Uno de los problemas identificados por el reporte es que, mientras los atacantes evalúan constantemente los entornos que intentan vulnerar, en la mayoría de las organizaciones las reuniones sobre los sistemas críticos para el negocio se celebran una vez al mes en el mejor de los casos, así como la falta de prevención ante este tipo de agresiones, en lugar de la respuesta tardía una vez que ya ha ocurrido.
Ciudad de México, 21 de enero (SinEmbargo).– La Red es una jungla. A pesar de su apariencia ordenada, el caos suele reinar tras bambalinas en Internet. Y, en el caso de México, el peligro acecha en cada esquina. De acuerdo con un reporte reciente, el 43 por ciento de los ciberataques contra empresas tienen éxito y su resolución, en caso de tenerla, llega hasta después de que se vean afectados por la agresión.
«En los dos últimos años, observamos que la organización promedio estaba preparada para defenderse de forma preventiva del 57 por ciento de los ataques cibernéticos que sufría. Sin embargo, tener únicamente esta cobertura las hace vulnerables al 43 por ciento de estos ataques, que tuvieron que mitigar de forma reactiva en lugar de detenerlos por completo», concluye el informe titulado “Es difícil abandonar los viejos hábitos: Es difícil abandonar los viejos hábitos: ¿Cómo los desafíos de los procesos de las personas y la tecnología están perjudicando a los equipos de ciberseguridad en México?”, realizado por la compañía Tenable.
El estudio, basado en una encuesta a 825 líderes globales de ciberseguridad y Tecnologías de la Información (TI), incluidos 101 encuestados mexicanos, realizada en 2023 por Forrester Consulting para la compañía antes mencionada, indica que casi seis de cada 10 encuestados dicen que se concentran casi por completo en combatir ataques exitosos en lugar de trabajar para prevenirlos en primer lugar.
Whitepaper-Forrester_Exposure_Management_Study_MEXICO_es-laY es que tres de cada cuatro de las herramientas de ciberseguridad que se utilizan con más frecuencia son reactivas, no preventivas, lo que dificulta la ejecución de prácticas de ciberseguridad proactivas, precisó. «La mayoría de los encuestados (77 por ciento) considera que la infraestructura en la nube (específicamente la nube pública, multinube y la nube híbrida) es la mayor fuente de exposición en su organización.
Además, tres de cada cuatro encuestados (76 por ciento) consideran que su compañía tendría más éxito en la defensa contra los ataques cibernéticos si dedicara más recursos a la ciberseguridad preventiva. Un número similar (75 por ciento) de los encuestados tienen 25 o más empleados destinados a la implementación, el soporte, el mantenimiento y las relaciones con los proveedores de las herramientas de ciberseguridad preventiva que utilizan.
Uno de los problemas identificados por el reporte es que, mientras los atacantes evalúan constantemente los entornos que intentan vulnerar, «en la mayoría de las organizaciones las reuniones sobre los sistemas críticos para el negocio se celebran una vez al mes en el mejor de los casos».
En la mayoría de las organizaciones (56 por ciento), los líderes de TI y seguridad se reúnen cada mes con los líderes de negocios para debatir qué sistemas son críticos para el negocio. Más del 29 por ciento de las organizaciones solo se reúnen una vez al año (o menos). «Teniendo en cuenta que los atacantes evalúan constantemente el entorno, creemos que es fundamental mantener reuniones y comunicaciones más frecuentes sobre la criticidad de los sistemas para el negocio a fin de reducir el riesgo», señala el documento.
Por otra parte, si bien la mayoría de los encuestados (81 por ciento) afirma tener en cuenta la identidad del usuario y los privilegios de acceso al priorizar las vulnerabilidades para su corrección, «más de la mitad señala que su organización carece de una forma eficaz de integrar dichos datos en sus prácticas preventivas de ciberseguridad y gestión de exposición». Es decir, las compañías no son las únicas vulnerables, sino sus usuarios.
Otra dificultad identificada por el reporte es que recopilar todos estos datos requiere de mucho tiempo. «En promedio, lleva 16 horas al mes elaborar informes para los líderes de negocios sobre la salud de su infraestructura de seguridad», indica.
«Para empeorar aún más las cosas, las organizaciones carecen de un método estandarizado para priorizar la corrección de vulnerabilidades en los activos de TI tradicionales. Los encuestados recurren a otra mezcolanza, esta vez de metodologías y marcos, para intentar comprender qué vulnerabilidades representan el mayor riesgo para la organización», completó.
A esto se suman todavía más dificultades, ya que el 70 por ciento de todos los encuestados (profesionales de TI y seguridad) afirman que el área de TI «está más preocupada por el tiempo de actividad que por la colocación de parches o la corrección». «Además, el 32 por ciento de todos los encuestados considera que la coordinación entre los equipos de TI y de ciberseguridad es difícil y requiere mucho tiempo».
El reporte achaca a «la falta de una visión unificada y contextual de los usuarios, los sistemas y el software» que los equipos de seguridad «no puedan evaluar eficazmente lo que ocurre a lo largo de la superficie de ataque». «Además, los intereses de negocios suelen favorecer la velocidad y el tiempo de actividad en detrimento de la seguridad», detalla.
Para reducir los riesgos y enfrentan todas las problemáticas planteadas por los encuestados, el reporte propone 1algunas recomendaciones específicas. Las primeras dos están dedicadas a las personas que trabajan en el sector:
Primero, «hacer que todos los miembros de la organización cumplan con las mismas métricas, independientemente de si trabajan en sus equipos de ciberseguridad, TI, ingeniería, DevOps, gestión de identidades y acceso o en la nube» y, segundo, reducir el número de herramientas aisladas en silo que estén en uso para que los equipos que tienen la responsabilidad de gestionar todas estas soluciones dispares, y que pasan horas todos los meses elaborando informes a partir de ellas, puedan concentrarse en el análisis constante y la corrección preventiva en toda la profundidad y amplitud de la superficie de ataque.
«Destinar más recursos a la práctica de la ciberseguridad preventiva es el primer paso para reducir el riesgo cibernético», resalta. También propone que la seguridad se incorpore a todos los procesos de negocios y «esté en manos de todos los miembros de la organización», entre otros, destinados sobre todo a los integrantes de estas organizaciones.