1 de cada 4 empresas reportó incidentes de seguridad de IT en el último año, según una encuesta
El 27,6 % de las organizaciones fueron objeto de incidentes conocidos relacionados con la seguridad informática en los últimos 12 meses
Una encuesta global de profesionales de IT y líderes de más de 800 organizaciones revela que más de una cuarta parte de las organizaciones encuestadas han reportado ser el objetivo de un incidente relacionado con la seguridad en los últimos 12 meses. De estas organizaciones que han sido atacadas, el 71,3 % están sujetas a requisitos de cumplimiento de seguridad como HIPAA, PCI, SOX, GDPR e ITAR/CMMC. La encuesta se centra en las medidas de seguridad informática dentro de las organizaciones, junto con la forma en que estas medidas se relacionan con los requisitos de cumplimiento creados por las entidades gubernamentales.
Si bien no existe una causalidad estricta entre la tasa de incidentes y la presencia de requisitos de cumplimiento, se puede concluir que las organizaciones que operan en industrias o territorios con una mayor incidencia de ciberataques tienen más probabilidades de estar reguladas por requisitos de cumplimiento.
De hecho, la encuesta encontró que 3 de cada 10 organizaciones (30,4 %) que están obligadas a cumplir con los requisitos de cumplimiento han reportado ser el objetivo de un incidente relacionado con la seguridad de IT en el último año, en comparación con el 22,8 % de las que no están obligadas a seguir estos requisitos.
La alta incidencia de casos relacionados con la seguridad de IT entre las organizaciones que están sujetas a requisitos regulatorios también puede explicar por qué el 70,5 % de las organizaciones considera necesario invertir en seguridad de IT más allá de lo exigido por las normas de cumplimiento.
Los ataques por correo electrónico representan el 71 % de todos los incidentes reportados
Como se muestra en el gráfico anterior, las campañas de spam por email, phishing/robo de credenciales y emails fraudulentos son los vectores de ataque conocidos más comúnmente reportados. Este conjunto de datos refuerza nuestro conocimiento del hecho de que la debilidad más común entre las organizaciones es el medio a través del cual es más fácil comunicarse con los usuarios finales: el correo electrónico.
Si bien los endpoints comprometidos, las amenazas de día cero, los ataques de la cadena de suministro y las amenazas infiltradas también se mencionaron como vectores de ataque durante estos incidentes, el correo electrónico sigue siendo la vía de entrada más atractiva para los posibles ciberdelincuentes.
Si bien las funciones de filtrado de correo electrónico y seguridad que ofrecen los proveedores de servicios en la nube como Microsoft 365 pueden ayudar a combatir estas amenazas, las características de seguridad de correo electrónico más avanzadas ofrecidas por proveedores de seguridad especializados pueden aliviar la presión de los departamentos de IT internos, lo que les permite centrarse en las prioridades del negocio.
El 85,6 % de las organizaciones reportan el Ransomware como una preocupación importante de seguridad para los próximos 12 meses
Cuando se les preguntó sobre las principales preocupaciones de seguridad de los próximos 12 meses, el 85,6 % de todos los encuestados mencionó el Ransomware. Teniendo en cuenta el apartado anterior, que destaca el correo electrónico como el principal vector de ataque, las preocupaciones en torno al Ransomware no son sorprendentes. Como ya destacamos en una encuesta de Ransomware realizada recientemente, 1 de cada 5 organizaciones es víctima de ataques de ransomware, y el efecto puede ser desastroso. La misma encuesta identificó la filtración de correo electrónico y el análisis de amenazas como una de las principales herramientas utilizadas por las organizaciones para combatir el riesgo que representan los ataques de Ransomware.
El tiempo de inactividad promedio que una empresa experimenta después de un ataque de Ransomware es de 21 días y, si bien el costo de ese tiempo de inactividad por sí solo puede ser fatal para muchas empresas, sin tener en cuenta el costo de la recuperación de datos, el pago del rescate y el daño a la marca a largo plazo.
La tasa de incidentes de seguridad de IT crece proporcionalmente al tamaño de empresa
Casi 1 de cada 5 (18,5 %) empresas en el intervalo de 1 a 50 empleados han sido objetivo de un incidente relacionado con la seguridad de IT en el último año. Si bien se trata de una tasa de incidencia preocupantemente alta, es, con mucho, la más baja entre todos los intervalos de tamaño documentados en esta encuesta.
El 23,2 % de las organizaciones de 51 a 200 empleados fueron atacadas, al igual que el 25,8 % de las organizaciones de 201 a 500. Las organizaciones entre 500 y 999 empleados fueron blanco de los ataques en un 40,8 %, mientras que la mitad de las organizaciones encuestadas con más de 1.000 empleados reportaron un ataque.
Esta tendencia muestra claramente que los ciberataques son comunes en todas las organizaciones, pero parece claro que a medida que una organización crece, la tasa aumenta dramáticamente. Los esfuerzos de seguridad realizados en una empresa con menos de 500 empleados evidentemente no son suficientes para proteger a las organizaciones a medida que incrementan su tamaño.
El uso de más funcionalidades de seguridad de Microsoft 365 se correlaciona con una mayor tasa de incidentes de seguridad
4 de cada 5 (80,2 %) de todos los encuestados informaron que utilizan Microsoft 365 en su organización. Preguntamos a estas personas qué características de seguridad proporcionadas dentro de la suite de Microsoft 365 utilizan dentro de su empresa. Como era de esperar, la autenticación multifactorial es la característica más utilizada, con 3 de cada 4 encuestados (73,3 %) que hacen uso de ella. Defender y Conditional Access le siguen en popularidad con el 41,2 % y el 38,2 % de los encuestados.
El dato más sorprendente a este respecto es que cuanto mayor es el número de funcionalidades de seguridad de Microsoft 365 que una compañía reportó usar, mayor es la probabilidad de que dicha compañía haya sido objetivo de un incidente de seguridad en los últimos 12 meses. Así se puede comprobar en el siguiente gráfico:
Si bien esto no significa que las funcionalidades de seguridad de Microsoft 365 tengan la culpa de la mayor incidencia, puede indicar que el uso de un mayor número de funcionalidades de seguridad puede generar en los departamentos de IT una falsa sensación de seguridad, lo que conlleva a un mayor riesgo de sufrir incidentes. También puede indicar que algunas de las características de seguridad de Microsoft 365 más complejas pueden estar siendo aplicadas de forma incorrecta, dejando así agujeros en la protección y no proporcionando la protección requerida.
La mayoría de las organizaciones (69,3 %) utilizan de 4 a 8 medidas de seguridad IT
La mayoría de los departamentos de IT suelen emplear entre 4 y 8 medidas de seguridad, siendo el dato más habitual 5, y la media 5,8.
También queríamos entender qué tipo de relación, si la hay, existe entre el número de medidas de seguridad empleadas por las organizaciones y la tasa de incidentes de seguridad IT a la que se enfrentan. En el siguiente gráfico se pueden observar los datos.
Sobre la base de los datos anteriores, podemos ver que la tasa de incidencia es más alta en ambos extremos del conjunto de datos. Las organizaciones que utilizan solo una medida de seguridad sufren una tasa de incidencia del 40 %, que es solo ligeramente inferior a las que utilizan 10 u 11 medidas de seguridad. Esto indica que cuantas más medidas de seguridad se utilicen, más propensa es la organización a sufrir ataques, y más vigilantes deben estar para evitar las amenazas.
El filtro de spam es la funcionalidad de seguridad más utilizada (84,4 %)
Teniendo en cuenta que el principal vector de ataque de los incidentes de seguridad de IT conocidos reportados en esta encuesta fueron campañas de Spam a través del email, esta conclusión no es sorprendente. Otros métodos de seguridad altamente utilizados incluyen autenticación multifactorial (82,7 %) y filtrado del de tráfico web (68,8 %). Estos métodos se centran principalmente en evitar que las amenazas de seguridad lleguen fácilmente a los usuarios finales, sin embargo, ¿qué sucede cuando de alguna manera fallan?
Solo 6 de cada 10 (61,2 %) de las organizaciones se aseguran de que se imparta formación sobre seguridad informática a los usuarios finales para ayudarles a identificar las potenciales amenazas que han podido burlar los sistemas de filtrado que llegan a su ordenador. Este es un error significativo para aquellas organizaciones que no proporcionan dicha formación, teniendo en cuenta que el Phishing y el Robo de Credenciales es el segundo vector más común de ataque reportado en esta encuesta, con un 58,4 %. La formación ayudaría a los usuarios finales a identificar y señalar posibles amenazas e incluso podría proporcionar más datos a los equipos de IT para mejorar las medidas de seguridad.
¿Qué medida de seguridad corresponde a la menor cantidad de incidentes de seguridad de IT?
Entre todas las medidas utilizadas, las soluciones de backup del endpoint correspondieron a la tasa más baja de incidentes reportada por los encuestados. El 24,1 % de los que utilizaron esta medida de seguridad reportaron un incidente en el último año, en comparación con el 42,1 % de los que utilizaron soluciones SIEM, la más alta entre las medidas utilizadas. Si bien esto no significa que el uso de soluciones de Endpoint Backup reduzca la tasa de que ocurran incidentes dentro de las organizaciones, sí indica que las organizaciones que asignan recursos a esta medida parecen estar menos en riesgo.
Estos datos también indican que, si bien las soluciones SIEM como Azure Sentinel pueden proporcionar análisis en tiempo real para combatir las amenazas de seguridad, no se puede confiar en ello por sí solo. La alta tasa de incidentes de seguridad reportados por aquellos que utilizan esta solución indica que la presencia de una solución SIEM puede inculcar una falsa sensación de seguridad y conducir a un monitoreo menos activo por parte de los miembros del departamento de IT.
Solo el 28,4 % de las organizaciones dicen que el gasto en IT está impulsado por las principales preocupaciones de seguridad «la mayoría» o «todo» del tiempo
Teniendo en cuenta que la seguridad digital debe ser una de las principales prioridades para cualquier organización desde una perspectiva de IT, estamos bastante sorprendidos por el bajo número de organizaciones donde las preocupaciones de seguridad impulsan el gasto de IT de manera consistente. Curiosamente, más de la mitad de todos los encuestados (56,4 %) informaron que las preocupaciones de seguridad impulsan el gasto de IT solo «a veces».
Cuando se preguntó acerca de los principales obstáculos para implementar funcionalidades de seguridad dentro de su organización, casi 2 de cada 3 encuestados (62,6 %) citaron «no suficiente tiempo o recursos», el 44,6 % citó una «falta de presupuesto» y el 36,2 % señaló «problemas de formación o falta de conocimiento». Casi 1 de cada 4 encuestados (23,1 %) también mencionó una «falta de interés por parte de la dirección».
Estos resultados parecen indicar que, aunque 1 de cada 4 organizaciones son objeto de amenazas de seguridad, esta alta tasa de incidencia no se refleja en las acciones del presupuesto de IT de muchas empresas.
El 55,5 % de las organizaciones no tienen un proceso de seguimiento y revisión de cambios.
Continuamos ilustrando la falta de esfuerzo que están haciendo muchas organizaciones para mantenerse a salvo de las amenazas de seguridad, más de la mitad de nuestros encuestados informaron que su organización no tiene un proceso de seguimiento y revisión de cambios en su departamento de IT. La falta de control y revisión de cambios puede conducir a mayores riesgos de seguridad y grietas. La falta de seguimiento también puede hacer que sea más difícil entender de dónde provienen ciertas amenazas de seguridad e identificar puntos débiles en el sistema que requieren mantenimiento y seguridad adicional.
Casi 2 de cada 3 (63,5 %) organizaciones están sujetas a requisitos regulatorios
El requisito regulatorio más común reflejado en la encuesta es RGPD, relacionado con el 39 % de todos los encuestados. Otros dos requisitos reglamentarios que son también bastante comunes son el PCI (19,3 %) y el HIPAA (18,6 %). Más de la mitad (52,8 %) de los encuestados reportan que estos requisitos de cumplimiento impulsan que IT gaste solo «parte del tiempo», y solo el 26 % reporta que el gasto en IT está impulsado por el cumplimiento «la mayoría» o «todo» del tiempo.
7 de cada 10 (70,5 %) organizaciones invierten en seguridad de IT más allá de los requisitos reglamentarios
A pesar de que los presupuestos de IT no siempre se ven afectados por los requisitos regulatorios, según nuestra encuesta, más de 7 de cada 10 organizaciones invierten en seguridad de IT más allá de lo requerido por los requisitos de cumplimiento. Sin embargo, lo contrario también es cierto, con 3 de cada 10 empresas que no invierten lo suficiente en seguridad de IT para cumplir con los requisitos. Las razones citadas por los encuestados en cuanto a cuál es el principal obstáculo para implementar los requisitos de cumplimiento incluyen «falta de tiempo o recursos» (65,1 %), «falta de presupuesto» (40,1 %), «cuestiones de capacitación o falta de conocimiento» (38,7 %) y «falta de interés de la dirección (20 %).
Resultados completos de la Encuesta de Seguridad y Cumplimiento de IT
Puedes revisar todos los datos de la encuesta de cumplimiento de seguridad de IT aquí.
Acerca de la Encuesta de Seguridad y Cumplimiento de IT
Aquí puedes encontrar un detalle completo de los encuestados, para tener un contexto completo relacionado con los datos anteriores.
En lo que se refiere a la forma en que se manejan los recursos de lT dentro de las organizaciones encuestadas, hay tres subconjuntos principales. El 37,3 % de los encuestados proporciona servicios gestionados de IT, el 31,4 % utiliza solo recursos de IT internos y el 21,8 % utiliza los servicios de un proveedor de servicios gestionados (MSP), consultor de IT o distribuidor de valor añadido. El 9,5 % restante de los encuestados tiene un solo individuo responsable de IT (pero no es su función principal) o un recurso de IT compartido.
El tamaño de las empresas (por número de empleados) del que forman parte nuestros encuestados varía entre 1-50 (43,5 %), 51-200 (18,8 %), 201-500 (12,8 %), 501-999 (6,5 %) y más de 1.000 (18,5 %).
También preguntamos a nuestros encuestados cuántos años de experiencia tienen en el sector IT. Más de la mitad (51,5 %) reportó más de 20 años de experiencia. El resto se divide entre 16-20 años (14,3 %), 10-15 años (13,2 %), 6-10 años (13,5 %) y 1-5 años (7,5 %).
En términos geográficos, la gran mayoría de los encuestados están basados en Norteamérica (44,1 %) y Europa (40,6 %). Mientras que el 14 % restante está dividido entre Asia (4,4 %), África (3,4 %), Australia (3,8 %), Oriente Medio (2 %) y Sudamérica (1,7 %).
Conclusión
Mantener a las organizaciones y sus clientes a salvo de amenazas externas es una de las principales preocupaciones de los equipos de IT en todo el mundo. Es uno de los sectores más complejos y en rápido crecimiento, y por una buena razón. Las brechas de seguridad y los ciberataques son prácticamente una industria en sí mismos, con ataques exitosos que cuestan a las empresas y a sus clientes millones de euros cada año.
Como hemos descubierto a través de estos resultados de la encuesta, el aumento de los requisitos de cumplimiento no significa la desaparición completa de las amenazas. La vigilancia independiente, constante y proactiva por parte de cada organización sigue siendo esencial para tener más posibilidades de frustrar potenciales ataques, independientemente de las variables involucradas.
Esperamos que esta información te haya sido de utilidad, si deseas obtener datos más detallados tienes también a tu disposición los resultados completos de la encuesta.