Udo Schneider, Security Evangelist de Trend Micro 

Las empresas corren un riesgo elevado de sufrir un ciberataque porque los datos críticos, las operaciones, la infraestructura y el capital humano no están bien priorizados y protegidos, tal y como pone de manifiesto el Índice de RiesgoCibernético (CRI), un factor que lo que pretende es ayudar a los responsables de seguridad a mejorar la visibilidad de los ciberriesgos a los que están expuestos para que puedan prepararse mejor contra los ataques. Además, comprender las áreas clave de riesgo puede permitir a las empresas ofrecer una mayor seguridad y, al mismo tiempo, cumplir con los requisitos normativos.

Este nuevo índice se ha puesto en marcha por nuestra compañía en colaboración con Ponemon Institute, y se actualizará cada seis meses. El CRI mide el riesgo empresarial en función de la diferencia entre la posición de seguridad actual de las organizaciones y su probabilidad de ataque, con el objetivo de ayudar a los CISO y sus equipos a evaluar, proteger, detectar, responder y recuperarse mejor de las ciberamenazas graves.

La fórmula del CRI

Antes de entrar en estos detalles, conviene explicar rápidamente cómo se calcula el CRI. El índice está formado por dos componentes, el Índice de Preparación Cibernética (cuán preparado se está para combatir las amenazas) y el Índice de Amenazas Cibernéticas (la experiencia en el manejo de amenazas). La fórmula es la siguiente: CRI = CPI – CTI.

El CRI está en una escala de -10 a +10, siendo -10 el riesgo más alto. Los puntos de referencia que se capturan en las encuestas sirven para identificar tendencias que ayudarán a los CISO a gestionar de forma proactiva los riesgos dentro del ecosistema de ciberseguridad en constante cambio.

Los resultados

Según los datos que arroja el estudio, se ha calificado la información de investigación y desarrollo, los secretos empresariales y de comercio, las cuentas de clientes y otra información confidencial como el mayor riesgo de pérdida cuando se produce una infracción. Esto pone de relieve la existencia de una brecha crítica entre la criticidad de los datos y las medidas de protección existentes para garantizar su seguridad. Además, se revela que la capacidad de implementar con seguridad tecnologías disruptivas como las relacionadas con el cloud, lo móvil o el IoT ha sido una gran preocupación para los participantes en la investigación,  junto con la detección de ataques zero-day. Sin embargo, los encuestados afirman que sus CISO tienen la suficiente autoridad y recursos para lograr una postura de seguridad sólida.

Por otro lado, se ha descubierto que una de las principales causas de estos riesgos son las organizaciones complejas y desalineadas, con una falta de conectividad, escalabilidad y agilidad en materia de seguridad, y muy poco personal cualificado para gestionar los sistemas de seguridad.

Profundizando en los resultados, se observan algunas diferencias entre las respuestas ofrecidas por las diferentes organizaciones de distintos tamaños, desglosadas por pequeñas, medianas y grandes empresas.

Los resultados parecen coincidir con lo que la mayoría esperaría: las pequeñas empresas tienen el mayor riesgo cibernético, las medianas empresas cuentan con un riesgo cibernético menor y las grandes organizaciones son las que tienen el menor riesgo cibernético según los factores que componen el índice.

Al ahondar más en los detalles de los resultados de la encuesta, se aprecia que los encuestados de pequeñas y grandes empresas se enfrentan a la misma preocupación en lo que al parámetro de preparación cibernética se refiere:

• Las compañías de menor tamaño y las grandes empresas afirman que la función de seguridad de TI de su organización tiene la capacidad de conocer la ubicación física de los activos y aplicaciones de datos críticos para la organización.
• Las medianas empresas apuntan que la organización activa las tecnologías de seguridad que son suficientes para proteger los activos de datos y la infraestructura de TI.

Hasta cierto punto, este riesgo primario puede no ser sorprendente. En una pequeña empresa, no suele haber mucha función de TI y en una grande, la red tiende a ser muy grande y amplia, por lo que saber dónde están físicamente ubicados estos activos puede ser una tarea difícil. Por otra parte, es posible que las medianas empresas no dispongan de un presupuesto suficiente que les permita permitirse algunos de los componentes clave que conforman un entorno muy seguro.   

En el otro extremo del CRI -el Índice de Amenazas Cibernéticas- se reafirma que las amenazas son universales. Las empresas, independientemente de su tamaño, se enfrentan a las ciberamenazas todos los días. Entre los resultados de la encuesta llama la atención lo siguiente:

• Los encuestados de las pequeñas empresas declararon:
  • El 26% tuvo entre 3 y 6 ciberataques separados que se infiltraron en su organización en los últimos 12 meses, mientras que el 11% ha tenido entre 7 y 10 y el 6% informó de más de 10 casos de este tipo en el último año.
  • El 34% dijo que es muy probable que experimenten un ciberataque que se infiltrará en sus organizaciones en los próximos 12 meses.
• Los participantes de las medianas empresas declararon:
  • El 19% tuvo entre 3 y 6 ciberataques separados que se infiltraron en su organización en los últimos 12 meses. El 14% informó de entre 7 y 10 incidentes de este tipo, y el 8% se ha enfrentado a más de 10
  • El 35% dijo que es muy probable que experimenten un ciberataque que se infiltrará en sus organizaciones en los próximos 12 meses.
• Las grandes compañías declararon:
  • El 19% tuvo entre 3 y 6 ciberataques separados que se infiltraron en su organización en los últimos 12 meses. Otro 15% ha tenido de 7 a 10, pero solo el 3% dijo que ha tenido más de 10.
  • El 39% apuntó que es probable que experimenten un ciberataque que se infiltrará en sus organizaciones en los próximos 12 meses - solo el 29% dijo que es muy probable.

Como puede verse más arriba, es casi inevitable que se produzca un ataque y que este tenga éxito en los próximos 12 meses. Estas respuestas ponen de manifiesto por qué todas las organizaciones tienen un entorno de alta ciberamenaza hoy en día.

Ante este panorama, lo mejor que pueden hacer las organizaciones es prepararse mejor contra las ciberamenazas. Para ello, deberían seguir los siguientes pasos:

• Identificar los datos críticos y crear seguridad en torno a ellos, adoptando un enfoque de gestión de riesgos 
• Minimizar la complejidad de la infraestructura y mejorar la alineación en toda la pila de seguridad
• Mejorar la capacidad de proteger los dispositivos móviles, los dispositivos de tecnología operativa y de información y la infraestructura cloud 
• Invertir en nuevo talento y en el personal existente
• Revisar las soluciones de seguridad existentes con las últimas tecnologías para detectar amenazas avanzadas como el ransomware y los ataques de ingeniería social
• Mejorar la arquitectura de seguridad TI con alta interoperabilidad, escalabilidad y agilidad

En definitiva, el propósito del CRI es dar a las organizaciones una comprensión de sus niveles de riesgo y una visión de muchas áreas sobre su postura de seguridad. A partir de los resultados, pueden hacer cambios en su infraestructura de seguridad, en sus políticas y educar a sus empleados y miembros de la junta directiva para ayudar a minimizar el riesgo en el futuro. A medida que conozca los próximos resultados del CRI, ¿se podrá apreciar una mejora gradual en estos? Esperemos que sí.