Aunque en países como Alemania y Reino Unido son menos propensos a considerarla una prioridad empresarial, la ciberresiliencia se ha convertido en una gran prioridad en España (44 %) o Francia (42 %), según datos de un estudio realizado por Palo Alto e IDC.
En este informe se muestra a su vez como solo el 38 % de los CISO de EMEA creen que su estado de ciberresiliencia es maduro. En España, el 19 % de los CISO ponen a prueba regularmente sus planes de recuperación, una cifra inferior a la media de todos los países encuestados (28 %). Por cierto, que en la mayoría de los países de la región EMEA, el CIO es el principal responsable de la ciberresiliencia, aunque hay excepciones, como en España, donde el responsable de la ciberresiliencia normalmente es el CTO.
Los datos del informe muestran también que cuatro de cada diez organizaciones de EMEA y LATAM confían en su capacidad para superar un ciberataque sin sufrir consecuencias significativas. Sorprendentemente, sólo el 21 % de los CISO del sector bancario, financiero y de seguros comprueban regularmente los planes de recuperación, uno de los porcentajes más bajos de todos los mercados de servicios, a pesar de ser uno de los sectores más regulados.
Dicen desde Palo Alto que, debido al aumento de los niveles de amenaza y la complejidad del mercado, los CISO tienen una tarea difícil. La escasez de talentos y la falta de competencias en tecnologías de seguridad emergentes figuran como los principales retos para lograr la ciberresiliencia, ambos citados por el 70 % de los encuestados, seguidos de la falta de correlación entre múltiples productos puntuales (52 %) en EMEA y LATAM. Los resultados muestran cómo, a pesar de que el 78 % de las organizaciones en estos territorios reconocen la importancia de la ciberresiliencia, la fragmentación y la demanda de recursos impiden que las aspiraciones se ajusten a la realidad.
Para Haider Pasha, director de seguridad para EMEA y LATAM de Palo Alto Networks, “a pesar de los moderados niveles de madurez en EMEA y LATAM, es sorprendente cómo pocos CISO están equipados para probar regularmente sus planes de recuperación. Pero los CISO se enfrentan a una ardua batalla. Por un lado, los acontecimientos geopolíticos y la interrupción de la cadena de suministro se suman al nivel de amenaza, mientras que, por otro lado, la escasez de talento y experiencia relevante hacen que la implementación de soluciones y la preparación para contrarrestar futuros ataques sean cada vez más desafiantes”.
Además de la fragmentación, el estudio destaca una serie de retos tecnológicos. El uso de controles de ciberseguridad maduros para la ciberresiliencia se sitúa en tan solo el 11 %, con algunos países de EMEA con una puntuación tan baja como 0-5 %, y la mayoría depende en gran medida de los planes de continuidad del negocio (74 %), planes de recuperación en caso de desastres (72 %), planes de recuperación de ransomware (54 %) y estrategias de gestión de crisis (51 %).
Haider Pasha añade: «lo que está claro es que muchas organizaciones aún no disponen de los recursos y la confianza necesarios para implantar una pila tecnológica ciberresistente diseñada para prevenir los ataques. En su lugar, tienen que depender en gran medida de tácticas como la recuperación de desastres, que están diseñadas para responder a los incidentes, en lugar de planificarlos. La falta de visibilidad sobre el impacto de las amenazas y el enfoque en la resolución está dejando a las organizaciones expuestas a más amenazas e incapaces de planificar los riesgos futuros.»
Sin embargo, la investigación refleja el deseo de cambiar la cultura de la ciberresiliencia, y la influencia de los altos cargos es cada vez más importante. El 72 % de los encuestados afirma que los miembros de los consejos de administración son el principal impulsor de que la organización se centre en la ciberresiliencia, por encima de los imperativos normativos (70 %).
