Una estrategia de seguridad reactiva plantea un reto importante a los CISO

Un nuevo estudio de F5 revela que sólo el 51% de las empresas cuenta con una estrategia de seguridad informática establecida.

SINGAPUR - Hoy, en la Semana Cibernética Internacional de Singapur, F5 Networks (NASDAQ: FFIV) ha publicado un informe exhaustivo sobre la naturaleza evolutiva de la función del CISO y los enfoques de seguridad informática que están adoptando las organizaciones de todo el mundo en el panorama actual de amenazas en constante cambio. El informe concluye que, a medida que la seguridad informática se convierte en una prioridad, aumenta la influencia de los CISO en las empresas; sin embargo, la estrategia de seguridad en muchas organizaciones sigue siendo en gran medida reactiva y aún no está alineada con las funciones empresariales.

Los resultados, elaborados por el Ponemon Institute, se basan en entrevistas a profesionales de la seguridad informática de 184 empresas de siete países: Estados Unidos, Reino Unido, Alemania, Brasil, México, India y China.

"Esta investigación proporciona una visión única de cómo operan los CISO en el desafiante entorno actual", afirmó Mike Convertino, Director de Seguridad de la Información de F5. "Está claro que los CISO están progresando en la forma en que dirigen la función de seguridad y en el papel de liderazgo que están asumiendo dentro de las empresas. Pero en muchas organizaciones, la seguridad informática aún no desempeña el papel estratégico y proactivo necesario para proteger plenamente los activos y defenderse de ataques cada vez más sofisticados y frecuentes."

Principales resultados

• Crece la responsabilidad de los CISO - Aunque los CISO tienen distintos grados de influencia entre la alta dirección de sus organizaciones, la mayoría de ellos influyen en la gestión de los riesgos de ciberseguridad de sus empresas, y su impacto es cada vez mayor. El 68% de los encuestados afirma que los CISO tienen la última palabra en todos los gastos de seguridad informática, mientras que un número ligeramente inferior (64%) afirma que tienen influencia directa y autoridad sobre todos los gastos de seguridad en sus organizaciones. El 87% de los encuestados afirma que el presupuesto de seguridad informática ha aumentado significativamente (18%), ha aumentado algo (29%) o no ha cambiado (40%).
   
• Falta de alineación con la empresa - Una estrategia de seguridad informática que abarque a toda la empresa sigue siendo muy poco frecuente. El 58% de los encuestados indica que la seguridad informática es una función independiente y sólo el 22% afirma que la seguridad está integrada con otros equipos empresariales, mientras que el 45% afirma que su función de seguridad no tiene líneas de responsabilidad claramente definidas. El 75% de los encuestados afirma que, debido a la falta de integración con las funciones empresariales, los problemas de compartimentación y silos influyen mucho (36%) o bastante (39%) en las tácticas y estrategias de seguridad informática.
   
• Elreconocimiento de la seguridad como prioridad empresarial es reactivo - El 60% de los encuestados cree que sus organizaciones consideran la seguridad una prioridad empresarial, pero sólo el 51% afirma que su organización cuenta con una estrategia de seguridad informática, y de ellos sólo el 43% afirma que esa estrategia es revisada, aprobada y respaldada por otros ejecutivos de nivel C. Los resultados indican que el cambio en los programas de seguridad es en gran medida reactivo, siendo las violaciones de datos materiales (45%) y los exploits de ciberseguridad (43%) los dos principales acontecimientos que atraen la atención de otros altos ejecutivos.
   
• Las crisis impulsan la influencia con el liderazgo ejecutivo - El 65% de los encuestados afirma que los CISO se comunican directamente con los altos ejecutivos, pero rara vez se trata de un debate estratégico sobre todas las amenazas para la organización. Los encuestados también reconocieron que la comunicación ejecutiva en torno a los sucesos de seguridad es limitada: el 46% declaró que sólo se informa de las violaciones de datos y ciberataques importantes al CEO y al consejo de administración, mientras que sólo el 19% informa de todas las violaciones de datos a este grupo.
   
• LaIA es una posible solución a las necesidades de personal - La escasez de talentos en seguridad informática sigue acechando a los CISO. La plantilla media de personal de seguridad informática aumentará de 19 a 32 empleados a tiempo completo (o equivalente) en los próximos dos años, y casi la mitad (42%) considera que su dotación actual no es adecuada. El 58% afirma tener dificultades para contratar personal de seguridad cualificado, siendo los mayores problemas la identificación y contratación de candidatos cualificados (56%) y la incapacidad para ofrecer un salario acorde con el mercado (48%). Estos retos están empujando a las empresas a buscar soluciones en otros lugares: la mitad de los encuestados (50%) cree que el aprendizaje por ordenador y la inteligencia artificial pueden resolver la escasez de personal, y el 70% cree que estas tecnologías serán importantes para sus funciones de seguridad informática dentro de dos años.
   

Acerca de F5

F5 (NASDAQ: FFIV) hace que las aplicaciones sean más rápidas, inteligentes y seguras para las mayores empresas, proveedores de servicios, gobiernos y marcas de consumo del mundo. F5 ofrece soluciones de nube y seguridad que permiten a las organizaciones adoptar la infraestructura de aplicaciones que elijan sin sacrificar la velocidad y el control. Para más información, visite f5.com. También puede seguir @f5networks en Twitter o visitarnos en LinkedIn y Facebook para obtener más información sobre F5, sus socios y tecnologías.

F5 es una marca comercial o marca de servicio de F5 Networks, Inc. en EE.UU. y otros países. Todos los demás nombres de productos y empresas pueden ser marcas registradas de sus respectivos propietarios.

# # #

Este comunicado de prensa puede contener afirmaciones de carácter prospectivo relativas a acontecimientos o resultados financieros futuros que entrañen riesgos e incertidumbres. Tales afirmaciones pueden identificarse por términos como "puede", "será", "debería", "espera", "planea", "anticipa", "cree", "estima", "predice", "potencial" o "continúa", o el negativo de tales términos o términos comparables. Estas afirmaciones son sólo predicciones y los resultados reales podrían diferir sustancialmente de los previstos en ellas en función de una serie de factores, incluidos los señalados en los documentos presentados por la empresa a la SEC.