Llegamos a ustedes gracias a:



Noticias

50% de los CSO no tenían un plan de contingencia para COVID-19

[18/06/2020] Según el último estudio de BitDefender, la mitad de los profesionales de Infosec (50%) revelaron que sus organizaciones no tenían un plan de contingencia en marcha, o no sabían si lo tenían, para una situación como la de COVID-19 o un escenario similar.

"Esta falta de planificación anticipada ha corrido un gran riesgo, ya que el 86% de los profesionales de la informática admitieron que los ataques en los vectores de ataque más comunes fueron en aumento durante este período. Se informó de que la guerra cibernética y la IoT como vector de ataque aumentaron en un 38%, y los APT y el ciberespionaje el robo de IP y las amenazas/chatbots de los medios sociales en un 37%, todo lo cual podría ser un indicio de un año récord en cuanto a infracciones, comentó Liviu Arsene, investigador de Ciberseguridad Global en Bitdefender.

El investigado añadió que los profesionales de Infosec saben que los cambios estratégicos deben hacerse rápidamente, y el 81% comparte su creencia de que COVID-19 cambiará la forma de operar de sus empresas a largo plazo. Es estudio detalla las presiones a las que se enfrentan los profesionales de la informática durante COVID-19, y explora cómo estas presiones están probando la eficacia de las medidas de seguridad. Destaca también los cambios que tendrán que hacer dentro de sus organizaciones como resultado. El estudio tiene en cuenta los puntos de vista y opiniones de 6.700 profesionales de la información, de los cuales el 23% son CISO, CSO y CIO del Reino Unido, EE.UU., Australia/Nueva Zelanda, Alemania, Francia, Italia, España, Dinamarca y Suecia. Los encuestados representan una amplia muestra representativa de organizaciones, desde las incipientes PYMES, hasta las empresas de más de 10 mil personas que cotizan en bolsa en una amplia variedad de industrias, incluidas las finanzas, el gobierno y la energía.

Los riesgos son inmediatos y algunos los sienten más que otros

Arsene anotó que nadie podría haber previsto el escenario exacto en el que nos encontramos a nivel mundial, -con millones de empleados trabajando desde casa simultáneamente. "Sin embargo, los rápidos cambios en los negocios suelen plantear excelentes oportunidades para que los agentes malintencionados obtengan acceso a la información de las empresas. Los profesionales de Infosec informan que, en su opinión, los ataques de phishing (26%), rasomware (22%), las amenazas de los medios sociales/chatbots (21%), la ciberguerra (20%), los troyanos (20%) y los ataques a la cadena de suministro (19%), han aumentado durante la pandemia, y eso es solo por nombrar algunos vectores de ataque. Si bien este aumento percibido es alarmante, el ritmo al que los ataques han aumentado aparentemente es aún más preocupante. Según los encuestados, creen que el ransomware aumentó en un 31%, y los ataques DDoS en un 36%, señaló el especialista.

Dado que durante la pandemia más empleados trabajan desde sus casas que nunca y posiblemente muchos más querrán hacerlo en el futuro, el estudio señala que los profesionales de la infosec están preocupados por las implicaciones de seguridad. "Más de uno de cada tres (34%) dice que teme que los empleados se sientan más relajados con los temas de seguridad debido a su entorno. Además, otros dicen que el hecho de que los empleados no se atengan al protocolo, especialmente en lo que respecta a la identificación y el marcado de actividades sospechosas, es motivo de preocupación (33%). Teniendo en cuenta el aumento percibido de los ataques de phishing y whaling, el 33% de los profesionales de la infosec también están preocupados porque sus colegas sean presa de estos ataques, y el 31% citan el riesgo de una grave fuga de datos provocada involuntariamente por los empleados. Un cuarto (25%) también está preocupado con razón por los malos actores que atacan a las personas que trabajan desde casa con malware y rescates. Este punto puede haber sido ya probado por el aumento reportado de este vector de ataque, comentó Arsene.

En el estudio, los profesionales de Infosec también han identificado riesgos específicos relacionados con el trabajo en casa. Dos de cada cinco dicen que los empleados que usan redes no confiables son un riesgo para su organización, y el 38% dice que hay un riesgo definitivo en que otra persona tenga acceso a un dispositivo de la compañía de empleados. "Pero los factores de riesgo no terminan ahí. Poco más de un tercio (37%) continúa diciendo que el uso de los servicios de mensajería personal, tanto por motivos comerciales como personales, supone un riesgo, y también consideran que la divulgación involuntaria de información de la empresa es un peligro al que hay que enfrentarse, indicó Arsene.

Si bien no hay duda de que todas las industrias están en riesgo de sufrir un delito cibernético, los encuestados revelaron que creen que los servicios financieros (43%), la atención de la salud (incluida la telemedicina) 34%, y el sector público (29%) son las industrias más afectadas en cuanto al aumento de los ataques a la ciberseguridad durante COVID-19. Le siguen el comercio minorista (22%), la energía (20%) y la educación (18%). De forma alarmante, el 77% de los profesionales de la infosec creen que la asistencia sanitaria no estaba preparada adecuadamente debido a las limitaciones presupuestarias.

"Al menos la mitad de las organizaciones admitieron que no estaban preparadas para un escenario como éste, mientras que los atacantes están aprovechando la oportunidad. Pero dentro de la situación actual hay una gran oportunidad para un cambio positivo en la ciberseguridad", indicó el ejecutivo.

"En la ciberseguridad, en la que hay mucho en juego en torno a la pérdida monetaria y de reputación, la capacidad de cambiar, y de cambiar rápidamente, sin aumentar el riesgo es fundamental. Con COVID-19 cambiando el panorama empresarial para el futuro previsible la estrategia de seguridad tiene que cambiar. La buena noticia es que la mayoría de los profesionales del infosec han reconocido esta necesidad de cambio rápido, aunque forzados por las circunstancias actuales, y han empezado a tomar medidas", añadió Arsene.

Como resultado del aumento del trabajo en casa, poco más de uno de cada cinco profesionales de infosec (22%) revelan que ya han empezado a proporcionar VPN y han hecho cambios en la duración de las sesiones de VPN. Un grupo similar (20%) también ha compartido con los empleados guías exhaustivas sobre ciberseguridad y trabajo desde el hogar, así como aplicaciones preaprobadas y filtrado de contenidos, y el 19% ha actualizado la capacitación de los empleados en materia de ciberseguridad. "Sin embargo, a pesar de sus temores de que aumenten los ataques, solo el 14% ha invertido una cantidad significativa de dinero en la mejora de las pilas de seguridad, el 12% ha adquirido un seguro de seguridad cibernética adicional y sólo el 11% ha aplicado una política de confianza cero, todo lo cual indica que todavía hay que hacer más cambios, indicó el ejecutivo.

Al mismo tiempo, agregó, la pandemia ha brindado una valiosa oportunidad para aprender a hacer frente a los cambios en las pautas de la fuerza de trabajo, y a planificar para acontecimientos inesperados. Uno de cada tres profesionales de infosec (31%) dice que tiene la intención de mantener el apoyo de TI 24/7, y aumentará el número de sesiones de formación en seguridad de TI para los empleados. Casi una cuarta parte (23%) también ha citado que van a aumentar la cooperación con las principales partes interesadas de las empresas al definir las políticas de seguridad cibernética, y un porcentaje igual aumentará la subcontratación de expertos en seguridad informática.

"El cambio es una amenaza innegable para la ciberseguridad, como lo es el no estar preparado. Hay mucho en juego en términos de pérdida de lealtad y confianza de los clientes, por no hablar del resultado final, finalizó Arsene.