Un reciente Informe de investigación de Moody’s Investors Service observa que las organizaciones tienden a haber aumentado sus inversiones en seguridad cibernética en todos los ámbitos, pero que el gasto adicional no necesariamente conduce a mejores resultados o perímetros defensivos más completos.
Las organizaciones están incorporando casi universalmente defensas básicas de seguridad cibernética y más de la mitad ahora tiene un seguro cibernético, pero el gasto en soluciones defensivas “avanzadas” y “robustas” continúa rezagándose. El 93 % de las organizaciones ahora cuentan con un gerente de seguridad cibernética dedicado, pero la frecuencia y la profundidad de su interacción varía mucho entre las empresas.
Aumenta la inversión en ciberseguridad “básica”, las empresas aún dudan en gastar en sistemas “robustos”
El gobierno de la seguridad cibernética parece estar en alza junto con el gasto general, y la mayoría de las organizaciones ahora tienen administración de seguridad y los ejecutivos interactúan directamente sobre las defensas de TI y los planes de remediación. Sin embargo, hay algunas deficiencias en este arreglo. La comunicación es mejor en algunas organizaciones que en otras y, en muchos casos, las partes interesadas se quedan fuera del circuito con episodios cibernéticos informados a las juntas directivas con el doble de frecuencia que al público.
Los datos muestran que cuanto más cercana es la estructura de informes entre los gerentes cibernéticos y los ejecutivos, más inversión en seguridad cibernética tiende a ocurrir. La inversión en defensas avanzadas también se correlaciona con la presencia de experiencia cibernética relevante en la junta directiva. Y la presencia de objetivos cibernéticos definidos en el paquete de compensación de un CEO se correlaciona con estructuras de informes más estrictas. Pero a pesar de estas relaciones, el papel real y la importancia de un gerente cibernético varían mucho de una compañía a otra.
El 93 % de todas las organizaciones tienen un gerente cibernético, y en algunas industrias específicas (como los servicios financieros) ese número aumenta hasta el 98 %, pero solo alrededor del 50 al 70 % de estos (dependiendo de la industria) están reportando directamente al C -suite. Aún menos (33% a 59%) reportan directamente a los directores ejecutivos. La encuesta muestra que la mayoría de las organizaciones tienen gerentes cibernéticos que informan a los CIO o CTO, lo que parecería un arreglo natural; sin embargo, encuentra que esto también puede crear ciertos conflictos de interés. Los CIO y CTO están sujetos a las preocupaciones presupuestarias tanto como a la seguridad en muchas organizaciones, y las situaciones en las que un CSO más generalista está a cargo de toda la seguridad pueden significar que hay menos experiencia técnica en el extremo ejecutivo de esta ecuación.
¿Cuántas juntas tienen al menos un director con algún nivel de experiencia en ciberseguridad? Esta es otra área que podría mejorar en lo que respecta al conocimiento de inversión en seguridad cibernética. Menos del 50 % de las organizaciones tienen un director con esta experiencia en el directorio, aunque supera el 50 % en la industria de servicios financieros. La mediana de experiencia cibernética en el tablero en las categorías de infraestructura y público se ubica en 0%. De las empresas que cuentan con esta experiencia en sus directorios, un poco menos de la mitad de las veces se deriva de la experiencia práctica.
La divulgación pública adolece de falta de transparencia
El informe señala que la divulgación pública de incidentes cibernéticos no es un proceso transparente y que esta es otra área en la que las organizaciones varían enormemente en sus procedimientos de informe. No existen estándares universales, y la mayoría de las industrias (salvo las organizaciones públicas) dudan en informar voluntariamente al público: solo el 33% de las empresas de servicios financieros lo han hecho en los últimos dos años, y solo el 9% de las empresas de infraestructura. Por otro lado, las industrias varían con un 30% a 50% reportando un incidente a la junta directiva durante ese tiempo.
El informe encuentra que esto generalmente se debe a la regulación que establece el tono interno, porque las categorías de negocios que tienen reglas de informes especiales muestran tasas más altas de divulgación pública.
La inversión en ciberseguridad tiende a medidas básicas
El 86 % de los encuestados dijo que ha tenido al menos un especialista cibernético de tiempo completo en el personal desde 2019, y un 4 % adicional planea agregar uno para fines de 2022. El tamaño del equipo también ha aumentado constantemente desde 2018. La inversión general en ciberseguridad se disparó 15 % en 2019 y otro 17 % en 2020. Y aunque todavía hay un espacio sustancial para el crecimiento (particularmente en el sector público), la cantidad de organizaciones que incluyen la ciberseguridad como un elemento presupuestario discreto también ha aumentado durante este período.
Si bien hay un claro aumento en la inversión en seguridad cibernética en todos los ámbitos, se inclina hacia medidas defensivas básicas: escaneos de vulnerabilidades, desarrollo de planes de respuesta a incidentes, implementación de autenticación multifactor en toda la organización, sistemas de respaldo semanales y evaluaciones periódicas de riesgos cibernéticos. Ninguno de estos son cosas malas, pero existe una tendencia en la mayoría de los sectores a ignorar los métodos avanzados, con algunos destacados en particular. El sector público va a la zaga de todas las demás organizaciones en casi todos los métodos que se encuestaron, y muy pocas (solo alrededor del 10%) utilizan pruebas de penetración. La industria de servicios financieros es la mejor con diferencia en cuanto a la adopción de defensas avanzadas.
Parte del aumento de la inversión en seguridad cibernética también se destina a seguros cibernéticos independientes; El 65% de las organizaciones del sector público tienen cobertura cibernética especializada, al igual que el 57% de las empresas de servicios financieros. Ninguna industria está por debajo del 46% en esta categoría.
We would love to say thanks to the writer of this write-up for this awesome material
