaciones:
- Invertir en capacidades en lugar de herramientas para construir bases sólidas en ciberseguridad y gestionar el riesgo de manera efectiva.
- Adoptar un enfoque integrado de ciberseguridad con la participación de la dirección para comprender los riesgos y asignar la inversión financiera necesaria.
- Evaluar a fondo la situación, cuantificar el riesgo y priorizar la mitigación basada en datos para asignar recursos de manera eficiente.
- Cuantificar el ciber riesgo identificando amenazas, vulnerabilidades y activos críticos del negocio, considerando el contexto financiero y estimando la probabilidad de violación.
- Planificar la mitigación en base a los datos recopilados e invertir en soluciones integrales que aborden los problemas fundamentales.
Fuente: Resumen del documento de CYE Cybersecurity Maturity Report 2023.
