Las empresas se estancan en buenas prácticas de seguridad
- Seguridad
Un estudio revela que las empresas se han estancado en la adopción de las mejores prácticas de ciberseguridad, y, sin embargo, casi la mitad de ellas están convencidas de que sus datos críticos están seguros.
NTT Security ha publicado su 2019 Risk:Value report, que muestra como las empresas todavía están instaladas en las malas prácticas de ciberseguridad. Los hallazgos de este año muestran que las organizaciones son conscientes de los riesgos que plantean las ciberamenazas, con el robo de datos entre los principales riesgos empresariales. La gran mayoría de los encuestados (84%) cree que una ciberseguridad fuerte ayudará a su negocio; mientras que el 88% cree que la ciberseguridad tiene un papel importante en la sociedad.
NTT Security analizó las respuestas sobre prácticas en ciberseguridad, con puntuaciones positivas para las buenas prácticas y puntuaciones negativas para las malas. Los resultados muestran una preocupante falta de progreso: en 2019 como en 2018, la puntuación media fue de solo 3, lo que significa que hay casi tanta mala práctica como buena práctica. El 32% de las empresas puntúan con menos que cero, es decir, exhiben más malas prácticas que buenas prácticas.
Menos de la mitad de los encuestados de este año consideran que todos sus "datos críticos" están "completamente seguros", con un 48% en comparación con exactamente la misma cifra en 2018. El 36% de los encuestados reveló que preferirían pagar un rescate a un hacker que ser multados por no cumplir con las regulaciones de protección de datos. Un tercio de los encuestados preferiría pagar a un hacker que invertir más en seguridad, la misma cifra que en 2018, lo que nuevamente muestra una falta de progresión.
Aunque el 83% de los encuestados considera que cumplir con las regulaciones es importante, 1 de cada 7 no sabe a qué regulaciones está sujeta su organización. Solo el 30% cree que está sujeta a GDPR, un año después de la fecha límite de cumplimiento, a pesar de que afecta a todas las organizaciones que tienen operaciones o clientes en cualquier estado miembro de la Unión Europea.
Los presupuestos de seguridad no logran mantenerse al día con el creciente ciberriesgo, con solo un aumento mínimo en el porcentaje de presupuestos de TI atribuidos a la seguridad (15% este año). El porcentaje del presupuesto de operaciones atribuido a la seguridad ha caído desde 2018, hasta el 16%.
Las organizaciones siguen sin ser proactivas cuando se trata de políticas y procesos internos. El 58% tiene una política formal de seguridad de la información, solo un 1% más que el año pasado. Un 52% tiene un plan de respuesta a incidentes, un aumento del 3% con respecto a 2018. Además, alrededor de la mitad cree que la ciberseguridad "es problema del departamento de TI y no el negocio en general".
El informe también revela que el tiempo dedicado a recuperarse de una brecha continúa aumentando año tras año, con un tiempo de recuperación esperado de 66 días, 9 días más en comparación con 2018. La pérdida de ingresos estimada en términos porcentuales también ha aumentado, con un 12,7% en 2019, comparado con el 10,3% en 2018. El coste de recuperarse de una brecha se mantiene alto, en una media de 1,2 millones de dólares.
