COVID-19 destaca la necesidad de que los líderes empresariales y de seguridad trabajen juntos para prevenir ataques cibernéticos


El nuevo estudio de Tenable dice que el 94% de las organizaciones experimentaron un ciberataque o compromiso que impactó en los negocios en los últimos 12 meses El 46% resistió cinco o más ataques.

qué tan seguros estamos

Imagen: Forrester / Tenable

A medida que los actores de la amenaza ganan impulso con una avalancha continua de malware y estafas de phishing relacionadas con COVID-19, los líderes empresariales y de seguridad están preocupados por el impacto en la empresa. Según un nuevo informe de Tenable, el 94% de los encuestados experimentó un impacto comercial ataque cibernetico en el último año, y el 46% de las empresas sufrieron cinco o más ataques.

Una de las causas señaladas fue la desconexión entre el negocio y la seguridad de una organización, y se vio exacerbada por el brote de COVID-19:

  • En abril, el 41% de los encuestados tuvo al menos un ataque cibernético directamente relacionado con COVID-19 en los últimos 12 meses.
  • El informe encontró que el 96% de los encuestados desarrollaron estrategias de respuesta COVID-19: el 75% de los líderes empresariales y de seguridad dijeron que sus estrategias de respuesta COVID-19 solo están «algo» alineadas
  • En dos años, el 77% de los ejecutivos esperan que aumenten los ataques cibernéticos.

VER: Seguridad de confianza cero: una hoja de trucos (PDF gratuito) (TechRepublic)

Un «programa de seguridad debe incluir la identificación de todos los activos en todos los entornos informáticos y comprender la exposición de cada uno, incluidas las vulnerabilidades, las configuraciones erróneas y otros indicadores de salud de seguridad», dijo Nathan Wenzler, estratega jefe de seguridad de Tenable.

Impacto de los ciberataques

Los ataques cibernéticos pueden tener un efecto importante en la empresa, afectando no solo las operaciones diarias, sino que pueden dañar permanentemente la reputación de una empresa si no se abordan de inmediato. El informe reveló lo que experimentaron los encuestados:

  • El 36% perdió datos confidenciales o productividad
  • 35% experimentó pérdida financiera o robo
  • 32% experimentado robo de identidad

Es evidente que las empresas necesitan estrategias de respuesta para las infracciones, pero el 75% de los líderes de la organización no se sienten sincronizados con las estrategias. Los líderes empresariales exigen una imagen clara de la ciberseguridad, mientras que sus líderes de seguridad luchan por encontrar claridad.

Conectar la desconexión

Solo el 40% de los líderes de seguridad pueden responder con un alto nivel de confianza, «¿Cuán seguros o en riesgo estamos?» Pero, según el informe, solo un líder de ciberseguridad que se alinee fuertemente con el líder empresarial de una organización puede tener confianza en la respuesta. Solo cuatro de cada 10 líderes de seguridad cumplen con este requisito. El informe identificó una desconexión entre el negocio y la seguridad sobre cómo manejar el riesgo cibernético. Menos del 50% de los líderes de seguridad entienden la relación entre una amenaza de ciberseguridad y cómo afecta directamente a un riesgo comercial específico, mientras que no suficientes líderes de seguridad (51%) creen en una coordinación con las necesidades de las partes interesadas del negocio, en relación con el costo, el rendimiento y el riesgo. -reducción de objetivos.

A pesar de la ola de ataques cibernéticos, solo el 25% de los líderes de seguridad revisan periódicamente las métricas de rendimiento de seguridad con las partes interesadas del negocio.

Falta de comunicación

Si bien los ataques de ciberseguridad pueden tener un tremendo impacto en las finanzas, la reputación y la sostenibilidad de una empresa, la ciberseguridad rara vez se integra por completo en una estrategia comercial. La coordinación clara entre los líderes de seguridad y los ejecutivos de negocios es crítica. No hay suficiente discusión sobre la estrategia de ciberseguridad: el 47% de los líderes de seguridad con frecuencia discuten la ciberseguridad con ejecutivos de negocios, y el 42% de los ejecutivos de negocios rara vez, «si es que lo hacen», consultan con los líderes de seguridad sobre estrategias de negocios.

Incluso si la política requiere que los líderes de seguridad apliquen objetivos de gestión de riesgos empresariales y prácticas de priorización de vulnerabilidad, solo el 44% de los líderes de seguridad cumplen. Más del 50% de los líderes de seguridad informan que la seguridad tiene una evaluación integral y comprensión de lo que es susceptible a los ataques. Para medir el riesgo de sus organizaciones, menos del 50% de las organizaciones de seguridad utilizan métricas de amenazas que incorporan el contexto de riesgo empresarial.

VER: Política de mejores prácticas del certificado SSL (TechRepublic Premium)

«Acercarse a los esfuerzos del programa de seguridad desde una perspectiva de gestión de riesgos permite a los líderes de seguridad mejorar la desalineación y elevar la conversación sobre el riesgo cibernético dentro de la organización», dijo Wenzler. Sugirió que los líderes de seguridad creen un lenguaje simplificado y unificado «que no sea abiertamente técnico y enmarque el riesgo cibernético de una manera que sea fácil de entender para todos» para que los líderes empresariales y de seguridad puedan tomar mejores decisiones sobre la gestión de riesgos. Agregó: «Aquí es donde vemos a los líderes de seguridad y CISO más exitosos abogando por la seguridad de la tecnología y el negocio evolucionando de expertos en tecnología a líderes de seguridad alineados con los negocios».

Los líderes de seguridad no solo analizan y priorizan los posibles riesgos cibernéticos (a pesar del contexto de amenaza limitado), sino que ejecutan la corrección basada en lo que los líderes empresariales consideran activos críticos.

Una organización puede esperar un buen resultado cuando la seguridad y los negocios están sincronizados con los datos contextuales acordados. Los líderes de seguridad alineados con los negocios tienen ocho veces más probabilidades, como sus pares que operan de manera aislada, de tener una gran confianza al informar el nivel de seguridad o riesgo de las organizaciones. Muchas organizaciones alineadas con empresas (80%) emplean a un Oficial de Seguridad de la Información Empresarial (BISO), en comparación con el 35% de sus contrapartes menos alineadas.

¿Seguro o en riesgo?

Otros hallazgos del informe:

  • El 72% de los líderes de seguridad (exitosos) alineados con los negocios tienen «mucha o complete confianza en su capacidad para informar sobre el nivel de riesgo de sus organizaciones»
  • El 9% de los líderes de seguridad que no trabajan en conjunto con las empresas responden con el mismo nivel de confianza
  • El 85% de esos líderes de seguridad alineados con el negocio utilizan métricas para rastrear el retorno de la inversión (ROI) de ciberseguridad y el éxito de un negocio
  • El 25% de los líderes de seguridad que no trabajan en conjunto con los negocios no solo están aislados, sino que son reactivos y no emplean métricas.

4 conclusiones clave del informe

El informe ofrece estos cuatro elementos importantes a tener en cuenta:

  1. Un «clima de incertidumbre» es un forraje maduro para las amenazas de ciberseguridad y crea una preocupación de mayor perfil, un tema de visibilidad a nivel de la junta.
  2. Los líderes de seguridad realmente se esfuerzan por proporcionar a sus pares líderes empresariales lo que este último quiere: claridad sobre la ciberseguridad de la compañía.
  3. Muchas organizaciones no alinean la seguridad con las empresas, lo que crea una «desconexión» en la gestión de los ciberataques.
  4. La ciberseguridad debe desarrollarse en conjunto con la estrategia empresarial.

La empresa necesita un nuevo enfoque de seguridad. Wenzel explicó: «Uno que eleva y alinea el papel del CISO con otros líderes empresariales. La seguridad de la información es realmente una función de gestión de riesgos», no solo una función de TI.

Metodología

Tenable encargó a Forrester realizar una encuesta en línea de 416 ejecutivos de seguridad y 425 ejecutivos de negocios, y entrevistar a cinco ejecutivos de negocios y seguridad para examinar las estrategias y prácticas de seguridad cibernética en empresas medianas y grandes.

Ver también



Enlace a la noticia original