Compartir

Encuesta en EEUU sobre el estado en materia de ciberseguridad

PorJavier Martínez-Torres - 01 / 10 / 2014

 

Debido a nuestra estrecha relación con la Comisión Europea en programas de investigación en materia de ciberseguridad, en esta última semana he tenido la oportunidad de echar un vistazo a un interesante informe sobre la encuesta de ciberseguridad de 2014 en EEUU. Aunque el informe está disponible en la red, este post resumirá desde mi punto de vista, los puntos destacados que se han encontrado en esta amplia encuesta donde se entrevistaron a más de 500 ejecutivos estadounidenses, servicios de fuerzas del orden, y agencias estatales.

Esta es la 12º encuesta anual  y hay que señalar que ha sido dirigida por instituciones prestigiosas como son el Software Engineering Institute  de la Universidad Carnegie Mellon, el Servicio Secreto de los EEUU, CSO Magazine y PwC. El resultado de la encuesta fue publicado en Junio de este año y hay muchas interpretaciones diferentes en la red sobre sus conclusiones, pero una de ellas es común: “Los programas de ciberseguridad de las organizaciones estadounidenses no rivalizan con la persistencia y la capacidad tecnológica de sus adversarios cibernéticos”, en otras palabras, el enemigo se está haciendo cada vez más fuerte.

Más allá de la conclusión alcanzada, existen puntos mucho más interesantes que el hecho de la fuerza de los “malos”. El informe destaca la necesidad de descartar la idea de que la ciberseguridad de una organización debe ser llevada a cabo exclusivamente por sus propios expertos. Según el informe, “El 82% de las compañías con prácticas de seguridad de alto rendimiento, colaboran con otras para profundizar en su conocimiento de ciberseguridad y de las tendencias de las amenazas”.  Por ello, la compartición de información (Information Sharing) jugará un papel primordial en el futuro cercano si queremos luchar con efectividad contra el cibercrimen. Y está afirmación viene acompañada con la declaración del Secretario de Seguridad, Jeh Johnson, cuando en el pasado febrero ya adelantó: “La ciberseguridad es una responsabilidad compartida. Así que todo el mundo tiene que trabajar en esto: los funcionarios del estado,  líderes empresariales, profesionales de la seguridad, y los propietarios y operadores de servicios públicos” mientras presentaba el nuevo Framework para mejorar la Ciberseguridad en Infraestructuras Críticas.

Algunos otros hallazgos  interesantes incluidos en el informe son:

  • Las tecnologías móviles con sus riesgos asociados se mueven más rápido que las medidas de seguridad para estos dispositivos. Pocas compañías implantan medidas restrictivas como el bastionado de los dispositivos móviles corporativos, la encriptación de dispositivos móviles, etc.
  • Las amenazas no se evalúan continuamente. A menudo las compañías incluyen los riesgos TI como parte de la gestión de riesgo empresarial y esto les hace ignorar la rapidez con la que se incrementan y cambian las amenazas. Esta cuestión se puede acometer con paradigmas como la gestión del riesgo TI en tiempo real, o la evaluación dinámica del riesgo en TI.
  • Los empleados pueden lanzar ataques desde dentro de las compañías, sin embargo las empresas normalmente no desarrollan planes para detectar y mitigar estas acciones maliciosas con alto impacto para la organización. Además estos incidentes son gestionados internamente sin involucrar a los cuerpos de seguridad del estado.

El informe acaba con una serie de estadísticas derivadas de las encuestas y unas acciones recomendadas para implementar el Framework de Ciberseguridad del NIST (mencionado anteriormente). Espero que el post haya atrapado vuestro interés y os animo a profundizar en estos asuntos tan en boga.