Fri, Nov 5, 2021

El estado de la respuesta a incidentes de seguridad

Más de 500 profesionales de la ciberseguridad desvelan los desafíos clave de la respuesta a incidentes de seguridad y explican cómo se están repensando sus programas de preparación, detección y respuesta.

Más del 55% de las organizaciones desean mejorar sus tiempos de contención y la automatización de la respuesta, pero más del 45% afirman a su vez que existen deficiencias en sus recursos de detección y respuesta.

Kroll, Red Canary y VMware realizaron una encuesta entre más de 400 responsables de seguridad de la información y 100 responsables jurídicos y de cumplimiento normativo de empresas con unos ingresos anuales superiores a 500 millones de dólares, a fin de recoger el estado actual de la respuesta a incidentes desde una perspectiva técnica y legal. Nuestro objetivo fue conocer las tendencias, identificar los retos comunes y comprender cómo las organizaciones están perfilando sus programas de preparación, detección y respuesta.

Las conclusiones de la encuesta revelan la existencia de una situación desgarradora en la que los responsables se enfrentan a obstáculos relacionados con las actitudes internas frente a la ciberseguridad, la falta de confianza y recursos y la escasa seguridad de los trabajadores a distancia. Las principales conclusiones son las siguientes:

  • Menos de la mitad (48%) de las organizaciones realizan con regularidad ejercicios de preparación de la seguridad con los dirigentes de la empresa.
  • En un número similar de organizaciones (47%), la seguridad se percibe como un impedimento para el negocio.
  • Más del 90% de los encuestados no confían plenamente en la capacidad de su organización para identificar el origen de un ciberataque.
  • Casi la mitad (46%) de las organizaciones son incapaces de contener una amenaza en un tiempo inferior a una hora tras identificarse el evento, y la mayoría de los encuestados identificaron como objetivo principal para 2021 la necesidad de que los servicios de detección, respuesta, contención y remediación funcionen 24/7.
 

El creciente volumen y nivel de sofisticación de los ataques no ayuda a aliviar esta situación. Cuando se les preguntó acerca las amenazas actuales, su mayor preocupación se centró en los siguientes aspectos:

  • La exposición a los ataques de ransomware (57%).
  • La reducción de la visibilidad en el endpoint debido a que los empleados trabajan desde su casa (54%).
  • El creciente número de ataques contra infraestructuras de trabajo a distancia, como los servicios RDP y VPN (53%).
  • La rápida migración hacia servicios de nube (50%).
 

Demasiadas alertas, insuficiente triaje

Cerca del 70% de las organizaciones reciben 100 o más alertas cada día, pero solo el 20% investiga más de 20 eventos cada jornada. Cerrar la brecha entre las alertas y las investigaciones es esencial para lograr un proceso de respuesta más eficiente. Sin embargo, para ello hay que superar numerosas dificultades:

The State of Incident Response 2021

La difícil contención de las amenazas

Casi la mitad (46%) de las organizaciones son incapaces de contener una amenaza en menos de una hora tras su inicio, y para el 23% de las organizaciones que informaron de la existencia de más de tres amenazas a sus datos en los últimos 12 meses, la contención requiere al menos 12 horas.

Además, también contribuye a los retos planteados por la contención la dificultad que tienen las organizaciones a la hora de adquirir datos e inteligencia para investigar los incidentes:

Types of data that are difficult to acquire when investigating a security incident

La automatización es un objetivo clave, pero…

Las organizaciones necesitan implementar una mayor automatización en sus procesos de respuesta a incidentes, pero casi la mitad afronta dificultades tales como la falta de experiencia y conocimientos en la propia empresa (47%) y la falta de tecnología de apoyo (47%), como refleja el siguiente cuadro:

Obstacles to enhancing automation of incident response process

Creciente importancia de la detección y respuesta gestionada

Para hacer frente a estas deficiencias, los responsables de seguridad reconocen cada vez más las ventajas de encargar a terceros la función de respuesta y detección gestionada. Un colaborador externo de este tipo puede tener impacto en todo el proceso de respuesta a los incidentes, particularmente en las áreas que los responsables de seguridad más desean mejorar:

The State of Incident Response 2021

Los responsables de seguridad buscan nuevos colaboradores que les ayuden a aprovechar estos beneficios, y cuatro de cada cinco (82%) afirman que probablemente trabajarán con un nuevo proveedor que los ayude con su proceso de respuesta a incidentes, indicando que terceros de este tipo desempeñarán un papel creciente en el futuro.

Los aspectos legales de la respuesta a incidentes de seguridad

El departamento jurídico de la organización cuenta con el mejor posicionamiento para liderar la respuesta a los incidentes que surgen, pero muchas organizaciones citan la existencia de numerosas áreas legales que plantean dificultades, como conocer cuándo consultar al departamento jurídico (47%) y la falta de cláusulas de “derecho a la auditoría” de los proveedores (47%). Es interesante observar que los miembros del departamento jurídico manifestaron un mayor interés por este área que los responsables de seguridad de la información, otro indicador de la desconexión que existe entre ambos departamentos. Véase a continuación:

Legal aspects of cyber security

Para más información, acceda al documento.

El informe completo también da respuesta a las siguientes preguntas:

  • ¿Están cubiertas las organizaciones por seguros de responsabilidad cibernética?
  • ¿Cómo comprueban las organizaciones su capacidad de respuesta a incidentes?
  • ¿Cuántas organizaciones confían la respuesta a incidentes a terceros proveedores? Y ¿cuáles son los principales beneficios que obtienen de la colaboración?
  • ¿Qué pasos se están adoptando para proteger la cadena de suministro?
 

Descargue el informe para acceder a todos los resultados.



Cyber Risk

Gestión integral de los riesgos de ciberseguridad.