“La seguridad no es una commodity ni un prêt-à–porter, sino que cada compañía tiene sus propias necesidades. Factores como el presupuesto, la experiencia o la capacidad de ejecución deben ser analizados y mejorados para lograr una seguridad verdaderamente efectiva. Nuestro informe The Security Bottom Line ofrece importantes recomendaciones para lograrlo, siendo la integración entre soluciones y la automatización factores fundamentales”. Con estas palabras, Eutimio Fernández, director de Ciberseguridad en Cisco España, presentaba recientemente el ultimo informe sobre ciberseguridad de esta multinacional norteamericana.

The Security Bottom Line descubre a qué procesos y soluciones dedican su presupuesto de seguridad las organizaciones. Además, desvela qué factores son determinantes para el éxito de una estrategia de ciberseguridad. Cabe destacar que en su elaboración, Cisco —corporación que desde 1984 ha contribuido al funcionamiento de Internet— ha tenido en cuenta la información facilitada por Talos —su división de ciberinteligencia—, así como el informe Data Breach Investigations Report 2018 de Verizon (en el que ha colaborado Cisco). Los datos relativos a España se basan en el estudio CISO Security Benchmark, para cuya realización han sido 150 las empresas españolas consultadas.

El nuevo informe de Cisco está basado en encuestas a responsables de ciberseguridad y tecnología, así como a decisores de negocio de pymes y grandes empresas en 18 países y sectores, incluyendo retail, transporte, fabricación, servicios financieros, educación superior y administraciones. Estos son los datos y las conclusiones más destacadas:
♦ El 56% de las organizaciones a escala mundial han sufrido una intrusión o infección de malware significativa el pasado año.
♦ El 94% son conscientes de que deben mejorar para implementar una seguridad verdaderamente efectiva.
♦ El 43% admiten que a veces tienen que tomar medidas no ideales para lidiar con incidentes de seguridad, como ‘limpiar por completo’ un terminal infectado en lugar de eliminar únicamente el malware que afecta al dispositivo.
♦ El 85% de todos los correos electrónicos a escala global son spam.
♦ El e-mail es la vía principal para la distribución de malware (92,4%) y del phishing (96%).
♦ El 54% de las compañías españolas consultadas sitúan el spam malicioso como el incidente más significativo en 2018 (frente al 42% de media global), seguido del malware (49% de organizaciones españolas), spyware (39%) y phising (37%).
♦ El 55% de los responsables de ciberseguridad españoles (CISO) consideran las amenazas del e-mail como el mayor riesgo de ciberseguridad para sus organizaciones.
♦ España registró menos incidentes de pérdida de datos (22%) comparado con la media mundial (33%).
♦ Cuatro de cada diez organizaciones españolas destinan el 20% de su presupuesto de ciberseguridad a identificar: comprender cómo deben gestionar el riesgo de ciberseguridad que afecta a sistemas, activos, datos y capacidades.
♦ El siguiente proceso por el que más apuestan es a detectar amenazas (32%), seguido de proteger su entorno (28%). Y a lo que menos destinan es a responder y recuperar.

Déficit de profesionales especializados
Ocho de cada diez organizaciones consultadas no se pueden permitir la compra de todo lo que consideran necesario para proteger su infraestructura. Sin embargo, la gran mayoría (94%) opinan que aún les queda camino por recorrer para implementar una seguridad verdaderamente efectiva, con independencia de su presupuesto. Es decir, el presupuesto importa, pero no lo es todo. Hay otras acciones que las organizaciones pueden mejorar, además de invertir, para reforzar su protección, incluyendo:
♦ Experiencia. Sólo el 37% de las organizaciones consultadas se apoyan más en su personal interno para blindar sus entornos, mientras el 28% confían más en redes profesionales externas. Aunque es bueno que las organizaciones se apoyen en el outsourcing, los profesionales internos conocen mejor el negocio y la red y sus procesos, por lo que lo ideal es una combinación de los dos modelos. Un dato: se calcula que el déficit de profesionales en ciberseguridad alcanza ya los tres millones en todo el mundo.
♦ Capacidad. Incluso cuando una organización tiene la experiencia necesaria para poder definir su estrategia de seguridad, no significa que tenga la capacidad para ejecutarla correctamente. Por ejemplo, una red a la que también se conectan proveedores y partners externos dificulta la capacidad de ejecución. De hecho, la seguridad de la cadena de suministro de terceros es una gran preocupación para los CISO en la actualidad.
♦ Influencia. ¿Pueden las organizaciones influir de forma efectiva en proveedores de soluciones, partners y otros para obtener la seguridad que necesitan? El 86% de las grandes empresas se enteran de vulnerabilidades e incidentes que les afectan a través de sus proveedores o partners de ciberseguridad, antes de que estas vulnerabilidades se hagan públicas, frente al 60% de las empresas con menor tamaño.

Imagen: Bruce Mars (obtenida en unsplash.com y modificada).

Recomendaciones de Cisco
El informe también analiza las soluciones de seguridad más utilizadas, siendo los firewalls[ii] y las soluciones para el e-mail y de protección de red. También es significativo que la segmentación de red (37%) y la micro-segmentación (11%) se utilicen menos, cuando es algo esencial para evitar infecciones a través de la red. Cisco ofrece estas recomendaciones:

• Conoce lo que tu organización necesita. La seguridad es distinta para cada compañía.
• Saca partido a tus inversiones. La automatización y la integración pueden ayudar enormemente a reducir la complejidad.
• Adopta una estrategia zero-trust. Para que los atacantes tengan más complicado comprometer tus activos.
• Mejora la formación. Asegúrate de que tus expertos siguen mejorando sus habilidades una vez contratados.
• Considera el outsourcing. A veces es la mejor forma de obtener ayuda.
• Une fuerzas. Si la organización es muy pequeña para influir en los proveedores, considera unirte a otras empresas para lograrlo.

Cabe destacar que Cisco es el líder en seguridad del e-mail en el Informe Forrester Wave 2019. Ofrece avanzadas soluciones de protección para el e-mail tanto en la nube (cloud) como on-premise, incluyendo la oferta específica E-Mail Sin Preocupaciones. Y es la compañía líder en firewalls de red en el Cuadrante Mágico de Gartner 2019 (septiembre 2019).

Más información
⇒ Descargar el eBook Elementos esenciales de seguridad en las pymes
⇒ Acceder a los recursos de formación gratuitos de Cisco
⇒ En la serie de informes sobre ciberseguridad de Cisco
⇒ En el blog de Cisco
⇒ Seguir en Twitter a @cisco_spain