September 24, 2022
Noticias Empresas Boletines Opinión

Insights por sectores – Informe Ascendant de Ciberseguridad

Insights por sectores – Informe Ascendant de Ciberseguridad

Administraciones Públicas

  • La transformación del sector público hacia una Organización Protegida Digitalmente se está iniciando, aunque de forma lenta. Entre los organismos públicos entrevistados, la mitad (50%) dispone de un plan estratégico de transformación con capítulos relacionados con la ciberseguridad. Un 30%, está en proceso de elaborar dichas estrategias, y un 20%, no ha comenzado aún a definirla, aunque sí lo incluyen en su hoja de Rut. Este dato, revela un cierto grado de inmadurez a la hora de detallar las iniciativas y la visión integral del proceso.
  • Sólo un 40% de las organizaciones afirma que son capaces de medir el impacto de los riesgos de ciberseguridad, por este motivo, es difícil tomar decisiones para priorizar las iniciativas a ejecutar o cancelar aquellas que no responden al cumplimiento de los objetivos
  • Un área que está empezando a cobrar relevancia en las administraciones, y que se debe resaltar, es que el 50%, han realizado o están implantando programas de concienciación y formación para los empleados en aspectos clave de la ciberseguridad.
  • La detección de amenazas por parte de las administraciones y empresas públicas, es un punto con un amplio margen de mejora. Sólo un 30% de las organizaciones cuenta con servicios de amenazas contratado con sus proveedores.
  • La protección del dato es un área relevante dentro del sector público, el 70% se encuentra en niveles de madurez medio – alto en dicho ámbito, quedando un 30% que se encuentra realizando progresos para alcanzar un nivel acorde con las exigencias actuales.
  • El sector empieza a explorar las oportunidades de negocio que están asociadas a la ciberseguridad, como pueden ser firma digital o biometría. El 70% de las empresas entrevistadas, está estudiando los beneficios que conlleva para el negocio la implantación de estos nuevos servicios.

Banca

  • El 89% del sector posee una clara visión sobre la ciberseguridad en su negocio y cuenta con Planes Estratégicos que, a su vez, se concretan en el 78% de los casos, en Planes Directores de ciberseguridad detallados por prioridades en las iniciativas y proyectos, dedicación de recursos, indicadores, mecanismos de medición y medidas correctoras en base a los resultados.
  • El 78% de los bancos, confirma que realiza una gestión exhaustiva de los riesgos, identificando sus procesos críticos de negocio y llevando a cabo el análisis de sus riesgos para establecer las medidas apropiadas que minimicen el impacto de los mismos. El resto de las entidades (22%), considera que sus procesos clave están identificados y protegidos, pero tienen margen de mejora en este ámbito, con planes de acción definidos al respecto.
  • El 56% de los bancos entrevistados, realiza la gestión de activos digitales (hardware y software) a través de herramientas específicas, con un enfoque automatizado de revisión de procesos recurrente, para la correcta gestión el inventario. En el resto del sector, se identifican dos grupos diferenciados: entidades que realizan sus inventarios predominantemente de forma automática, aunque con algún componente manual (22%) y otras, (22%) que tienen definida, en su hoja de ruta, la mejora de dichos procesos.
  • El 44% de las entidades bancarias, lleva un control exhaustivo de datos, procedimientos de encriptación, clasificación y etiquetado de la información, utilizando soluciones DLP (Data Loss Prevention) para proteger la información y, asimismo, disponen de BIA (Business Impact Analysis) para estimar el impacto que podría tener la organización debido a un incidente. El restante 67%, presenta un buen nivel de madurez con planes para avanzar en la protección y seguridad del dato.
  • El 78% de las entidades bancarias, dispone de áreas internas especializadas en la prevención y lucha contra el fraude, mediante la utilización de herramientas específicas para prevenir ataques y la implantación de programas de formación y concienciación. Se puede afirmar que el 22% restante, a día de hoy, está trabajando en la mejora de los procesos en esta área.
  • El 67% de entidades, está utilizando tecnologías más innovadoras en la detección y respuesta ante incidentes, así como en detección de patrones y comportamientos anómalos, con herramientas como Machine Learning e Inteligencia Artificial y Orquestación, mediante servicios avanzados que prestan sus proveedores. El 33% restante, contempla estas soluciones en sus planes a corto/ medio plazo.

Consumo & Retail

  • El interés por la mejora de la ciberseguridad en las operaciones y la evolución de las empresas del sector de Consumo & Retail hacia una Organización Protegida Digitalmente es liderado por la alta dirección en el 50% de las empresas del sector. Asimismo, el 43% de las empresas cuenta con un responsable (CISO) o área específica para liderar dicha transformación.
  • Los diferentes planes de transformación, están dotados de un presupuesto elevado al inicio de cada ejercicio en el 29% de las empresas del sector. En el resto, la ciberseguridad forma parte del presupuesto de TI y no se considera suficiente para abordar los retos que conlleva una transformación de este estilo.
  • Respecto al talento, es evidente la escasez de capacidades y recursos: más del 90% reconoce no tener los perfiles adecuados a nivel interno. Para cubrirlos, el 93% de las empresas opta por la subcontratación de personal a través de sus proveedores
  • Para la detección de amenazas dirigidas, sólo el 36% de las empresas cuenta con asesoramiento externo, y como suele ocurrir con otros sectores, es necesario desarrollar y automatizar la detección de amenazas. En muchas empresas entrevistadas, dicha detección de amenazas se hace de forma reactiva, cuando ya ha provocado pérdidas a la compañía (económicas, de producción, reputacionales…).
  • Debido al aumento exponencial de las ventas a través de internet, a diferencia de otros sectores, el 35% de las empresas considera la prevención del fraude asociada a la ciberseguridad y han creado unidades propias e independientes de las áreas financieras o jurídicas. El resto de las empresas del sector, gestiona el fraude a través de las herramientas que les facilita su proveedor de la pasarela de pagos o bien, de forma tradicional mediante programas de formación a los empleados.
  • Teniendo en cuenta las características de las empresas del sector, son pocas las que han iniciado el camino de la innovación tecnológica, planteándose el uso de IoE. En el 14% de las empresas, debido a la pandemia, se han implantado dispositivos de control contra la COVID-19.
  • Sólo el 14% de las empresas está aplicando machine learning e inteligencia artificial para la detección y la respuesta automática ante incidentes. El resto de empresas, se apoya en las funcionalidades que actualmente aportan las herramientas de los proveedores subcontratados especializados en ciberseguridad, y en algunos casos, no se dispone de esta funcionalidad.

Energía

  • La dotación presupuestaria, la calidad y cantidad de profesionales destinados a ciberseguridad, suponen una garantía de ejecución del programa de transformación en el 67% de los casos, sin limitaciones o con una dotación coherente. El 11% cuenta con recursos elevados y un 22% con presupuestos limitados, que no siempre se consideran suficientes.
  • La detección de amenazas se realiza a través de la contratación de servicios SOC (Security Operation Center) en la mayoría de las organizaciones (78%), el resto de compañías considera que deben mejorar a corto plazo, los procesos en éste ámbito.
  • El 44% de las organizaciones tiene un nivel de madurez muy alto en el área de la protección del dato, con un control de datos exhaustivo, encriptación, clasificación y etiquetado de la información. En este campo, en términos generales, sigue habiendo margen de mejora y se considera un aspecto importante a trabajar en los próximos años.
  • Las empresas energéticas, en un 55% tienen muy en cuenta la prevención del fraude interno, con el ejemplo representativo de ataques al CEO de la compañía, en este sentido, lanzan campañas de concienciación a empleados para mitigar estos riesgos.
  • La seguridad en los entornos cloud es un área incipiente que está adquiriendo importancia y se está empezando a tratar en casi todo el sector, con la definición de planes estratégicos al respecto. Así, el 44% además tiene implantado CASB (Cloud Access Security Broker) y plantea extender sus capacidades.
  • Existe un 22% de empresas que ya aplica la orquestación y el threat hunting; sin embargo, el uso de inteligencia artificial o deception, en la mayoría no se contempla, ya que estas funcionalidades son proporcionadas actualmente por las herramientas que aportan los proveedores especializados subcontratados en ciberseguridad.

Industria

  • Las empresas del sector Industria entrevistadas, poseen en su mayoría, un enfoque más bien reactivo en su transformación hacia una Organización Protegida Digitalmente; en algunos casos, intentan ser conocedoras de las nuevas tecnologías y trazan su propia ruta, pero no se han identificado compañías con enfoque innovador.
  • El 45% de las compañías del sector industrial, subcontrata la actividad de detección, análisis y respuesta ante incidentes con proveedores especializados, a través de servicios gestionados de SOCs (Security Operation Center), y sólo un 27% cuenta con servicios SIEM tradicionales (Security Information and Event Management).
  • La estrategia de planificación de la respuesta ante incidentes está gestionada en sólo un 36% de organizaciones, con playbooks definidos, y realización de simulaciones y ciber-ejercicios para la comprobación del correcto funcionamiento de los planes; sin embargo, el resto de empresas (64%), no ha definido estrategias de respuesta o está comenzando a avanzar en la materia.
  • El 82% de las empresas industriales tiene en consideración la prevención del fraude tanto interno como externo, encontrando dos grupos diferenciados: empresas que no utilizan herramientas como mecanismo de protección y a su vez, implantan programas y políticas de prevención (36%), y otras menos avanzadas (45%), que están empezando a revisar las amenazas de fraude en los análisis de riesgos.
  • La seguridad y protección en los entornos cloud es un área incipiente aún por desarrollar en la mayoría del sector: un 20% de empresas tiene sus infraestructuras on premise, un 60% no cuenta con una estrategia clara de protección del cloud y otro 20% se posiciona más avanzado en la materia, pero reconoce sus puntos de mejora.
  • El 84% de promedio del sector Industria, no se plantea la utilización de tecnologías más innovadoras en la detección y respuesta ante incidentes, tales como Orquestación, Threat hunting, Deception y Machine Learning e Inteligencia Artificial: tan sólo existe un 9%, que, como parte de los servicios prestados por su proveedor actual de detección y respuesta, efectivamente aplica Orquestación y Threat hunting.

Inversión, Financiación y Real Estate

  • Se identifican dos vertientes extremas en la dotación de recursos, empresas con partidas presupuestarias elevadas que garantizan la correcta ejecución de los planes de ciberseguridad (33%) y las restantes (67%), con presupuestos limitados, que no siempre se consideran suficientes.
  • Sólo el 22% de las empresas lleva a cabo la medición del riesgo a través de cuadros de mando específicos, y el restante 78% dispone de algunos indicadores operativos no asociados a activos, o no cuentan con indicadores que midan el nivel de riesgo de ciberseguridad para el negocio.
  • El 44% de las organizaciones subcontrata servicios de inteligencia para identificar amenazas específicas, sectoriales, dirigidas, tales como SOCs (Security Operation Center), y el 56% restante, necesita avanzar en éste ámbito.
  • El 78% de las empresas entrevistadas adquiere conocimientos y capacidades en ciberseguridad, mediante la participación con redes colaborativas e instituciones públicas o privadas (INCIBE, ISMS Forum, ISACA, organismos oficiales como CNMV…) con el objetivo de estar informados en la materia.
  • La protección del dato es un área muy relevante para las empresas. Un 44% se encuentra en el más alto nivel, llevando un control exhaustivo de datos, procedimientos de encriptación, clasificación y etiquetado de la información. Existe otro 33%, que presenta un buen nivel de madurez con planes lograr avances en la materia, y sólo un 22% de las entidades, todavía se encuentra en estadios más incipientes, trabajando en el diseño de su estrategia en este ámbito para los próximos años.
  • Sólo un 22% de las entidades del sector posee un alto grado de madurez en la estrategia de planificación de la respuesta ante incidentes, con playbooks definidos, y planes de contingencia y recuperación ante desastres; un 33% tiene su estrategia definida, aunque no realiza simulaciones para verificar el correcto funcionamiento de los planes de respuesta, y el resto de empresas (44%), está comenzando a progresar en éste ámbito.
  • A la hora de implantar nuevos proyectos o impulsar oportunidades de negocio, el 67% de las empresas del sector incorpora nuevas tecnologías (blockchain, biometría…), así, destaca que muchas de ellas ya tienen implantada la firma digital.
  • La experiencia de los usuarios o clientes a la hora de implantar en la organización nuevas soluciones, proyectos o tecnologías, se valora en la mayoría, identificándose un 22% que actualmente no se plantea desarrollar este ámbito.

Logística

  • Las empresas del sector Logística aún no tienen una conciencia plena de la importancia de la ciberseguridad, y, como consecuencia, sólo figura en sus planes estratégicos en un 20% del sector, y otro 20% se encuentra en proceso de proceder a su inclusión. Únicamente el 20% de las empresas del sector, ha concretado planes específicos de ciberseguridad en ámbitos bien definidos y con hojas de ruta propias (iniciativas concretas, proyectos y objetivos claros) para evolucionar hacia una Organización Protegida Digitalmente
  • En los comités de Dirección de las empresas de logística, hay poca conciencia y escaso interés por la mejora de la ciberseguridad, de hecho, la evolución de las organizaciones hacia una Organización Protegida Digitalmente sólo es liderada en el 40% de las empresas del sector.
  • El 100% de las empresas del sector admite no contar con el talento necesario para hacer frente a los procesos de transformación de ciberseguridad, y para cubrir esta carencia, opta por la subcontratación de personal a través de proveedores.
  • Para la detección de amenazas, sólo el 60% de las empresas cuenta con asesoramiento externo, y en la mayoría de los casos es necesario implantar tecnologías más avanzadas para mejorar la detección de amenazas. El 40% de las empresas entrevistadas, no cuenta con herramientas para identificar las amenazas.
  • El sector presenta un bajo nivel de madurez (20%) en la identificación de nuevas tecnologías relacionadas con la ciberseguridad. No es una práctica instaurada en ninguna de las empresas, y sólo esporádicamente, se han explorado algunas más innovadoras, como pueden ser la firma digital o la biometría.
  • El 80% de las empresas del sector no dispone de estrategias propias de protección del cloud, apoyándose en las estrategias definidas y herramientas ofrecidas por sus proveedores.

Servicios    

  • Aunque muchas empresas han iniciado el camino de transformación hacia una Organización Protegida Digitalmente, sólo el 33% de las empresas del sector ha concretado planes específicos de ciberseguridad en ámbitos bien definidos y con hojas de ruta propias (iniciativas concretas, proyectos y objetivos claros). Por ello, se detecta un cierto grado de inmadurez en la concreción de iniciativas y visión integral del proceso.
  • El 78% de las empresas admite no tener el talento necesario a nivel interno para abordar todos los proyectos que se están ejecutando y opta por la utilización de recursos facilitados por los proveedores.
  • La detección de amenazas por parte de las empresas del sector, es un punto con un amplio margen de mejora. Sólo un 11% de las empresas cuenta con herramientas específicas para detectar amenazas y un 34% de las mismas, contrata asesoramiento externo. En el 44%, dicha detección se hace de forma reactiva. Para el resto, es necesario evolucionar y automatizar estos procesos.
  • La subcontratación de proveedores especializados para realizar las actividades de detección, el análisis y la respuesta, se lleva a cabo con proveedores especializados en el 44% de las empresas del sector, con servicios de correlación de eventos SIEM (Security Information and Event Management) y en menor medida, centros de operaciones como SOCs (Security Operation Center), mientras que el restante 56%, se encuentra en un estado de madurez inferior.
  • El sector empieza a explorar las nuevas tecnologías asociadas a la ciberseguridad, como pueden ser la firma digital, blockchain o biometría. El 78% de las empresas entrevistadas, se encuentra en proceso de estudio de los beneficios o posibilidades que conllevan para el negocio la implantación de estas nuevas tecnologías.
  • La gran mayoría de las empresas no han iniciado el camino de la innovación tecnológica, ni la aplicación de machine learning e inteligencia artificial para la detección y respuesta a incidentes

Telecomunicaciones & Media

  • La estrategia de ciberseguridad de los principales players de Telco y Media es agresiva ya que las nuevas normas del mercado, les obligan a ser altamente competitivos y en consecuencia cuentan con planes de transformación definidos, orientados principalmente en la experiencia cliente, en la mejora de los procesos operativos y en el desarrollo de nuevos modelos de negocio que generen mayor valor añadido.
  • A diferencia de lo observado en otros sectores, entre las empresas de Telco y Media, existe una profunda convicción a la hora de evolucionar hacia una Organización Protegida Digitalmente. El 75% de las empresas entrevistadas se muestra plenamente convencida sobre la necesidad de transformación, mientras que el resto no la consideran necesaria. Sólo un 25% de las empresas declara que esta iniciativa se ha visto paralizada por la situación actual de la COVID-19.
  • El 25% de las empresas declaran que cumplen con la normativa específica para infraestructuras críticas y con sus requisitos.
  • El asesoramiento externo en la detección de amenazas está presente en tres de cada cuatro empresas del sector, pero como en otros, es necesario desarrollarlo y automatizarlo para mejorar la detección de las amenazas.
  • Dos de cada cuatro empresas participan activamente en ecosistemas colaborativos de alertas para estar informados en tiempo real, y colaboran con instituciones públicas o privadas, mientras que en algunos casos, reciben información de sus partners en seguridad y el 25% de las empresas entrevistadas no recibe este tipo de alertas.
  • La actividad de detección, el análisis y la respuesta, se subcontrata con proveedores especializados en el 75% de las empresas del sector, con servicios de correlación de eventos SIEM (Security Information and Event Management) y centros de operaciones como SOCs (Security Operation Center), mientras que el 25% dispone de herramientas y personal interno para realizar estas tareas.
  • La vigilancia interna por parte de la organización sobre amenazas dirigidas, específicas o sectoriales, en muchos casos depende en gran medida de herramientas como IDS (Intrusion Detection System)/IPS (Intrusion Protection System), sondas de filtrado de tráfico y recolección manual de logs, pero se identifica que el 50% de las empresas de este sector, dispone de herramientas más avanzadas que realizan análisis reputacionales para la compañía.
  • A diferencia de otros sectores, el 50% de las empresas gestiona la prevención del fraude a través de la creación de unidades específicas e independientes de las áreas financieras o jurídicas que utilizan tecnologías para gestionar el riesgo de fraude. Otro 25% está empezando a desarrollar un programa de prevención, y por último, el 25% restante, con menor nivel se encuentran revisando las amenazas e implantando procedimientos al respecto.
  • El sector ha iniciado el camino de la innovación tecnológica, planteándose el uso de IoE (Internet of Everything), y en algunos casos, debido a la pandemia, la implantación de dispositivos de control contra la COVID-19.
  • Sólo el 25% de las empresas está aplicando Machine Learning e Inteligencia Artificial para la detección y la respuesta automática ante incidentes. El resto, se apoya en las funcionalidades que actualmente aportan las herramientas de los proveedores subcontratados especializados en ciberseguridad.
  • En otros ámbitos proactivos y avanzados de ciberseguridad, como son la orquestación, el uso de herramientas de threat hunting o deception, sólo el 50% de las empresas del sector están empezando a usar o se plantean el empleo de dichas tecnologías. El resto de compañías se encuentran en estadios más incipientes, necesitan asentar las bases y alcanzar niveles de madurez adecuados para avanzar en estos objetivos a largo plazo.

Turismo

  • En el sector Turismo hay aún margen de mejora en cuanto a la visión de cómo les afectará la ciberseguridad en su negocio. Sólo el 36% de las compañías es consciente y dispone de una estrategia definida con un programa claro de transformación, sin embargo, el resto de actores son claramente conscientes de sus propias deficiencias y tienen pensado tomar medidas para solventar esta situación.
  • El 91% de las empresas del sector Turismo tiene un enfoque reactivo en su transformación hacia una Organización Protegida Digitalmente. Este sector aún va por atrás de otros importantes de la economía en esta área: la ciberseguridad aún no se ha terminado de afianzar en los procesos de negocio de las empresas.
  • El 54% de las empresas recibe asesoramiento externo en la detección de amenazas, pero igualmente, considera que deben impulsar éste ámbito y ponerlo en marcha a corto plazo.
  • Todavía hay empresas que no tienen un sistema de gestión de identidades que les permita gobernar de forma centralizada y automatizar el control de las identidades de los usuarios durante todo el ciclo de vida.
  • Se identifica poco avance en el mundo de la protección del dato, con margen de mejora en la encriptación, clasificación y etiquetado de la información. En muchos casos, la protección de datos tiende a depender de los permisos de acceso a la información.
  • Todavía quedan compañías sin una estrategia definida de planificación de la respuesta ante incidentes (27%), pero el resto sí cuenta con playbooks definidos y con comités de crisis establecidos donde está presente el área de Comunicación para actuar eficazmente ante incidentes.
  • Se sigue considerando que la prevención del fraude es principalmente responsabilidad de los departamentos financieros o jurídicos, siendo una problemática que afecta a todas las compañías.
  • La mayor parte de la industria está migrando o ha migrado sus datos/aplicaciones total o parcialmente a la nube, pero no se está planteando estrategias de protección en este sentido, más allá de las que ofrecen los propios proveedores de nube.
About Author

Prensa Redex

Redexpertos es una organización que tiene como objetivo congregar a profesionales relacionados con las áreas de las comunicaciones y la responsabilidad social empresarial, para promover la gestión del conocimiento y de esta manera aportar a la Sostenibilidad del planeta.

Leave a Reply

Tu dirección de correo electrónico no será publicada.