Informe: Los presupuestos ajustados y la falta de apoyo ejecutivo están haciendo que los controles de seguridad críticos se queden en el camino. El 60 por ciento de los tomadores de decisiones de TI no pueden implementar una estrategia de seguridad de TI adecuada
Más de la mitad de los responsables de la toma de decisiones de seguridad de TI (60 %) cree que su estrategia de seguridad de TI no está a la altura de la situación actual de amenazas, según una encuesta* realizada por Delinea, el especialista en soluciones de gestión de acceso privilegiado (PAM). seguridad, espectáculos. El 20 por ciento de los profesionales de seguridad encuestados piensa que se está quedando atrás con sus prácticas de seguridad, el 13 por ciento cree que se está quedando quieto y solo el 27 por ciento está tratando de hacer justicia a la situación de amenaza.
La seguridad percibida y la real divergen
La encuesta de casi 2.100 tomadores de decisiones de seguridad en todo el mundo también revela diferencias entre la efectividad percibida y real de las prácticas de seguridad. Aunque el 40 por ciento de los encuestados cree que tiene una estrategia de seguridad adecuada, el 84 por ciento admitió que su organización había experimentado un compromiso o ataque relacionado con la identidad como resultado del robo de credenciales en el último año y medio.
La seguridad de la identidad es una prioridad
En el lado positivo, muchas empresas están dispuestas a cambiar y optimizar, especialmente cuando se trata de proteger identidades. De hecho, el 90 % de los encuestados dice que sus organizaciones reconocen plenamente la importancia de la seguridad de la identidad para alcanzar sus objetivos comerciales, y el 87 % menciona la seguridad de las identidades como una prioridad de seguridad principal durante los próximos 12 meses.
Al mismo tiempo, tres cuartas partes (75 %) de los profesionales de TI y seguridad temen que su estrategia de seguridad de TI se quede corta cuando se trata de proteger identidades privilegiadas porque no cuentan con el apoyo necesario, ya sea a través de presupuestos apropiados o la alineación de altos ejecutivos. gestión. Por ejemplo, el 63 por ciento de los encuestados dijo que la alta gerencia de su organización aún no comprende completamente la seguridad de la identidad y el papel que desempeña para permitir mejores operaciones comerciales.
"Si bien los líderes empresariales han llegado a reconocer la importancia de la seguridad de la identidad, la gran mayoría de los equipos de seguridad no obtienen el apoyo y el presupuesto que necesitan para implementar controles y soluciones de seguridad clave que los ayuden a mitigar sus mayores riesgos", comenta Joseph Carson, jefe. Científico de Seguridad y CISO Asesor en Delinea. "Esto significa que la mayoría de las empresas seguirán siendo incapaces de proteger adecuadamente sus privilegios, dejándolas vulnerables a los ciberdelincuentes que apuntan a sus cuentas privilegiadas".
Pautas faltantes para estrategia de seguridad informatica
El estudio muestra que, a pesar de las buenas intenciones, las empresas aún tienen un largo camino por recorrer cuando se trata de asegurar identidades y accesos privilegiados. Menos de la mitad de las empresas encuestadas han implementado políticas y procesos de seguridad continuos para administrar el acceso privilegiado, como: B. una rotación o aprobación de contraseñas, seguridad basada en tiempo o contexto o monitoreo de comportamiento privilegiado, como. B. Registros y Auditorías. Aún más preocupante, más de la mitad de todos los encuestados (52 %) permiten a los usuarios privilegiados acceder a sistemas y datos confidenciales sin necesidad de autenticación multifactor (MFA).
Y el informe también saca a la luz otra omisión peligrosa: aunque además de las identidades privilegiadas que merecen protección, los usuarios humanos, como los administradores locales y de dominio, así como las identidades no humanas, como cuentas de servicio, cuentas de aplicación, código y otros tipos de máquinas Las identidades que se conectan automáticamente y comparten información privilegiada a menudo pasan desapercibidas. Solo el 44 % de las organizaciones gestionan y protegen adecuadamente estas identidades de máquinas, mientras que la mayoría las dejan desprotegidas, lo que las hace vulnerables a los ataques.
Se busca: el eslabón más débil de la cadena
"Los ciberdelincuentes siempre buscan el eslabón más débil y pasan por alto las identidades 'no humanas', especialmente en momentos en que crecen más rápido que los usuarios humanos, lo que aumenta enormemente el riesgo de ataques basados en privilegios", dijo Joseph Carson. “Cuando los atacantes tienen como objetivo las identidades de las aplicaciones y las máquinas, pueden ocultarse fácilmente y recorrer la red para encontrar el mejor lugar para atacar donde puedan causar el mayor daño. Por lo tanto, es esencial que las organizaciones se aseguren de que las identidades de las máquinas estén incluidas en sus estrategias de seguridad y también sigan las mejores prácticas cuando se trata de proteger todas sus cuentas de 'superusuario' de TI que, si se ven comprometidas, paralizarán a toda la organización. ."
Antecedentes del informe
La empresa de investigación de mercado independiente realizó la encuesta en nombre de Delinea Investigación Sapio en junio de 2022, un total de 2.100 responsables de la toma de decisiones de seguridad de TI de 23 países, incluidos 100 de Alemania. La muestra es de varias industrias y las entrevistas se realizaron en línea utilizando un riguroso proceso de selección de múltiples etapas.
Más en delinea.com
Sobre Delinea Delinea es un proveedor líder de soluciones de gestión de acceso privilegiado (PAM) que permiten una seguridad perfecta para negocios híbridos modernos. Nuestras soluciones permiten a las organizaciones asegurar datos críticos, dispositivos, código e infraestructura en la nube para reducir el riesgo, garantizar el cumplimiento y simplificar la seguridad. Delinea elimina la complejidad y redefine el acceso para miles de clientes en todo el mundo, incluidas más de la mitad de las empresas Fortune 100. Nuestros clientes van desde pequeñas empresas hasta las instituciones financieras, organizaciones y empresas de infraestructura crítica más grandes del mundo.