Solo en 2022, los ataques cibernéticos globales aumentaron en un 38 %, lo que resultó en pérdidas comerciales sustanciales, incluidos daños financieros y de reputación. Mientras tanto, los presupuestos de seguridad corporativa han aumentado significativamente debido a la creciente sofisticación de los ataques y la cantidad de soluciones de ciberseguridad introducidas en el mercado. Con este aumento de amenazas, presupuestos y soluciones, ¿qué tan preparados están las industrias y los países para abordar de manera efectiva el riesgo cibernético actual?
El nuevo Informe de Madurez de Ciberseguridad 2023 de CYE aborda esta pregunta al arrojar luz sobre la fortaleza de la ciberseguridad en diferentes sectores, tamaños de empresas y países. Destaca qué industrias y países tienen las posturas cibernéticas más sólidas y cuáles están rezagadas, así como las vulnerabilidades más frecuentes en el panorama actual de ciberamenazas.
El análisis se basa en datos de dos años, recopilados de más de 500 organizaciones en 15 países y que abarcan 11 industrias y una variedad de tamaños de empresas. Mide la madurez de la ciberseguridad en siete dominios de seguridad diferentes, incluida la seguridad a nivel de aplicación, la seguridad a nivel de red, la gestión de identidad y el acceso remoto, y más.
Hallazgo n.° 1: los presupuestos más grandes no significan necesariamente una mejor seguridad cibernética
Entre los países, Noruega obtuvo el puntaje más alto en el nivel general de madurez de ciberseguridad, seguida de Croacia y Japón. Aunque estos países no cuentan con los presupuestos sustanciales de seguridad cibernética de países como EE. UU., Reino Unido y Alemania, sí cuentan con sistemas regulatorios avanzados. Otras posibles razones por las que Noruega, Croacia y Japón tomaron la iniciativa incluyen la adopción temprana de la seguridad cibernética en estos países y la planificación unificada por parte de gobiernos y organizaciones. Este hallazgo ilustra cómo las grandes inversiones financieras no necesariamente se traducen en altos niveles de madurez.
Hallazgo n.º 2: puntaje promedio de las empresas tecnológicas
Entre los sectores, las industrias energética y financiera ocuparon los primeros lugares en el nivel general de madurez de ciberseguridad, mientras que las agencias gubernamentales, minoristas y de atención médica se ubicaron entre las más bajas. Sorprendentemente, la industria de la tecnología obtuvo un puntaje promedio, lo que posiblemente se deba a la mayor superficie de ataque que estas empresas generalmente deben defender en comparación con otros sectores.
El puntaje promedio también podría deberse a que las empresas de tecnología tienden a adoptar nuevas tecnologías que podrían ser particularmente vulnerables a ataques y exploits. Además, las empresas de tecnología tienden a experimentar un crecimiento mucho más rápido que otros sectores, lo que puede ser un desafío adicional cuando se trata de mantener una postura cibernética sólida.
Hallazgo n.º 3: las organizaciones pequeñas y medianas obtienen una puntuación más alta que las organizaciones grandes
Sorprendentemente, las organizaciones pequeñas y medianas obtuvieron mejores puntajes de madurez en seguridad cibernética que las organizaciones con más de 10,000 empleados. Esto podría deberse a que las organizaciones pequeñas pueden tener más facilidad para proteger sus pequeñas superficies de ataque. Con organizaciones medianas, invertir en soluciones de ciberseguridad es claramente una prioridad. Sin embargo, cuando se trata de grandes organizaciones, tener que defender una superficie de ataque tan grande claramente tiene un efecto en el nivel de madurez de la ciberseguridad.
Hallazgo #4: Casi un tercio de las empresas carecen de políticas de contraseña efectivas
El estudio encontró que el 32% de las organizaciones tenían políticas de contraseña débiles, un problema altamente solucionable que aparentemente las empresas no han abordado adecuadamente. Además, se encontró que el 23% de las organizaciones tenían mecanismos de autenticación débiles. Esto es preocupante, porque la combinación de los dos problemas empodera a los piratas informáticos, quienes pueden simplemente iniciar sesión con un mínimo esfuerzo.
Recomendaciones para una mejor madurez de la ciberseguridad#
La conclusión general del informe es que la mayoría de las organizaciones no están adecuadamente preparadas para la amenaza de los ataques cibernéticos. Sin embargo, las organizaciones aún pueden lograr una postura de madurez de seguridad cibernética alta sin un gran presupuesto, si planifican y gastan correctamente.
Para protegerse, las organizaciones deben invertir en capacidades, en lugar de herramientas; realizar evaluaciones integrales para evitar que los piratas informáticos exploten las vulnerabilidades; y desarrollar un enfoque integrado de ciberseguridad con responsabilidad a nivel de directorio.
Fuente y redacción: thehackernerws.com
