Llegamos a ustedes gracias a:



Noticias

Las empresas con filiales son más propensas a los ciberataques

Según un estudio

[02/11/2021] Las empresas mundiales con múltiples filiales están más expuestas a las amenazas de ciberseguridad y tienen más dificultades para gestionar el riesgo, que las empresas sin o con menos filiales, según un informe de Osterman Research encargado por CyCognito.

El estudio encuestó a 201 organizaciones con al menos 10 filiales, y al menos tres mil empleados o mil millones de dólares de ingresos anuales.

A pesar de estar muy seguros de llevar a cabo una gestión eficaz de los riesgos de las filiales, cerca del 67% de los encuestados afirmó que sus organizaciones habían sufrido un ciberataque en el que la cadena de ataque incluía a una filial, o que carecían de la capacidad o la información para descartar esa posibilidad.

Cerca de la mitad de los encuestados reconoció que no se sorprendería si se produjera un ciberataque "mañana". Los encuestados desempeñaban funciones de gestión de la ciberseguridad, el cumplimiento normativo o los riesgos. Todas las organizaciones encuestadas contaban con personal dedicado a la supervisión del riesgo subsidiario.

"Buscábamos entender las amenazas y los riesgos a los que se enfrentaban las organizaciones no solo con las filiales que acababan de comprar o adquirir, sino, sobre todo, con las que llevaban años o más", señaló Michael Sampson, analista senior de Osterman Research. "Y dado que los retos, riesgos y problemas de ciberseguridad cambian continuamente, incluso si se tiene una pizarra aparentemente limpia en un día determinado, apuesto a que pueden degradarse con el tiempo a medida que se descubren o se ponen de relieve nuevas vulnerabilidades".

Si hay activos y fuentes de datos expuestos que la filial desconoce o decide ocultar a la empresa matriz, las vulnerabilidades se pasan por alto y se convierten en problemas importantes más adelante, según Sampson.

Las filiales se enfrentan a múltiples riesgos de seguridad

El enfoque en el cumplimiento de la normativa a expensas de la seguridad, los complejos procesos de incorporación, los procesos de gestión de riesgos infrecuentes y prolongados, el uso excesivo de herramientas manuales, y el desfase entre la corrección y los resultados fueron subrayados en el informe como los principales obstáculos para la gestión de los riesgos de las filiales.

Las macrotendencias y el entorno en el que operan las empresas están afectando a las realidades operativas de la seguridad, según el informe. Por ejemplo, la transformación digital inducida por la pandemia y las recientes violaciones de la cadena de suministro de alto perfil en todo el mundo fueron nombradas por el 69% y el 56% de los encuestados, respectivamente, como las preocupaciones más importantes para las filiales.

"Creo que estamos viendo que las organizaciones son cada vez más conscientes de que la ciberseguridad es un problema importante, y hay ciertas amenazas de ciberseguridad que se han vuelto muy conocidas en los últimos cinco años", sostuvo Sampson. "El ransomware de la cadena de suministro y el compromiso del correo electrónico empresarial encabezarían esa lista".

El informe destaca que las organizaciones se centran más en los aspectos de cumplimiento de la normativa para supervisar los riesgos de las filiales que en los aspectos de seguridad, lo que deja lagunas a la hora de incorporar y gestionar las filiales, lo que da lugar a más ataques.

La incorporación de las filiales es una tarea compleja y solo un 5% de los encuestados confirmó tener un proceso maduro que permita la integración sin fisuras de las nuevas unidades de negocio, mientras que otros encuestados se quejaron de tener una enorme carga de trabajo tanto en la matriz como en las filiales de sus empresas.

Las prácticas de gestión de las filiales que se aplican en la actualidad son demasiado infrecuentes, en el sentido de que los datos que se recogen son de carácter puntual y, por tanto, solo proporcionan una visión instantánea, que queda rápidamente desfasada, según los encuestados. Además, la mayoría de los encuestados opinan que los procesos actuales no cubren lo suficiente la superficie de ataque potencial de sus organizaciones, dejando de lado las vulnerabilidades y produciendo a menudo falsos positivos que consumen mucho tiempo.

Medir los riesgos lleva demasiado tiempo

Otra preocupación importante es la cantidad de tiempo que se necesita para medir los riesgos asociados a las filiales. En la actualidad, el 54% de las organizaciones tarda de media entre una semana y tres meses, mientras que el 71% de ellas querría reducirlo a un día o menos, según los encuestados.

Los encuestados también señalaron el tiempo que transcurre entre la detección de una brecha de seguridad y su corrección. Alrededor del 73% de ellos dijo que tarda entre una semana y un mes. Este desfase podría suponer una peligrosa oportunidad para un ataque. Además, el gran número de herramientas necesarias para gestionar los riesgos de seguridad no hace sino aumentar el tiempo total del proceso.

Según el informe, las empresas con una gran cartera de filiales tienen un 50% más de probabilidades de tardar más de un mes en subsanar las deficiencias de seguridad detectadas que las que tienen menos filiales. Los encuestados de las empresas matrices con 17 o más filiales tenían casi el doble de probabilidades que los de las empresas con menos filiales de afirmar que una filial ha estado implicada en una cadena de ciberataques más de una vez.

"El reto de la gestión de riesgos de las filiales es que puedes tener la empresa matriz aquí y las filiales en otros lugares en varios países y pueden estar utilizando pilas de tecnología, procesos, formas de comunicación y cultura completamente diferentes", anotó Rob Gurzeev, director general y fundador de la empresa de ciberseguridad CyCognito. "Si soy el CSO de la corporación o incluso de todo el conglomerado, podría tener cero visibilidad de los activos de estas otras organizaciones y no tendré ningún contexto incluso si me entero de algún tipo de riesgo".

Mientras que la gestión de la vulnerabilidad y las pruebas de penetración a finales de los años 90 solían estar restringidas a unos pocos servidores de la empresa conectados a Internet, el cambio a la nube en las últimas décadas ha abierto los marcos de los sistemas a miles de ingenieros, proveedores, socios y terceros. Según Gurzeev, añadir filiales a una arquitectura de red ya sobrecargada no hace más que aumentar la superficie de ataque, que debe gestionarse de forma más eficiente que en la actualidad.