A las empresas les preocupan los robos de identidades, la exposición de las aplicaciones en la nube, los dispositivos desprotegidos y los accesos no autorizados
La inversión en ciberseguridad siguió aumentando en el tercer trimestre
En el tercer trimestre de 2020, los ataques de phishing y los robos de identidades y credenciales constituyeron las principales preocupaciones para más de la mitad de las empresas (el 52 %), según los datos que han publicado hoy Pulse Secure (adquirido por Ivanti) y CyberRisk Alliance. Además, más de un tercio de los encuestados (el 38 %) de todo el mundo han sufrido casos de acceso indebido o no autorizado a los recursos, las aplicaciones o los datos. La probabilidad de padecer en consecuencia exfiltraciones de datos o tráfico anómalo o malicioso era considerablemente mayor entre las empresas norteamericanas (39 %) que entre las europeas (26 %).
El índice CRAE, ideado por CyberRisk Alliance (CRA) y suscrito por Pulse Secure, es un indicador trimestral de series temporales que mide el foco y la orientación generales de las actividades, el gasto y el progreso percibido con el tiempo en materia de ciberseguridad en las empresas europeas y norteamericanas. Las puntuaciones por encima de 50 indican un aumento del gasto o la eficacia, mientras que las que no llegan a dicha cifra señalan una disminución del gasto o la eficacia.
El gasto en seguridad informática y la asignación de recursos globales aumentaron en comparación con el trimestre anterior (se pasó de 66,5 en el T2 a 66,7 en el T3). En cambio, la eficacia global disminuyó (de 75,8 en el T2 a 74,2 en el T3), lo cual demuestra que el aumento del gasto no trajo consigo una percepción de mayor seguridad. En Norteamérica, el gasto se mantuvo estable (en 66,5) entre el T2 y el T3, pero se invirtió más en medidas de seguridad reactivas que en soluciones proactivas. El índice CRAE europeo, por su parte, muestra un aumento en la asignación de recursos y el gasto trimestrales (en el T3 se situó en 68,4, mientras que en el segundo se había quedado en 66,5), con una preferencia por medidas más proactivas y una reducción similar en cuanto a la eficacia (pasó de 74,9 en el segundo trimestre a 74,4 en el tercero). La puntuación fue más alta (con una diferencia de 1,9 puntos) para Europa que para Norteamérica, tal vez debido a que las empresas mejoraron la aplicación de las medidas del Reglamento General de Protección de Datos (RGPD) de la Unión Europea.
En el sector sanitario, el gasto y la asignación de recursos destinados a la ciberseguridad aumentaron considerablemente en todo el mundo
El crecimiento del gasto y la asignación de recursos en el sector sanitario ganó 5,8 puntos en el tercer trimestre, para alcanzar un índice de 69,6 puntos. El motor de esta expansión se encuentra en las medidas de protección (como los programas de concienciación y formación en materia de ciberseguridad, el desarrollo de procesos para proteger los activos físicos y digitales y la compra o implementación de tecnología de ciberseguridad), que aumentaron en 8,7 puntos para llegar a un índice de 75,2. Además, el índice de eficacia de la «Protección» aumentó en 7,6 puntos para alcanzar los 80,6, principalmente debido a la correspondiente eficacia de la protección: las empresas sanitarias en general ganaron confianza en la efectividad de sus inversiones económicas y de recursos desde el segundo trimestre.
Los encuestados del sector sanitario destacaron las limitaciones presupuestarias (una tendencia que continuaba desde el segundo trimestre) como la principal dificultad a la hora de combatir las amenazas, cada vez más graves, y los riesgos que suponen los descuidos y la falta de formación del personal que maneja datos muy confidenciales. En cuanto a los retos en materia de ciberseguridad durante el último trimestre, los que más afectaron a los encuestados del sector sanitario fueron elphishing y el robo de identidades/credenciales (54 %), seguidos de los eventos relacionados con las auditorías y el cumplimiento de normativas externas (33 %) y los problemas de seguridad del IdC y malware en los endpoints (32 %).
Las empresas de servicios financieros y las aseguradoras se han concentrado en la recuperación
La asignación de recursos y el gasto en los servicios financieros pasaron de 68,2 en el segundo trimestre a 67,4, descenso que fue acompañado de una caída de 3,2 puntos en el índice de eficacia (de 77,3 a 74,1). Estos cambios reflejan una ralentización en el crecimiento del gasto y un optimismo decreciente en cuanto a la eficacia de la seguridad durante el tercer trimestre. El único componente de la eficacia que aumentó fue la «Recuperación», lo cual abarca el desarrollo y la ejecución de procesos y planes de recuperación, la coordinación de la comunicación durante las actividades de recuperación y la implantación de mejoras basadas en lo aprendido. Los encuestados mencionaron un aumento de la eficacia de la seguridad, que subió 2,9 puntos, lo cual sugiere un crecimiento del optimismo en cuanto a los planes de recuperación y las futuras mejoras.
Entre los retos que afrontó este sector durante el tercer trimestre, destacan el aumento de las amenazas externas, las interrupciones de la actividad, los daños y robos de datos, las filtraciones y la falta de innovaciones en los sistemas. La principal amenaza para la ciberseguridad fue el phishing (59 %), seguido de los ataques basados en la web y en la nube (48 %) y los eventos relacionados con las auditorías y el cumplimiento de normativas internas (41 %).
En el sector manufacturero aumentó la confianza en las nuevas estrategias y normativas
El gasto en recursos experimentó un aumento intertrimestral de 1,2 puntos para alcanzar los 67,8, mientras que la eficacia creció 2,3 puntos para situarse en 75,1. En la «Respuesta» se registró un aumento de 3,8 puntos (cifra por encima de la media), lo cual indica que las empresas se centran en desarrollar controles, políticas y estrategias de respuesta para prevenir futuros ataques. El aumento de 3,7 puntos en la eficacia de la «Identificación» que ha visto el sector manufacturero va en sintonía con la mayor confianza observada en los planes de gestión de activos, las estrategias de gestión de riesgos y los programas de gobernanza.
Las exigencias del teletrabajo que ha traído consigo la pandemia han afectado a las empresas manufactureras, y numerosos encuestados del sector han aludido a cambios positivos en las políticas de seguridad de sus empresas. Pero, a pesar de estas mejoras, el phishing y el robo de identidades/credenciales supusieron la principal amenaza para la ciberseguridad (52 %), seguidos de los eventos relacionados con las auditorías y el cumplimiento de normativas internas (45 %) y las amenazas que afectan al IdC y los endpoints (42 %).
En los servicios empresariales y de alta tecnología se ralentizó el crecimiento de todos los subíndices
En el sector de los servicios empresariales y la alta tecnología, disminuyó tanto el gasto (con una caída de 3,8 puntos para situarse en 64,1) como la eficacia (con una disminución de 7,3 puntos para quedarse en 72,4). Según las respuestas de los encuestados, se ralentizó el crecimiento del gasto y la eficacia en los cinco componentes del NIST durante el tercer trimestre: la mayor caída (de 12,3 puntos) se registró en la eficacia de la «Protección», lo cual abarca la concienciación/formación en materia de ciberseguridad, el desarrollo de procesos para proteger los activos físicos digitales, y la compra o implementación de tecnología de ciberseguridad.
Aunque los encuestados aludieron a un aumento de los ataques, tanto en número como en alcance, y a un incremento de la sofisticación y adaptabilidad de los atacantes, este sector registró una ralentización del crecimiento en todos los subíndices, lo que sugiere una debilitación de la expansión de los recursos. Curiosamente, el phishing resultó ser la menor preocupación (42 %), situada por debajo de las tres principales: los problemas de seguridad del IdC y malware en los endpoints (46 %), los ataques basados en la web o en la nube (45 %) y las amenazas internas y el comportamiento anómalo de los usuarios (44 %).
cybersecuritynews - Aina Pau Rodríguez