La firma Tenable, especializada en la medición y gestión del riesgo cibernético alrededor del mundo, presentó en México los resultados de su investigación: Estrategias de defensa cibernética: lo que revelan sus prácticas de evaluación de vulnerabilidades, en el que encontró cuatro niveles de madurez en términos de seguridad y, según el cual, solo 5% de las empresas exhibe el grado de madurez más alto.
Luis Isselin, Country Manager de Tenable en México, fue el encargado de mostrar los hallazgos más importantes del estudio en el que se analizaron dos mil 100 empresas a nivel global durante la primera mitad de este año.
Como antecedentes, Isselin presentó información pública que indica que hay un período de tiempo entre que un ataque sucede y cuando llega a ser descubierto o publicado.
Según datos de Verizon, por ejemplo, el 99.9% de las vulnerabilidades explotadas fueron solucionadas más de un año después de haber sido reveladas. De los miles de ataques que se han acumulado en la última década, solo el 5% tiene un exploit confirmado y, aun con ese porcentaje tan bajo, han logrado causar mucho daño a compañías alrededor del mundo, pues ya no basta con cuidar los dispositivos de escritorio o móviles, es necesario proteger el resto de la infraestructura que las empresas usan en la Nube, así como las nuevas tecnologías como el Internet de las cosas a nivel empresarial e industrial.
El informe también indica que casi la mitad de las organizaciones a nivel mundial (48 por ciento) han adoptado evaluaciones estratégicas de vulnerabilidad con el fin de reducir el riesgo cibernético. Sin embargo, de esas empresas, solo 5% exhibe el grado más alto de madurez, con cobertura integral de activos como piedra angular de sus programas. En el otro extremo del espectro, el 33% de las organizaciones adoptan un enfoque minimalista para las evaluaciones de vulnerabilidad, es decir que hacen lo mínimo requerido por regulaciones de cumplimiento, lo que significa que aumentan su riesgo de que un evento cibernético afecte al negocio.
Hablando de sectores en específico, servicios públicos, salud, educación y entretenimiento tuvieron la mayor proporción de «estilo minimalista» o de madurez baja, mientras que las industrias de la hotelería, el transporte, las telecomunicaciones, la electrónica y la banca tuvieron la mayor proporción del «estilo cuidadoso» o maduro.
Para conocer su grado de seguridad, algunas de las preguntas clave que las empresas deben responder son: ¿cuál es su nivel de riesgo?; con base en sus amenazas ¿dónde deberían priorizar la inversión?; y ¿cómo están mejorando en el tiempo? Con ello pueden tener una mejor visión de lo que significa administrar, medir y reducir el riesgo cibernético.
«Sin importar su nivel de madurez, las organizaciones se benefician al tomar decisiones estratégicas y emplear tácticas como escaneos frecuentes y autenticados para mejorar la eficacia de sus programas de evaluación de vulnerabilidad», finalizó Isselin.