La gran mayoría de los CISO han observado ganancias positivas en la cultura de seguridad en sus organizaciones en el último año, a pesar de una caída percibida en la calidad de la postura general de seguridad, según el 10el Informe anual de madurez de seguridad de la información publicado por ClubCISO y Telstra Purple. La investigación encuestó a 182 miembros de ClubCISO, una comunidad global de líderes en seguridad de la información que trabajan en empresas del sector público y privado. El documento pinta una imagen optimista de la seguridad organizacional con los CISO que informan una caída en las infracciones materiales reportadas en comparación con el año anterior, mientras que el 60% afirma que el respaldo del liderazgo ha sido una influencia importante en la mejora de la cultura de seguridad organizacional.
Sin embargo, a pesar de los hallazgos positivos, varios factores aún frenan a los CISO y sus equipos de seguridad, incluida la falta de recursos, la ralentización de los presupuestos de seguridad, las prioridades contrapuestas y la falta de personal, según el informe.
¿Qué está afectando la cultura de seguridad en las organizaciones?
La cultura de seguridad se está moviendo en la dirección correcta en la mayoría de las empresas al menos hasta cierto punto, según el 80 % de los encuestados, y el 62 % siente que su cultura de seguridad está haciendo un «buen progreso», en comparación con el 57 % en 2022. Junto con el respaldo del liderazgo , las políticas proactivas de «denunciarlo» sin culpa (41 %), el phishing simulado (38 %) y la capacitación personalizada (37 %) son impulsores clave para mejorar la cultura de seguridad, según el informe. También se observa una mayor alineación entre los equipos de seguridad y de liderazgo sénior, incluido tanto el equipo ejecutivo (67 % en 2023 frente a 59 % en 2022) como la junta directiva (54 % en 2023 frente a 49 % en 2022).
Sin embargo, las crecientes listas de prioridades y los recursos limitados están obstaculizando la cultura de seguridad. Según los encuestados, los tres factores principales que impactan más negativamente en la cultura de seguridad en los últimos 12 meses son demasiadas prioridades en competencia (61%), equipos de seguridad sobrecargados (44%) y falta de recursos para promover la conciencia, el comportamiento y la seguridad en materia de seguridad. cultura (26%). Además, los CISO todavía sienten que la falta de personal está afectando su capacidad para cumplir con los objetivos, aunque esto disminuyó ligeramente con respecto al año pasado (50 % en 2023 frente a 57 % en 2022).
Curiosamente, la cantidad de líderes que creen que su cultura de seguridad es un ejemplo de las mejores prácticas ha disminuido en comparación con 2022. «¿Significa esto que la excelencia en la cultura de seguridad ha disminuido? Parece mucho más probable que esto se pueda atribuir a una comprensión más profunda de lo que significa ser un ejemplo de las mejores prácticas y cuánto tiempo lleva cambiar y mejorar la cultura», escribió el colaborador del informe, el Dr. Jessica Barker, codirectora ejecutiva y cofundadora de Cygenta.
Las tasas de incumplimiento caen a pesar de la caída percibida en la postura general de seguridad
El informe de este año pinta una imagen optimista de la resiliencia organizacional frente a las amenazas de seguridad: el 76 % y el 60 % de los encuestados dijeron que no se habían producido infracciones importantes ni incidentes importantes de ciberseguridad en los últimos 12 meses, respectivamente, en comparación con el 68 % y el 54 % del año pasado. . . Eso es a pesar de que los CISO calificaron la postura de seguridad general de su organización más baja que el año pasado. En 2022, el 46% de los encuestados se calificaron por encima del promedio (al menos 4/5 estrellas), mientras que este año solo el 38% se calificó igual. Además, más del 13 % de los encuestados no está seguro de que su organización pueda cumplir los objetivos clave de seguridad.
La falta de recursos de seguridad es común, los presupuestos de seguridad comienzan a disminuir
La falta de recursos para los equipos de seguridad es un tema común en el informe de este año y, aunque los datos sugieren que los presupuestos de seguridad han aumentado, es posible que esto se esté desacelerando. Un poco más de la mitad de los encuestados dijeron que sus presupuestos habían aumentado desde el año pasado, pero el grado de aumento fue típicamente menor en comparación con el informe del año anterior. Los factores clave que contribuyen al aumento del gasto incluyen la evolución del panorama de amenazas cibernéticas (39 %), mantenerse al día con los pares (21 %) e invertir en contratación y capacitación (18 %), mientras que las limitaciones en los presupuestos parecen ser el resultado de la economía. recesión (34%), presión de pérdidas y ganancias (30%) y malestar geopolítico (17%). Las soluciones más comunes en la parte superior de las listas de CISO son la gestión de eventos e información de seguridad (SIEM, 46 %), la gestión de vulnerabilidades (43 %) y la gestión de acceso e identidad (IAM, 43 %).
«La ciberseguridad puede dar a las empresas una ventaja competitiva y ahora se considera un generador de ingresos a medida que los ciudadanos y las empresas se vuelven cada vez más selectivos sobre cuáles deberían ser las credenciales de seguridad de una empresa», escribió el colaborador del informe Manoj Bhatt, líder del equipo de ciberseguridad en Cyberhash UK y Jueces de los premios CSO 30 UK Awards 2023.
El seguro cibernético es divisivo pero se vuelve inevitable
El seguro cibernético es un tema divisivo en el informe de este año, que refleja un panorama de seguros cibernéticos que cambia significativamente en el que las pólizas se vuelven más complejas, costosas y diversificadas. La mayoría de los encuestados (72 %) tiene seguro cibernético, mientras que el 15 % de los CISO no lo quiere y no cree en sus beneficios. De aquellos con seguro cibernético, el 18 % ha intentado presentar un reclamo, con una mayor división evidente con respecto a los resultados percibidos de las pólizas: el 29 % estaba satisfecho con el resultado y el precio de renovación, el 38 % estaba satisfecho con el resultado, pero no con la renovación precio, y el 33% estaba insatisfecho con el resultado en general. Este grupo final es el área que muestra un cambio claro desde el año pasado, donde ni un solo encuestado dijo que no estaba satisfecho con el resultado de su seguro. Finalmente, la mitad (54 %) de los encuestados está de acuerdo en que los seguros cibernéticos están exacerbando el problema del ransomware hasta cierto punto, mientras que el 14 % no está de acuerdo.
La mayoría de los encuestados creen que el seguro cibernético tiene un papel que desempeñar en la protección de las organizaciones, pero argumentan que la claridad sobre los resultados de las políticas debe ser mejor, escribió el colaborador del informe Stephen Khan, presidente de ClubCISO. «Los miembros creen que el seguro cibernético debe complementar las capacidades internas, con asesoramiento especializado y apoyo de proveedores confiables».
Derechos de autor © 2023 IDG Communications, Inc.