Protección de datos, gestión de acceso, seguridad en la nube, detección y manejo de incidentes y continuidad del negocio: el estudio de CyberVadis descubre brechas potenciales que conducen a un mayor riesgo de terceros.
CyberVadis, una empresa líder en evaluación de riesgos de ciberseguridad de terceros, ha publicado un nuevo estudio para analizar las medidas de ciberseguridad declaradas por las empresas frente a las evaluaciones basadas en evidencia de CyberVadis. El informe se centra en cinco áreas clave de ciberseguridad: protección de datos, gestión de acceso, seguridad en la nube, detección y respuesta a incidentes y continuidad del negocio, para descubrir posibles brechas que podrían conducir a un mayor riesgo de terceros a partir de evaluaciones no certificadas.
Evaluación de riesgos de ciberseguridad de terceros
CyberVadis combina la velocidad de la automatización con la precisión de un equipo de expertos e involucra directamente a los proveedores en las evaluaciones de ciberseguridad. CyberVadis valida los resultados con un equipo de analistas de seguridad y crea evaluaciones de ciberseguridad que se pueden compartir con otras empresas, junto con un plan de mejora detallado para fortalecer su seguridad de TI.
A medida que más y más empresas utilizan servicios de terceros, aumenta el riesgo de datos confidenciales. Sin embargo, muchos no entienden o monitorean adecuadamente la postura de seguridad de sus cadenas de suministro. Los recursos reducidos o la falta de tiempo son determinantes para esta carencia. Para este informe, CyberVadis recopiló controles de seguridad cibernética autodeclarados de más de 1.200 organizaciones y comparó los resultados con sus propias evaluaciones, basándose en una demostración exhaustiva y certificada de esos controles.
Los hallazgos clave del informe incluyen
La diligencia debida en materia de protección de datos no siempre se extiende a la contratación
Si bien la mayoría de las organizaciones conocen los requisitos de GDPR, muchas se centran en las políticas internas de procesamiento de datos y pasan por alto la amenaza que representan los terceros. Los analistas de CyberVadis descubrieron que menos de una de cada tres empresas (29 %) ha evaluado los riesgos asociados a un posible incumplimiento de la normativa de protección de datos. Si bien el 49 % de las organizaciones capacita a sus empleados en las prácticas de privacidad adecuadas, solo el 22 % se asegura de que su proceso de adquisición incluya controles específicos para el cumplimiento y la privacidad.
Las organizaciones permiten el acceso remoto, pero no siempre de forma segura
A medida que la pandemia de COVID-19 aceleró el cambio a operaciones remotas, dos tercios (62 %) de las organizaciones dijeron que permiten el acceso remoto a sus sistemas. CyberVadis descubrió que solo el 44 % de ellos implementó una solución de acceso remoto seguro. Un poco más preocupante es que solo el 37 % ha implementado métodos de autenticación avanzados para cuentas con privilegios elevados, y solo el 25 % de las organizaciones evaluadas ha definido la administración de acceso de terceros.
Hay margen de mejora en la adquisición y gestión de proveedores de la nube
Como otra demostración de la rápida migración a la nube, el 81 % de las organizaciones dijeron que actualmente utilizan modelos de nube. Sin embargo, existe un riesgo grave de infracciones de seguridad maliciosas debido a nubes mal configuradas, y el informe encontró que esta es el área donde se necesitan más mejoras. Las evaluaciones de CyberVadis mostraron que solo el 26 % de las organizaciones gestiona los riesgos asociados con sus proveedores de la nube, el 30 % se asegura de que sus proveedores de la nube tengan una estrategia de respuesta a incidentes y el 34 % se asegura de que sus proveedores de la nube tengan un plan de continuidad comercial.
Los procesos de gestión de incidentes no incluyen SIEM ni previenen la recurrencia
Para las organizaciones actuales, las filtraciones de datos son una cuestión de "¿cuándo?", no "¿si?", por lo que deben prepararse adecuadamente. Para esto, son fundamentales las sólidas capacidades de detección y respuesta de incidentes que permiten contener los ataques cibernéticos antes de que ocurran daños permanentes. Es alentador que el 75 % de las organizaciones evaluadas hayan definido un proceso de gestión de incidentes; sin embargo, solo el 32 % ha implementado una solución de gestión de eventos e información de seguridad (SIEM) y solo el 32 % tiene un proceso de “lecciones aprendidas” para identificar la causa raíz de los incidentes a resolver. identificar y reducir la probabilidad de recurrencia.
Falta la gestión de crisis en todos los ámbitos, pero las organizaciones la mantienen
El 2020 ha demostrado la importancia de anticiparse a los eventos no planeados y tomar las acciones necesarias para enfrentar una situación crítica. No obstante, el informe revela varias deficiencias en la gestión de crisis en las organizaciones evaluadas. En su primera autoevaluación, el 95% de los directivos de las empresas mencionan esto como potencial de mejora. Las revisiones de CyberVadis lo confirman, ya que solo el 44 % de las empresas evaluadas ha definido un plan de continuidad del negocio y el 22 % prueba periódicamente su plan. Los analistas de CyberVadis también encontraron que solo el 24% de las empresas evaluadas han definido la gestión de crisis y solo el 4% realiza ejercicios de crisis regulares. Esto es preocupante porque un buen plan de gestión de crisis requiere que el equipo dedicado esté bien capacitado y preparado para responder con prontitud en caso de un evento importante.
Metodología del informe
CyberVadis recopiló datos sobre los controles de ciberseguridad declarados por 1.289 organizaciones en los EE. UU., EMEA y APAC y los evaluó mediante auditorías estandarizadas y validadas por analistas a través de la plataforma CyberVadis. El informe completo se puede leer en línea y también descargar.
Más en CyberVadis.com
Acerca de CyberVadis
CyberVadis ofrece a las empresas una solución rentable y escalable para las evaluaciones de riesgos de ciberseguridad de terceros. Por una tarifa anual fija, realizamos un número ilimitado de evaluaciones basadas en evidencia a través de la plataforma CyberVadis. Nuestra plataforma intuitiva y fácil de usar se basa en una metodología que cumple con todos los principales estándares internacionales de cumplimiento, incluidos NIST, ISO 27001, GDPR y muchas otras leyes de privacidad y seguridad. La solución CyberVadis combina la velocidad de la automatización con la precisión y eficacia de nuestro equipo de expertos.