A principios de este año Axis participó en el mayor estudio comparativo del mundo sobre ciberseguridad, titulado Cybersecurity Solutions for a Riskier World, realizado por la empresa de análisis internacional ThoughtLab. El estudio analizó las estrategias y resultados de ciberseguridad de 1.200 grandes organizaciones en 14 sectores y 16 países diferentes, y puso de manifiesto el aumento de los riesgos y, lo que resulta más preocupante, también la percepción entre los directivos de que no están correctamente preparados para afrontar la transformación de su entorno. Nos hemos sumergido en los datos del estudio para destacar algunas de las principales conclusiones para el sector de la vigilancia y la seguridad.
Uno de los cambios más importantes en cuanto a riesgos de ciberseguridad en los últimos años tiene que ver con la llegada y el crecimiento del internet of things (IoT), un universo en el que miles de millones de dispositivos están conectados entre sí y a redes de empresa. El resultado ha sido un enorme aumento de la exposición de las organizaciones a ataques. Y es que cualquier dispositivo conectado a la red puede convertirse en un punto de entrada y de ataque para ciberdelincuentes.
Este fue uno de los factores señalados en el estudio, en el que el 25% de los participantes coincidieron en que “la convergencia de sistemas digitales y físicos ha aumentado considerablemente los riesgos para la ciberseguridad”. Y este riesgo no hace más que crecer. Si para el 27% el auge de las nuevas tecnologías, como el IoT, representa hoy día el mayor riesgo para la ciberseguridad, el porcentaje de participantes que lo ven como el mayor riesgo en un plazo de dos años aumenta hasta el 37%.
Y es todavía más significativo que el 44% de los participantes esté de acuerdo en que “el uso de cada vez más socios y proveedores por parte de su organización nos expone a un mayor riesgo para la ciberseguridad”. Este problema puede tener su origen en componentes de hardware de terceros y software de determinados proveedores, cuya información el cliente no conoce. Es fundamental trabajar con soluciones de seguridad integrales y verificadas o con proveedores transparentes que puedan facilitar una lista de materiales de software (SBOM).
En conjunto, más de una cuarta parte (27%) considera que su organización no está correctamente preparada para unas amenazas en rápida y constante evolución.
Las TI dejan paso a las TO
Hoy es más necesario que nunca tener en cuenta los riesgos tanto de las tecnologías de la información (TI), esto es, la tecnología empleada principalmente para gestionar los datos de una organización, como de las tecnologías operativas (TO), las soluciones utilizadas para gestionar y controlar sistemas, recursos, procesos y eventos de una empresa. Sin embargo, el estudio de ThoughtLab detecta un preocupante desequilibrio en la composición del personal. Solo el 40% del personal de ciberseguridad de las empresas encuestadas estaba especializado en TO.
Una distribución 40/60 entre el personal de ciberseguridad especializado en TO y el especializado en TI no puede considerarse un drama. Sin embargo, si se tiene en cuenta el contexto y el origen de algunas de las brechas de seguridad, parece claro que esta distribución tendría que estar más compensada.
Los participantes en el estudio indicaron el error humano (50%), el desconocimiento de los recursos (44%), las configuraciones incorrectas (44%), el mantenimiento insuficiente (43%) y los parches (31%) como causas raíz de los ciberataques, muchas de ellas con tendencia al alza. Y todas estas causas tienen relación con las TO, mientras que el primer apartado relacionado con las TI (arquitectura de las redes) solo fue considerado una causa raíz de ataques por el 26% de los participantes. Teniendo en cuenta que en la superficie de ataque de la mayoría de las organizaciones hay más recursos de TO que de TI, es lógico pensar que debería haber más profesionales de TO especializados en ciberseguridad, y no menos, respecto a los profesionales de TI.
Inversiones prioritarias... ¿Y útiles?
El estudio analizó algunos detalles de las áreas en las que los clientes priorizan sus inversiones en ciberseguridad, pero también puso de manifiesto algunas sorpresas en cuanto a la percepción de su eficacia.
Retomando el hilo anterior, la comparativa de las TO con las TI, casi uno de cada tres participantes (30%) aseguró que ya había invertido en la “priorización de los recursos de TI y TO que necesitan protección y las vulnerabilidades que deben corregirse” y el 33% manifestó que serían la principal área de inversión en los siguientes dos años. Sin embargo, solo el 9% consideró que se trataba de la medida más eficaz que podían tomar.
En cambio, consideraron que la “aplicación de principios de confianza cero”, un área en el que un número similar de participantes había invertido también (29%), tenía el doble de impacto en la mejora de la ciberseguridad (el 18% consideró que se trataba del área de inversión más eficaz).
En este terreno se presentan posibles oportunidades para los integradores de sistemas. Y es que aunque el 18% de los participantes consideró que “desarrollar y aplicar un programa de gestión de riesgos de terceros” era la medida más eficaz, solo el 23% había invertido ya en este terreno.
Una reflexión sobre los esquemas de ciberseguridad
El estudio pidió a los participantes que indicaran qué esquemas del sector utilizaban para comparar su estrategias de ciberseguridad. Casi la mitad (48%) indicó que utilizaban las normas ISO 27001 y 27002, seguidas de cerca por los controles del Center for Internet Security (CIS) (45%) y los controles NIST CSF y NIST 800-53 (32% y 40% respectivamente). Aunque el NIST CSF es un esquema de gestión de riesgos más nuevo, resulta curioso que, a juzgar por los resultados, solo esté ligeramente por detrás de la ISO 27001 en cuanto a niveles de adopción entre grandes empresas.
Respuestas a los problemas de ciberseguridad de los dispositivos conectados
El estudio de ThoughtLab muestra con claridad que el aumento del número de dispositivos de seguridad física conectados implica un aumento proporcional de los riesgos de ciberseguridad. A pesar de los problemas que generan las brechas de seguridad, como los daños a la imagen, las interrupciones en la actividad y los sistemas, las pérdidas financieras directas y las posibles multas, parece claro que este terreno todavía no recibe la atención que merece.
Por su condición de proveedor de cámaras de vigilancia conectadas y tecnologías relacionadas, Axis se toma muy en serio su papel en el terreno de la ciberseguridad. Los avances en las funciones de ciberseguridad integradas, como el ID del dispositivo Axis, Edge Vault, el firmware firmado, el arranque seguro y otras, ayudan a preservar la integridad de los dispositivos Axis en la red.
Además, colaboramos estrechamente con nuestros socios y clientes para aplicar las mejores prácticas en materia de ciberseguridad en toda la cadena de valor y el ciclo de vida de los productos. AXIS Device Manager y AXIS Device Manager Extend siguen siendo las herramientas perfectas para gestionar y mantener los niveles de ciberseguridad de los productos Axis.
Y recuerde que, hoy y siempre, la ciberseguridad es un viaje y no un destino.