Thycotic publicó su primer informe anual de 2017 sobre el estado de la seguridad cibernética, que analiza los hallazgos clave de una encuesta de referencia del Índice de Medición de la Seguridad (SMI) de más de 400 ejecutivos globales de negocios y seguridad en todo el mundo.
El 58% de las empresas en todo el mundo no están logrando medir eficazmente sus inversiones y desempeño en seguridad cibernética
El 58% de las empresas en todo el mundo no están logrando medir eficazmente sus inversiones y desempeño en seguridad cibernética
Basado en estándares internacionalmente aceptados para la seguridad incorporados en la norma ISO 27001, así como en las mejores prácticas de expertos de la industria y asociaciones profesionales, la encuesta de referencia del índice de medición de seguridad proporciona una manera de definir qué tan bien una organización está midiendo la efectividad de su seguridad de TI.
No medir la eficacia de la seguridad cibernética
Según los resultados, más de la mitad de los 400 encuestados en la encuesta, el 58 por ciento, obtuvieron calificaciones "F" o "D" al evaluar sus esfuerzos para medir sus inversiones en ciberseguridad y su desempeño frente a las mejores prácticas.
"Es realmente sorprendente que los resultados lleguen y vea cuánta gente está fallando en medir la efectividad de su ciberseguridad y desempeño en contra de las mejores prácticas", dijo Joe Carson, Jefe de Ciencias de la Seguridad de Thycotic. "Este informe tenía que llevarse a cabo para traer a la luz la realidad de lo que realmente está ocurriendo para que las empresas puedan remediar sus errores y proteger sus negocios."
Con empresas mundiales y gobiernos gastando más de 100 mil millones de dólares al año en defensas de ciberseguridad, un número sustancial, 32 por ciento, de las empresas están tomando decisiones empresariales y la compra de tecnología de seguridad cibernética a ciegas. Aún más preocupante, más del 80 por ciento de los encuestados no incluyen a los usuarios empresariales en la toma de decisiones de compra de seguridad cibernética, ni han establecido un comité de dirección para evaluar el impacto comercial y los riesgos asociados con las inversiones de seguridad cibernética.
Nuestras métricas de seguridad nos ayudan a evaluar el progreso real en nuestra postura de seguridad
Nuestras métricas de seguridad nos ayudan a evaluar el progreso real en nuestra postura de seguridad
Hallazgos clave adicionales
- Una de cada tres empresas invierte en tecnologías de seguridad cibernética sin ninguna manera de medir su valor o eficacia.
- Cuatro de cada cinco empresas no saben dónde se encuentran sus datos sensibles y cómo asegurarlo.
- Cuatro de cada cinco no se comunican eficazmente con las partes interesadas del negocio y las incluyen en las decisiones de inversión en seguridad cibernética.
- Dos de cada tres compañías no miden completamente si su recuperación de desastres funcionará según lo planeado.
- Cuatro de cada cinco nunca miden el éxito de las inversiones en capacitación en seguridad.
- Mientras que el 80 por ciento de las infracciones involucran credenciales robadas o débiles, el 60 por ciento de las compañías aún no protegen adecuadamente las cuentas privilegiadas, sus claves para el reino.
- Las pequeñas empresas son blanco de dos de tres ciberataques.
- Sesenta por ciento de las pequeñas empresas salen del negocio seis meses después de una brecha.
"Ponemos este informe no sólo para mostrar los errores que se están cometiendo, sino también para educar a quienes lo necesitan sobre cómo mejorar en cada una de las áreas que faltan", agregó Carson. "Nuestro informe proporciona recomendaciones relacionadas con mejores maneras de educar, proteger, monitorear y medir para que se puedan implementar mejoras".
