De acuerdo con un estudio encargado a IDC Research por Palo Alto Networks, solo el 38% de los directores de seguridad de la información (CISO) en EMEA (Europa, África y Medio Oriente) y Latinoamérica creen que su estado de resiliencia cibernética es maduro.
“La resiliencia cibernética se define como la capacidad de anticipar, resistir, recuperarse y adaptarse a condiciones adversas, tensiones, ataques o compromisos en sistemas que utilizan o están habilitados por ciberrecursos”, definió Daniela Menéndez, Country Manager de Palo Alto Networks México.
Medir la resiliencia cibernética ayuda a lograr los objetivos comerciales, contribuye a la continuidad del negocio, permite que los CISO creen sus estrategias para tener cero interrupciones, ayuda a mantener una sólida higiene cibernética y mejora la reputación y confianza en las empresas.
Si bien la investigación encontró que el 40% de las organizaciones de EMEA y LATAM confían en su capacidad de resiliencia para superar un ciberataque sin grandes interrupciones.
En México, el 32% de las organizaciones considera que la resiliencia cibernética es una máxima prioridad, considerándose en una etapa madura/ estratégica, sin embargo solo el 28% de los CISO en México prueban regularmente sus planes de recuperación, lo cual conlleva a que muchos de sus planes no funcionen con éxito ante una emergencia real.
El 41% de las empresas en México lo ve como una oportunidad, es decir, saben que es importante y está en sus planes próximos; el 22% están en una etapa ad-hoc, es decir, saben que deben adoptarlo pero no es un eje principal en sus estrategias. Estos datos destaca la necesidad de desarrollar iniciativas estratégicas y desafiar los conjuntos de herramientas existentes para mejorar las posturas de ciberseguridad.
Sorprendentemente, sólo el 21% de los CISO de la industria bancaria, servicios financieros y de seguros prueban periódicamente planes de recuperación, una de las tasas más bajas en todos los sectores verticales, a pesar de ser uno de los más regulados. Sin embargo, con los niveles de amenaza y la complejidad del mercado en aumento, los CISO tienen una tarea difícil.
Otro de los hallazgos del estudio es la escasez de talento y la falta de habilidades emergentes en tecnología de seguridad que se ubican como los principales desafíos para lograr la resiliencia cibernética, ambos citados por el 70% de los encuestados, seguidos por la falta de correlación entre múltiples productos (52%).
Los resultados muestran cómo, a pesar de que el 78% de las organizaciones en EMEA y LATAM reconocen la importancia de la resiliencia cibernética, la fragmentación y la demanda de recursos impiden que las aspiraciones se alineen con la realidad.
“A pesar de los niveles moderados de madurez en EMEA y LATAM, es sorprendente ver cuán pocos CISO están equipados para probar periódicamente sus planes de recuperación. Sin embargo, los CISO se enfrentan a una batalla cuesta arriba. Por un lado, los acontecimientos geopolíticos y la interrupción de la cadena de suministro aumentan el nivel de amenaza, mientras que, por otro, la escasez de talento y experiencia relevante hace que la implementación de soluciones y la preparación para contrarrestar ataques futuros sean cada vez más desafiantes”, agregó Daniela Menéndez.
La fragmentación no es el único reto, pues la investigación destacó también una serie de desafíos tecnológicos. El uso de controles de ciberseguridad maduros para la resiliencia cibernética es de solo el 11%; algunos países de EMEA lo califican entre 0% y 5%, y la mayoría depende en gran medida de planes de continuidad del negocio (74%), planes de recuperación ante desastres (72%), planes de recuperación de ransomware (54%) y estrategias de gestión de crisis (51%).
En México se prefiere dejar la responsabilidad de la resiliencia cibernética a un líder de la unidad de negocios, lo cual difiere de la mayoría de los mercados encuestados, donde se prefiere a los CIO.
Bert Millan, RVP para América Latina y el Caribe de Palo Alto Networks, agrega: “Muchas organizaciones aún no tienen los recursos y la confianza para implementar una tecnología de resiliencia cibernética diseñada para prevenir ataques. Por ejemplo, en Brasil, el 43% de las organizaciones considera la resiliencia cibernética como una máxima prioridad, el segundo porcentaje más alto del mundo. Este número disminuye en México al contar solo con 32%. Esta falta de visibilidad del impacto de las amenazas y el enfoque en la resolución está dejando a las organizaciones expuestas a más amenazas e incapaces de planificar para futuros riesgos”.
La investigación refleja el deseo de hacer un cambio cultural en torno a la resiliencia cibernética, y la influencia de los altos directivos se vuelve cada vez más importante. El 72% de los encuestados dijo que los miembros de la junta directiva son el principal impulsor del enfoque de la organización en la resiliencia cibernética, por encima de los imperativos regulatorios (70%).
“Los ataques ocurren más rápido de lo que las organizaciones pueden responder. En promedio, a las organizaciones les toma 6 días en remediar un ataque una vez que éste es detectado”, puntualizó Dula Hernández, Systems Engineering Manager at Palo Alto Networks México.
Finalmente, IDC y Palo Alto Networks coinciden en que es vital que exista un compromiso claro de la alta dirección para crear y mantener políticas claras de ciberseguridad y medir el impacto, así como empoderar a los mandos intermedios para tomar decisiones más rápidas. La responsabilidad de reaccionar ante los incidentes recae en los equipos de ciberseguridad, en lugar de capacitar a la empresa para desarrollar mejores posturas.
Karina Rodríguez Peña
Te invito a ver la entrevista al respecto: Resiliencia Cibernética, un reto que deben enfrentar las empresas en México
