Si bien las organizaciones más grandes suelen ser consideradas como las que cuentan con más recursos para diseñar una defensa cibernética más potente, los resultados de la encuesta indicaron que el tamaño no es un factor determinante del nivel de preparación en cuanto a ciberseguridad y casi el 75% de los encuestados reconoció que su nivel de madurez en lo que respecta a la seguridad informática es insuficiente.
Esta falta de preparación detectada en el Cybersecurity Poverty Index (realizado por la RSA) en general no es sorprendente, ya que muchas de las organizaciones encuestadas sufrieron incidentes de seguridad que dieron lugar a pérdidas o daños en sus operaciones en los últimos 12 meses. El área más preparada en las empresas resultó ser la de protección, y en concreto el desarrollo de soluciones preventivas, a pesar de la idea generalizada de que las estrategias y las soluciones preventivas solas son insuficientes frente a los ataques más avanzados.
La mayor debilidad de las organizaciones encuestadas está en la capacidad de medir, evaluar y mitigar los riesgos de la ciberseguridad, y el 45% de los encuestados afirmó que sus capacidades en esta área son “inexistentes”, o “ad hoc”, y sólo el 21% reconoció que está preparado en este aspecto. En este escenario resulta muy difícil o imposible justificar en algunos ámbitos la necesaria prioridad a la actividad de seguridad y a la inversión, una actividad fundamental para cualquier organización que quiera mejorar sus capacidades de seguridad.
El estudio también reveló que el tamaño de una organización no es un indicador de madurez de sus programas de seguridad informática. De hecho, el 83% de las organizaciones encuestadas con más de 10.000 empleados puntuaron sus capacidades como menos “desarrolladas” en el grado de madurez total. Este resultado sugirió que la experiencia de las grandes organizaciones en cuanto a las amenazas avanzadas les hace ser conscientes de la necesidad de una mayor preparación. Las bajas puntuaciones que las grandes organizaciones se han dado a sí mismas indicaron que entienden la necesidad de pasar a desarrollar soluciones y estrategias de detección y respuesta para una seguridad más potente y madura.
A pesar de su experiencia, las organizaciones de servicios financieros encuestadas no se autocalificaron a sí mismas como la industria más madura, y sólo un tercio se puntuaron como bien preparadas. Los operadores de infraestructuras críticas, el público objetivo inicial para el CSF, tendrán que hacer avances significativos en sus niveles actuales de madurez. Las organizaciones del sector de Telecomunicaciones se clasificaron con el más alto nivel de madurez; el 50% de los encuestados afirmaron tener capacidades desarrolladas o avanzadas. Las administraciones públicas se situaron en el último lugar en todos los mercados en la encuesta, con sólo el 18% de los encuestados calificándose como desarrollados o favorecidos. Los niveles más bajos de autoevaluaciones de madurez en mercados que son maduros en otros ámbitos, demostraron una mayor comprensión del panorama de amenazas avanzadas y de la necesidad de desarrollar capacidades mejoradas para ponerse a la altura.
Según la zona geográfica, Norteamérica se sitúa por detrás de las regiones APJ y EMEA. Las organizaciones de APJ consideraron que tienen estrategias de seguridad más consolidadas, con un 39% que se clasificaron como desarrolladas o por encima del nivel de madurez global, mientras que solo el 26% de las organizaciones en EMEA y el 24% en Norteamérica se posicionaron como desarrolladas o aventajadas.
“Esta investigación demuestra que las empresas continúan invirtiendo grandes cantidades de dinero en firewalls de nueva generación, antivirus y protección contra malware avanzado con el fin de detener las amenazas avanzadas. A pesar de la inversión en estas áreas, incluso las grandes organizaciones no se sienten preparadas para hacer frente a las amenazas. Creemos que esta dicotomía es el resultado del fracaso de los modelos actuales de seguridad basados en la prevención para hacer frente a las amenazas”, comentó Amit Yoran, presidente de RSA, la división de Seguridad de EMC.