Las políticas actuales de ciberseguridad de muchas compañías son ineficaces. La consultora Accenture aporta recomendaciones para reducir los riesgos y adoptar una "confianza justificada".
Claves para mantener su empresa a salvo de
los cibercriminales
·
Defina el éxito en
ciberseguridad.
Adapte las estrategias de seguridad a las necesidades de la empresa y mejore su
capacidad de detectar y evitar ataques cada vez más sofisticados.
·
Ponga a prueba sus
defensas.
Recurra a 'sombreros blancos' ('hackers' éiticos) externos para simular ataques
y tener una evaluación realista de sus capacidades internas.
·
Proteja desde el
interior.
Dé prioridad a proteger los activos clave de la organización y concéntrese en
evitar ataques internos que tienen un mayor impacto potencial.
· Siga innovando. Invierta en
programas avanzados que le permitan anticiparse a sus adversarios, en lugar de
invertir más en programas que ya existen.
·
Implique a todos. Muchos ataques no
son detectados por el equipo de seguridad, sino por otros empleados. Dé
prioridad a la formación de todos los empleados.
·
Logre el apoyo de la
dirección.
Los CISO deben estar en contacto con los líderes de sus empresas y convencerles
de que la ciberseguridad es prioritaria para salvaguardar el valor de la
empresa.
La consultora tecnológica ha realizado una encuesta
global a más de 2.000 ejecutivos de ciberseguridad, con conclusiones como las
siguientes: el 79% asegura que la ciberseguridad es parte de la cultura de su organización
y, sin embargo, sólo el 40% invertiría en mitigar pérdidas financieras. En
España, una organización recibe una media de 94 ataques dirigidos al año, de
los que una tercera parte alcanza su objetivo, lo que equivale a dos o tres
ataques con éxito al mes. Y, sin embargo, sólo el 30% invertiría en formación
sobre ciberseguridad.
"La posición de España muestra una preocupante desconexión entre las inversiones realizadas y la confianza real en que las compañías van a poder responder adecuadamente ante ataques dirigidos", advierte David Pérez Lázaro, managing director de Accenture Security España.
El problema es aún más grave por el tiempo que se tarda
en detectar estos ataques. Según este estudio, el 59% (51% a nivel global) de
los encuestados reconoce que tarda "meses" en identificar un ataque,
mientras que otro 5% (17%) necesita "un año" o más para detectarlo.
Ahora bien, el 57% confiesa no confiar en la capacidad de los controles internos de su organización para detectar posibles ataques.
La consultora recomienda invertir en los
siguientes siete dominios de ciberseguridad para mejorar sus defensas y
adquirir resiliencia:
- Exposición al riesgo. Sólo el 23% de las empresas
puede identificar activos y procesos de negocio de alto valor.
"Analice distintos incidentes de ciberseguridad que pueden afectar a
la empresa, identifique factores comunes, puntos de decisión y obstáculos
al desarrollo de la estrategia", dice Accenture.
- Gobierno y liderazgo. Sólo el 15% de las empresas
tiene una cadena de mando clara para ciberseguridad. "Establezca
responsabilidades, fomente una cultura de seguridad y defina una cadena de
mando clara para ciberseguridad".
- Contexto estratégico. Sólo el 25% de las empresas es
competente en la monitorización de amenazas. "Adapte el programa de
seguridad a la estrategia de negocio, analizando riesgos competitivos y
geopolíticos, estudiando lo que hace la competencia e identificando otras
amenazas".
- Resiliencia. Sólo el 19% de las empresas cuenta con
sistemas y procesos diseñados conforme a requisitos de resiliencia.
"Estudie las posibles amenazas, defina modelos de protección de
activos y use técnicas de diseño resiliente para limitar las consecuencias
de un ciberataque".
- Capacidad de respuesta. Sólo el 31% de las empresas
tiene vías eficaces de escalado de incidentes. "Defina un sólido plan
de respuesta, un buen sistema de notificación de incidentes, planes
probados de protección y recuperación de activos clave, y vías eficaces de
escalado de incidentes".
- Ecosistema extendido. Sólo el 19% de las empresas
gestiona de forma eficaz la ciberseguridad de terceros, y sólo el 15% es
competente en el cumplimiento de normativas sobre ciberseguridad.
"Prepárese para colaborar en la gestión de una crisis, defina
cláusulas y acuerdos de ciberseguridad de terceros, y garantice el
cumplimiento de normativas sobre ciberseguridad".
- Inversión eficiente. Sólo el 19% de las inversiones
en ciberseguridad protege activos clave. "Justifique las inversiones
en ciberseguridad comparándolas con referencias industriales, objetivos de
negocio y tendencias de ciberseguridad".
En definitiva, se trata de justificar la confianza en la
organización de seguridad. "La ciberseguridad debe estar embebida en
cualquier proceso de negocio y formar parte inseparable de cualquier iniciativa
de transformación digital.
Más información
- Informe completo
https://www.accenture.com/es-es/insight-building-confidence-facing-cybersecurity-conundrum?c=ad_gispainFY17_10002030&n=bac_0217