La mitad de las empresas del Reino Unido y poco menos de un tercio de las organizaciones benéficas dicen haber experimentado algún tipo de ciberataque o violación de datos en los últimos 12 meses, cifra que asciende al 74% de las grandes empresas y al 66% de las organizaciones benéficas de mayores ingresos que ganan más de £500.000 por año. anualmente, según la última edición del informe del gobierno Encuesta sobre violaciones de seguridad cibernética.
A primera vista, esto parecería ser un salto significativo con respecto a las estadísticas presentadas en la edición de 2023 del estudio anual, en la que el 32% de las empresas y el 24% de las organizaciones benéficas recordaron incidentes, pero lamentablemente se trata de un cambio en la pregunta que busca capturar el incidente. volúmenes significa que realmente no es posible hacer una comparación directa.
La encuesta de 2024 también encontró que, por un margen considerable, el tipo de incidente más común experimentado fue el phishing, observado en el 84% de las empresas y el 83% de las organizaciones benéficas, seguido de los intentos de suplantación de identidad, que afectaron al 35% de las empresas y al 37% de las organizaciones benéficas. y virus u otro malware, incluido ransomware, que afectan al 17% de las empresas y al 14% de las organizaciones benéficas.
Entre las organizaciones que identificaron ataques o infracciones, el coste medio del incidente más perturbador fue de £1205, aumentando a £10 380 para las empresas medianas y grandes, y a £460 para las organizaciones benéficas.
Dada la relativa falta de sofisticación de las amenazas más comunes, el informe contenía abundante evidencia de que algunos de los mensajes sobre higiene básica en ciberseguridad están llegando, con el despliegue de diversos controles, políticas y herramientas, como protección actualizada contra malware, derechos de administrador restringidos, implementación de firewalls de red y procesos acordados para correos electrónicos de phishing, en todos los ámbitos y representan una reversión parcial de una tendencia a la baja observada desde el inicio de la pandemia de Covid-19 en 2020. El gobierno cree que estos cambios reflejan cambios en la población de microempresas y entre las PYMES.
En otras zonas, sin embargo, el panorama era menos halagüeño. La conciencia y la aceptación de la seguridad cibernética entre los altos directivos y las salas de juntas permanecen estáticas, pocas organizaciones están haciendo mucho para abordar la seguridad de la cadena de suministro y pocas han establecido políticas de notificación de incidentes o se molestan alguna vez en informar de incidentes externamente, como por ejemplo a organismos como el National Cyber Security. Security Center (NCSC), que está facultado para ayudar de muchas maneras.
Sumado a esto, la proporción de quienes siguen orientación externa, como los 10 pasos oficiales para la seguridad cibernética, o obtienen la certificación Cyber Essentials del NCSC está disminuyendo; de hecho, solo el 12 % de las empresas y el 11 % de las organizaciones benéficas conocen el esquema Cyber Essentials. existe.
“Increíblemente decepcionante”
Andy Kays, director ejecutivo de Socura, especialista en detección y respuesta administradas (MDR), dijo que era “increíblemente decepcionante” ver tal desprecio por la seguridad cibernética, particularmente entre las empresas más pequeñas.
“A pesar de años de advertencias de expertos, innumerables titulares sobre violaciones de datos y una mayor acción regulatoria, este tema todavía no está en su radar”, dijo.
“Solo una fracción de las empresas del Reino Unido tiene algún tipo de plan formalizado de respuesta a incidentes, lo cual me parece sorprendente. Las empresas siempre tendrán un plan en caso de incendio, pero no aplicarán el mismo cuidado en caso de violación de datos, lo cual estadísticamente es mucho más probable. Va en contra del sentido común”.
Sólo una fracción de las empresas del Reino Unido tiene algún tipo de plan formalizado de respuesta a incidentes, lo cual me parece sorprendente.
Andy Kays, Socura
Kays atacó a los propietarios de empresas que parecían estancados en el pasado y los acusó de no hacer lo mínimo más allá de realizar una capacitación superficial sobre concientización sobre los correos electrónicos de phishing. Lamentó la falta de un mantenimiento de registros adecuado y la falta de voluntad para informar a la policía y los reguladores o evaluar la escala y el impacto de las infracciones.
Kays también señaló que la encuesta puede ofrecer una imagen algo inexacta de los costos financieros de un incidente cibernético y corre el riesgo de inducir complacencia entre las organizaciones.
“El costo financiero estimado de una filtración de datos en esta encuesta es mucho, mucho menor que el de otras fuentes. Creo que debemos tratar la cifra de £1.205 del gobierno con cautela”, dijo.
“Esta encuesta se inclina hacia empresas más pequeñas que muchas otras encuestas, por lo que las cifras serán menores. [But] Sabemos que las grandes empresas pueden perder millones en caso de una filtración de datos debido a la interrupción, el impacto en la reputación y la caída del precio de las acciones. La Oficina del Comisionado de Información también puede imponer multas graves a las empresas que incumplan el RGPD”.
La evangelista de seguridad de Panaseer, Marie Wilcox, también denunció el continuo fracaso de las organizaciones del Reino Unido a la hora de implementar controles de seguridad esenciales. “En el mejor de los casos, las organizaciones todavía están por debajo de los estándares de 2021. Incluso las grandes empresas que comprenden los riesgos a menudo no implementan controles adecuadamente: al menos el 29% no cuenta con controles para la gestión de parches o para restringir el acceso a los dispositivos propiedad de la organización.
“Dado que los atacantes tienden a coger la fruta más fácil, el 98% de los incumplimientos podría prevenirse centrándose en los fundamentos de seguridad y mejorando cibernético higiene. Avanzar hacia el medio del grupo al contar con los controles y políticas adecuados ayudará a evitar la gran mayoría de los ataques”.
Sin embargo, continuó Wilcox, contar con políticas y controles apropiados es sólo la mitad de la batalla: las arenas del paisaje que cambian rápidamente hacen que la seguridad sea un objetivo móvil y las organizaciones también necesitan hacer más para lograr una visibilidad continua sobre lo que están haciendo, dónde están las cosas. van bien y están cerrando diferencias. Demasiados dependen de datos incompletos, aislados y a menudo contradictorios, e incluso las mejores herramientas de seguridad pueden ser testigos poco confiables, lo que genera informes contradictorios, vulnerabilidades omitidas, equipos de seguridad abrumados y más oportunidades para que los actores de amenazas ataquen.
“Superar estos problemas es un gran desafío de datos. Los CISO necesitan un sistema de registro validado en el que puedan confiar y que brinde visibilidad total sobre las brechas de cobertura y su verdadero estado de control”, dijo Wilcox.
Recuperar el control
“La encuesta también deja al descubierto por qué es tan importante que los CISO tomen y demuestren el control”, dijo Wilcox. “El CISO es cada vez más un eje crucial de la estrategia de gestión de riesgos de las organizaciones. Más que nunca las empresas tienen que cubrir el riesgo cibernético en sus informes anuales y este enfoque aumentará con un escrutinio regulatorio adicional. Y casi la mitad (46%) de las grandes empresas todavía carecen de seguro cibernético.
“Para adaptarse a su nuevo rol, los CISO deben comprender los riesgos que enfrentan y comunicarlos a todas las partes interesadas potenciales en el lenguaje del negocio. Demostrar que existen controles de seguridad y que se los supervisa constantemente contribuirá en gran medida a tranquilizar a la junta directiva, a los inversores, a las aseguradoras y a los reguladores”.
