A falta de unos días para que DORA (Ley de Resiliencia Operativa Digital) entre el vigor un informe de SecurityScorecard, que ha analizado el riesgo cibernético de las cien principales empresas de Europa por capitalización de mercado, pone de manifiesto que existe un desafío urgente en materia de ciberseguridad.
Con el doble objetivo de abordar de manera exhaustiva la gestión del riesgo de las TIC en el sector de los servicios financieros y armonizar las normativas sobre gestión del riesgo de las TIC que ya existen en los distintos Estados miembros de la UE, DORA establece las normas técnicas que las entidades financieras y sus terceros proveedores de servicios tecnológicos críticos deben implantar en sus sistemas TIC antes del 17 de enero de 2025.
DORA no sólo aplica a todas las instituciones financieras de la UE, incluidas las tradicionales como bancos, empresas de inversión e instituciones de crédito, sino a los proveedores de servicios de criptoactivos y plataformas de financiación colectiva. Además, DORA también se aplica a algunas entidades normalmente excluidas de las regulaciones financieras, como son los proveedores de servicios externos que suministran a las empresas financieras sistemas y servicios de TIC: proveedores de servicios en la nube y los centros de datos, deben cumplir los requisitos del DORA. El reglamento también afecta a las empresas que prestan servicios esenciales de información, como los servicios de calificación crediticia y los proveedores de análisis de datos.
Aseguran desde SecurityScorecard que muchas organizaciones carecen de formas efectivas de medir su riesgo, y que esto las deja expuestas; “varios años después del ataque de ransomware que cerró el oleoducto Colonial, el mundo aún carece de un marco estándar para medir el riesgo cibernético”, explica la compañía, añadiendo que SecurityScorecard calcula instantáneamente una medición precisa del riesgo cibernético con un sistema de calificación de letras de la “A” a la “F”.
Algunos de los hallazgos más destacados y recogidos en el informe señalan que:
- El 98 % de las empresas europeas sufrieron infracciones de terceros en el último año, lo que pone de relieve vulnerabilidades generalizadas.
- Sólo el 26 % de las 100 principales empresas de Europa obtuvieron una calificación A en resiliencia en materia de ciberseguridad.
- El 8 % de las empresas informaron infracciones directas en el último año, lo que ilustra brechas significativas en las defensas internas.
- Las empresas de Oriente Medio informan significativamente menos infracciones, ya que solo el 84 % experimentó infracciones de terceros en comparación con el 98 % de Europa.
- El sector energético es el que más dificultades presenta, con un 75 % de empresas calificadas con una C o inferior, en comparación con el sector del transporte, donde todas las empresas obtuvieron una calificación B o superior.
“Todas las empresas deben priorizar la mejora de la seguridad de aplicaciones y redes”, aseguran desde SecurityScorecard, desde donde aseguran que, además, hay que prestar atención al estado y la integridad de las configuraciones de su sistema de nombres de dominio (DNS); fortalezca la seguridad de todos los puntos finales, identificando y abordando sus vulnerabilidades; así como establecer una frecuencia de aplicación de parches constante.
