Bueno será empezar por las buenas noticias para soportar las malas. El número de ataques directos a las empresas encuestadas por Accenture Security ha bajado un 11% (de 232 a 206) mientras que las brechas detectadas bajaban el 27%. No son tan buenas cuando uno descubre el truco: los ataques ya se han consumado mientras que de las amenazas sólo se sabe que no han sido detectadas (todavía). Estas son sólo dos de los numerosos hallazgos del Third Annual State of Cyber Resilience Report, que continúa la serie iniciada en 2017 y que recoge las respuestas de 4.644 directivos de 24 sectores de actividad en 16 países, entre ellos España. La conclusión era previsible: queda mucho que mejorar.
El análisis de Accenture Security distingue entre un pequeño grupo de organizaciones (17%) a las que clasifica como líderes, muy por delante del 74% restante cuando se les interroga sobre sus políticas de detección, respuesta y recuperación ante ataques cibernéticos. Las dos claves para saltar del estatus rezagado al superior pasan por la protección adecuada y por la inversión en tecnologías que aportan velocidad operativa (Inteligencia Artificial, Automatización Robótica de Procesos) pero podrían sembrar la tentación de recortar gastos en cuestión tan delicada.
De las dos acepciones de la palabra resiliencia, hoy tan en boga, la primera es la que parece más apropiada al asunto. Pero ¿es verdad que las empresas se están adaptando a un agente perturbador o se trata de un esfuerzo inacabable? Del informe se desprende que las organizaciones consultadas se enfrentan cada año, de media, a 22 brechas de seguridad, frente a las 30 de la edición anterior. El objetivo principal que buscan los atacantes son los archivos de clientes y la infraestructura, cada uno con un 30% del total; el espionaje anda muy cerca, con el 29%.
Estos porcentajes reflejan la media, pero si se mira sólo a los presuntos líderes, no son buenos: 35%, 28% y 24% respectivamente. Todo parece indicar que los progresos son mínimos y que una suerte de fatalismo parece haberse instalado: son demasiadas las empresas que viven peligrosamente en la cuerda floja.
La radiografía de las brechas reconocidas muestra que el origen de un 40% es indirecto y que suelen aprovechas los eslabones débiles de la cadena de suministro de la propia empresa o, con frecuencia, de alguno de sus partners. La lección parece más que evidente: no basta con mirar dentro de las cuatro paredes de la empresa. Según el informe, un 83% de los encuestados lo sabe pero no lo practica, ya que en la actualidad sólo el 60% de la muestra está (o dice estar) protegiendo activamente su así llamado ´ecosistema`.
No obstante, hay que reconocerles que blindar la cadena de suministro no es tarea fácil. No sólo por los volúmenes de datos que abruman a los CISO (chief information security officer) sino, también, por su complejidad intrínseca, no pocas veces repartida entre distintos países con legislaciones heterogéneas. Los recursos dedicados a la seguridad son finitos y nunca suficientes, lo lleva a aceptar un riesgo escalonado. Que es como decir una dosis de resignación. ¿Qué es más peligroso: admitirlo o engañarse?
Por cierto, la colaboración entre empresas y organismos gubernamentales debería ser básica en el blindaje, o así lo considera el 79% de los directivos encuestados. No es una mera opinión, puesto que la confirman las cifras: las que más colaboran tienen una ratio de brechas del 6% frente al 13% del resto. En todo caso, conste que ni siquiera los llamados líderes llegan al 60% en ninguna de las categorías con las que se supone deberían colaborar. A la cabeza, con el 57%, destaca la colaboración con los partners estratégicos para compartir conocimientos y poner a prueba la resiliencia, frente al 47% de las empresas no líderes. A la cola (43%) se sitúan las colaboraciones para generar estándares sectoriales de seguridad.
Desplegar una estrategia seria de ciberseguridad no está exento de un incremento de costes. En ocasiones pueden alcanzar niveles insostenibles, apunta el 69% de las respuestas. En la práctica, el gasto en las principales categorías de ciberseguridad se ha disparado más de un 25% interanual, declara la cuarta parte de los encuestados. Los conceptos de gasto más citados son la detección de amenazas y la monitorización de riesgos. Un simple cruce entre lo invertido y el número de ataques sufridos, indicaría un coste medio por ataque de 380.000 dólares.
Tomando la media de las respuestas recogidas, las organizaciones participantes estarían dedicando casi el 11% de sus presupuestos de TI a los programas de ciberseguridad, con incrementos significativos en partidas relacionadas con IA, machine learning o RPA. De hecho, el 84% de la muestra destina más del 20% de su presupuesto de ciberseguridad a esas tres tecnologías. Es un salto significativo sobre el 67% que lo hacían hace tres años. Y si se aíslan las empresas líderes, resulta que el aumento es notable: del 41% en 2017 ha subido al 84%, más del doble, en 2020.
Para el grueso de las organizaciones (74%) queda mucho camino por recorrer, ya que un 45% reconoce no contar con protección activa y que sólo el 54% de las brechas de seguridad fueron descubiertas por sus equipos internos. Con el agravante de que en el 97% de los casos, los efectos de esas brechas duraron más de 24 horas. Este factor, el tiempo, escinde aún más severamente a los líderes de los rezagados: el 88% de los primeros tarda menos de un día en detectar una brecha mientras que un 78% de los segundos pueden tardar siete días o más.
De poco valdría detectar el problema si luego se tarda demasiado en remediarlo. En este aspecto clave para la continuidad del negocio, los lideres llevan ventaja una vez más pero tampoco es que se luzcan: el 96% lo solucionan en menos de quince días de media. Una mayoría que en el gráfico siguiente contrasta con el 36% de los restantes, que lo hacen en el mismo plazo. La consecuencia es fácil de calcular: se tarda entre 16 y 30 días en poner remedio a una brecha en el 64% de las empresas que no pertenecen a la categoría superior.
Desde el segundo párrafo de la crónica, el lector habrá deducido que las empresas líderes son las más resilientes. Es explicable: detienen cuatro veces más ataques y localizan las brechas cuatro veces más rápido; son tres veces más veloces para resolverlos y mitigar el impacto. Cabe preguntarse ¿qué hace ese 17% de la muestra para ser más resiliente? Invirtiendo la pregunta, ¿qué no hace el 74% restante para que una brecha de seguridad no pueda descubrirse en menos de una semana?
Con independencia de los perjuicios que ocasionan los incidentes de seguridad, hay que contar con el riesgo de una sanción económica por no cumplir las normas. La encuesta concluye que el 13% de las empresas líderes han sido objeto de expedientes regulatorios (y el 19% de las restantes), de las que un 9% se saldaron con multas.
Las consecuencias de un error de estrategia se pagan con dinero malgastado y una merma en la reputación corporativa. No todo se resuelve con tecnología. Disponer de una plantilla debidamente formada resulta fundamental: detectan antes las amenazas aquellas empresas que han invertido en formación preventiva. Por lo visto no son muchas las que han impartido cursos sobre seguridad a un número significativo de usuarios finales: una de cada tres entre las líderes y una de cada once entre las restantes. Corolario: queda mucho por hacer.
[informe de David Bollero]