ACCENTURE. Las organizaciones tienen que 'reiniciar' sus modelos de ciberseguridad

Las políticas actuales de ciberseguridad de muchas compañías son ineficaces. La consultora Accenture aporta recomendaciones para reducir los riesgos y adoptar una "confianza justificada".

Claves para mantener su empresa a salvo de los cibercriminales

·        Defina el éxito en ciberseguridad. Adapte las estrategias de seguridad a las necesidades de la empresa y mejore su capacidad de detectar y evitar ataques cada vez más sofisticados.

·        Ponga a prueba sus defensas. Recurra a 'sombreros blancos' ('hackers' éiticos) externos para simular ataques y tener una evaluación realista de sus capacidades internas.

·        Proteja desde el interior. Dé prioridad a proteger los activos clave de la organización y concéntrese en evitar ataques internos que tienen un mayor impacto potencial.

·    Siga innovando. Invierta en programas avanzados que le permitan anticiparse a sus adversarios, en lugar de invertir más en programas que ya existen.

·        Implique a todos. Muchos ataques no son detectados por el equipo de seguridad, sino por otros empleados. Dé prioridad a la formación de todos los empleados.

·        Logre el apoyo de la dirección. Los CISO deben estar en contacto con los líderes de sus empresas y convencerles de que la ciberseguridad es prioritaria para salvaguardar el valor de la empresa.

La consultora tecnológica ha realizado una encuesta global a más de 2.000 ejecutivos de ciberseguridad, con conclusiones como las siguientes: el 79% asegura que la ciberseguridad es parte de la cultura de su organización y, sin embargo, sólo el 40% invertiría en mitigar pérdidas financieras. En España, una organización recibe una media de 94 ataques dirigidos al año, de los que una tercera parte alcanza su objetivo, lo que equivale a dos o tres ataques con éxito al mes. Y, sin embargo, sólo el 30% invertiría en formación sobre ciberseguridad.

"La posición de España muestra una preocupante desconexión entre las inversiones realizadas y la confianza real en que las compañías van a poder responder adecuadamente ante ataques dirigidos", advierte David Pérez Lázaro, managing director de Accenture Security España.

El problema es aún más grave por el tiempo que se tarda en detectar estos ataques. Según este estudio, el 59% (51% a nivel global) de los encuestados reconoce que tarda "meses" en identificar un ataque, mientras que otro 5% (17%) necesita "un año" o más para detectarlo.

Ahora bien, el 57% confiesa no confiar en la capacidad de los controles internos de su organización para detectar posibles ataques.

La consultora recomienda invertir en los siguientes siete dominios de ciberseguridad para mejorar sus defensas y adquirir resiliencia:

1. Exposición al riesgo. Sólo el 23% de las empresas puede identificar activos y procesos de negocio de alto valor. "Analice distintos incidentes de ciberseguridad que pueden afectar a la empresa, identifique factores comunes, puntos de decisión y obstáculos al desarrollo de la estrategia", dice Accenture.
2. Gobierno y liderazgo. Sólo el 15% de las empresas tiene una cadena de mando clara para ciberseguridad. "Establezca responsabilidades, fomente una cultura de seguridad y defina una cadena de mando clara para ciberseguridad".
3. Contexto estratégico. Sólo el 25% de las empresas es competente en la monitorización de amenazas. "Adapte el programa de seguridad a la estrategia de negocio, analizando riesgos competitivos y geopolíticos, estudiando lo que hace la competencia e identificando otras amenazas".
4. Resiliencia. Sólo el 19% de las empresas cuenta con sistemas y procesos diseñados conforme a requisitos de resiliencia. "Estudie las posibles amenazas, defina modelos de protección de activos y use técnicas de diseño resiliente para limitar las consecuencias de un ciberataque".
5. Capacidad de respuesta. Sólo el 31% de las empresas tiene vías eficaces de escalado de incidentes. "Defina un sólido plan de respuesta, un buen sistema de notificación de incidentes, planes probados de protección y recuperación de activos clave, y vías eficaces de escalado de incidentes".
6. Ecosistema extendido. Sólo el 19% de las empresas gestiona de forma eficaz la ciberseguridad de terceros, y sólo el 15% es competente en el cumplimiento de normativas sobre ciberseguridad. "Prepárese para colaborar en la gestión de una crisis, defina cláusulas y acuerdos de ciberseguridad de terceros, y garantice el cumplimiento de normativas sobre ciberseguridad".
7. Inversión eficiente. Sólo el 19% de las inversiones en ciberseguridad protege activos clave. "Justifique las inversiones en ciberseguridad comparándolas con referencias industriales, objetivos de negocio y tendencias de ciberseguridad".

En definitiva, se trata de justificar la confianza en la organización de seguridad. "La ciberseguridad debe estar embebida en cualquier proceso de negocio y formar parte inseparable de cualquier iniciativa de transformación digital.

Más información

• Informe completo https://www.accenture.com/es-es/insight-building-confidence-facing-cybersecurity-conundrum?c=ad_gispainFY17_10002030&n=bac_0217

Fuente: Expansion.com