Las empresas no cumplen con los informes obligatorios de …


Sin particular y bajo fuego, las empresas no informan los delitos cibernéticos, incluso cuando están legalmente obligados a notificar a las autoridades, según muestran los resultados de una nueva encuesta.

Casi dos tercios de las organizaciones continúan sin reportar delitos cibernéticos, incluso cuando se requiera que los informes cumplan con las regulaciones o la ley, según un informe publicado hoy.

En su informe «El estado de la ciberseguridad 2020», la organización de educación y certificación ISACA descubrió que el 62% de los 2.051 profesionales de ciberseguridad encuestados piensan que sus empresas no denunciaron delitos cibernéticos y, en dos tercios de los casos, piensan que la denuncia de delitos cibernéticos es obligatoria por ley o regulación . Según los encuestados, solo el 16% de las empresas denuncian con precisión los delitos cibernéticos.

La alta tasa de fallas para la presentación de informes puede ser una señal de que las empresas no están revelando infracciones cuando deberían hacerlo, pero es más possible que especule que un activo vulnerable tiene el potencial de ser violado, dice Ed Moyle, socio fundador de la consultora Protection Curve, que escribió El informe para ISACA.

«La respuesta cínica es que probablemente hay algunas compañías que no informan cuando deberían», dice. «Sabemos que sucede, Uber lo hizo, pero dada esta información, soy un poco escéptico. Todo se cut down al hecho de que todos sabemos que la seguridad es bastante porosa para muchas organizaciones».

La falta de denuncia de delitos cibernéticos es preocupante, ya que la falta de informes puede dificultar una respuesta informada. La tasa del 62% para 2020 ha disminuido ligeramente desde 2019, cuando el 66% de los encuestados dijo que creía que sus empresas no habían denunciado un delito cibernético cuando deberían haberlo hecho.

No informar los delitos cibernéticos cuando la notificación es obligatoria sugiere que las compañías pueden estar eludiendo las regulaciones diseñadas para proteger los datos del consumidor. los reportePor ejemplo, el 70% de los encuestados cree que las estrategias de ciberseguridad de sus empresas están «alineadas con el objetivo organizacional», y el 53% piensa que el directorio de la compañía ha priorizado adecuadamente la ciberseguridad.

«Esto implica un grado de coordinación entre las partes interesadas no relacionadas con la seguridad y la función de seguridad», señala el informe. «El hecho de que la percepción de la falta de informes continúe dada una fuerte coordinación con otros grupos y una supervisión implícita implica una falla sistémica, tal vez en algunos casos incluso intencionada, de informar».

El informe también muestra que los ataques cibernéticos continúan aumentando: alrededor de un tercio de las empresas, el 32%, dice que experimentaron más ataques, una cuarta parte está viendo la misma cantidad de ataques y solo el 6% está viendo menos ataques. Sin embargo, en comparación con 2019, el aumento de los ataques se ha ralentizado, con el 56% de los encuestados viendo los mismos o más ataques, en comparación con el 65% del año pasado. (Una parte importante de los encuestados se negó a responder).

Parte de la tendencia puede deberse al movimiento common de los negocios hacia la nube, dice Moyle.

«La tasa de ataque absoluto puede estar donde siempre ha estado, pero la visibilidad ha disminuido», dice. «Una gran parte de eso es la falta de visibilidad en la nube. Están empujando a la TI fuera de su infraestructura y ya no tienen la misma visibilidad».

Las empresas no tienen mucha información sobre los atacantes. Solo un tercio de los encuestados puede clasificar a sus atacantes en una o más categorías, con los ciberdelincuentes como el atacante más común (22%) y los hackers en segundo lugar (19%). Las personas con información privilegiada representan los siguientes dos atacantes más comunes: el 11% de los encuestados identifica a las personas con información maliciosa como atacante y el 10% señala a las personas con información no malintencionada.

La encuesta también muestra que las compañías a menudo usan trabajadores de TI para realizar o apoyar una variedad de funciones de seguridad. En el 66% de las organizaciones, los equipos de operaciones de TI son responsables de la respuesta a incidentes, mientras que el 63% son responsables de mantener e implementar herramientas de seguridad, revela la encuesta. Aproximadamente la mitad de todos los equipos de operaciones de TI también deben realizar evaluaciones de vulnerabilidad.

Compartir la responsabilidad puede indicar una falta de personal adecuado para la seguridad, pero también podría mostrar que las empresas están extendiendo las responsabilidades de seguridad como parte de un cambio a DevOps o DevSecOps, señala el informe de ISACA.

«A largo plazo, podría ser algo bueno», dice Moyle. «El monitoreo, por ejemplo, puede introducir un drenaje de talento porque es aburrido, por lo que mezclarlo es bueno y el entrenamiento cruzado es bueno».

Un número relativamente pequeño de organizaciones parece usar inteligencia synthetic (IA) en sus operaciones de seguridad. La encuesta encuentra que solo el 30% de los encuestados united states la IA a sabiendas, mientras que otro 28% no sabe o prefiere no responder. Solo el 43% de los encuestados está seguro de que sus empresas no usan IA para seguridad.

Sin embargo, un resultado interesante es que el uso del aprendizaje automático y la IA parece más elevado en los grupos que vieron más ataques o menos ataques pero no «la misma cantidad de ataques», lo que sugiere que la tecnología puede dar una mayor certeza a las empresas.

Contenido relacionado:

Aprenda de los expertos de la industria en un entorno propicio para la interacción y la conversación sobre cómo prepararse para eso «realmente mal día «en ciberseguridad. Haga clic para más información y para registrarse.

Periodista de tecnología veterano de más de 20 años. Ex ingeniero de investigación. Escrito para más de dos docenas de publicaciones, incluidas CNET News.com, Dark Looking at, MIT&#39s Technological innovation Evaluation, Well-known Science y Wired Information. Cinco premios para el periodismo, incluyendo Mejor fecha límite … Ver biografía completa

Lectura recomendada:

Más strategies





Enlace a la noticia primary