Las empresas y su personal tecnológico deben luchar contra una gran cantidad de cibertatacs en la búsqueda de mantener las compañías seguras en la red. Algunas amenazas son más frecuentes y difíciles de parar que otros. En un informe elaborado por el proveedor de seguridad empresarial Balbix analizan cuáles son las principales amenazas existentes en la red, a partir de una encuesta realizada a profesionales de la seguridad. Producido por la comunidad de seguridad Cybersecurity Insiders, el informe de Balbix que lleva por título «2020 State of Enterprise Security Posture Report» está basado en una muestra realizada entre 372 profesionales informáticos y especialistas de ciberseguridad de Estados Unidos. El sondeo es reciente, de junio de este año.
Entre los encuestados, el 89% citaron los ataques de phishing, web y los de ransomware como principales preocupaciones. Alrededor del 53% señala que los sistemas no empaquetados constituyen su mayor dolor de cabeza en cuestión de seguridad, mientras que el 47% mencionaron las configuraciones erróneas.
Otras preocupaciones incluían: la gestión de identidades y accesos; los problemas con las contraseñas; el acceso de personas malintencionadas; los inventarios de activos; los ataques de denegación de servicios; las redes planas (redes no segmentados ni aseguradas por enrutadores y conmutadores) y los problemas de cifrado.
Preguntados sobre qué áreas están más expuestas a amenazas, el 68% de los encuestados apuntaron a sistemas no empaquetados, mientras que el 59% se mostraron más preocupados por cuestiones relativas a la identidad y la gestión de accesos. Pero menos de la mitad (un 48%) citaron el phishing, web y el ransomware, las mismas materias que afirmaron que eran su mayor preocupación. Además, el 46% dijo que las áreas más expuestas a amenazas son las vinculadas a cuestiones relacionadas con contraseñas; el 44% en inventarios de activos; 38% a ataques de denegación de servicios y el 29% a problemas de cifrado.
Para muchas organizaciones, la capacidad limitada para analizar sus agujeros de seguridad y la incapacidad de priorizar los problemas de seguridad generan un riesgo mayor. Entre los encuestados, el 46% dijo que les cuesta saber qué vulnerabilidades son amenazas reales y cuáles no «explotarán» nunca. Alrededor del 37% se mostró preocupado porque su capacidad de análisis se extiende sólo a un pequeño sub-conjunto del total de áreas que pueden ser objeto de un ataque total. Y el 25% dijo que el número de alertas lo desborda y le impide emprender las acciones adecuadas.
Y el 25% dijo que el número de alertas lo desborda y le impide emprender las acciones adecuadas. Sólo el 40% de los encuestados dijo que conoce el 75% o más de los dispositivos de su red, a qué categoría corresponden estos y a qué riesgos están expuestos dentro de su empresa. Alrededor del 43% conocen entre el 50% y el 75% de los dispositivos que integran la red que gestionan, pero tienen una cobertura limitada de la categoría y los riesgos a los que están expuestos. Y el 14% sólo conocen entre un 25% y un 50% de los dispositivos objetos de posibles ataques, pero no disponen de la capacidad de clasificar o determinar con precisión cuál es el punto crítico de exposición a ciberataques.
Una mala gestión de activos y de inventarios puede resultar problemática si una organización es afectada por un ciberataque o se entera de una grave vulnerabilidad. Sólo el 58% de los encuestados dijo que puede determinar en 24 horas cada activo vulnerable de su organización tras una explotación crítica. Más del 40% dijo que tardaría 24 horas o más en identificar cada sistema vulnerable.
También es un reto otorgar privilegios de acceso a los usuarios. Si se dan demasiado pocos los empleados tienen dificultades para hacer su trabajo; ahora bien, si se dan muchos aumentan los riesgos para la seguridad. Los miembros de los equipos informáticos prefieren permitir más accesos. Casi la mitad (un 48%) admite que dan a algunos usuarios más privilegios de acceso de los que les serían puramente imprescindibles.
Finalmente, intentar explicar la necesidad de ciertos métodos y proyectos de seguridad en el consejo o en la alta dirección de la empresa puede ser una tarea difícil, a la que se enfrenta el personal de alto nivel del departamento tecnológico de una compañía. El 52% de los encuestados explicó que pudo debatir con los órganos de decisión de su compañía y pudieron exponer sus puntos de vista, aunque el resultado no fue el previsto. Sólo el 13% dijeron que este tipo de presentaciones van bien y que los consejeros entienden la importancia de garantizar la seguridad del sistema.
«Las conclusiones de nuestro informe dejan claro que los profesionales de la seguridad siguen desbordados por el reto de mantener cubierto íntegramente el espacio técnico de su empresa que está en posición de riesgo, al tiempo que combate un entorno de amenazas en constante evolución», explicó Vinay Sridhara, CTO de Balbix. «En la ciberseguridad, las tendencias de riesgo pueden cambiar de la noche a la mañana. De los resultados de la encuesta se desprende que los profesionales de la seguridad informática luchan para evaluar, cuantificar y priorizar los riesgos más importantes para sus organizaciones.»
Para ayudar a las empresas a gestionar mejor sus posiciones de seguridad, Balbix proporciona las siguientes Recomendaciones sobre varios temas:
Capacidad de diagnòtic inadecuada. Sólo el 13% de los encuestados no tienen problemas con la capacidad para diagnosticar exactamente sus riesgos de seguridad. Los equipos de seguridad informática necesitan tener acceso a todos los dispositivos y aplicaciones de su red, así como a los cientos de vectores de ataque a los que son susceptibles. Este acceso debe ser continuo, ya que las exploraciones periódicas pueden quedar rápidamente desfasadas. Por último, los equipos de seguridad informática deben poder cuantificar el grado total de vulnerabilidades para saber si se trata de amenazas reales o falsas.
Disponer de un inventario real. La mayoría de los encuestados no tiene un 25% o más de los dispositivos de la empresa incluidos en su inventario. Esto crea enormes puntos ciegos en el global de la seguridad y expone la compañía a graves riesgos. Las empresas deben tener una visión continua y en tiempo real de su inventario que debe incluir todos los dispositivos, aplicaciones y servicios. Esto significa tener acceso a infraestructuras gestionadas y no gestionadas, que estén en local o en la nube, y fijas y móviles. También deben tener información sobre el funcionamiento de los dispositivos.
El riesgo de los usuarios privilegiados. Con el 80% de las organizaciones que ofrecen más privilegios de acceso de los necesarios a sus usuarios, es crítico tener conocimiento de las amenazas que afectan a estos usuarios. Las vulnerabilidades sobre activos de usuarios privilegiados deben tratarse con urgencia; deben tener una prioridad elevada, ya que la explotación de estas vulnerabilidades puede conllevar una rotura de la seguridad de graves consecuencias. Las empresas también deberían tomar medidas para limitar los privilegios de acceso cuando sea posible.
Comunicación con la dirección de la empresa. Alrededor del 52% de los responsables de ciberseguridad se conforman con exponer a sus consejos de dirección los riesgos que pueden sufrir sus redes, cuando lo que deberían hacer es poder imponer su criterio para garantizar la seguridad informática de la compañía. Las presentaciones efectivas a la dirección comienzan con métricas cuantificables de riesgo y con diagnósticos intuitivos. Deben centrarse en los objetivos empresariales y ayudar a los interesados a comprender donde se encuentra la empresa en riesgo cibernético, donde debe ser y cómo puede llegar a estar totament protegida.