“Este año se han realizado importantes esfuerzos e inversiones por parte de las empresas en materia de ciberseguridad”, subraya Gérôme Billois, socio responsable de la actividad de ciberseguridad de Wavestone. Cada año, la consultora realiza un estudio sobre la cibermadurez de empresas con 100 clientes (60 de los cuales son grandes cuentas ubicadas en Francia y 40 ubicadas en otros países) y sobre la base de las normas NIST e ISO 27001/2. . En 2022, la tasa de vencimiento fue del 46%, ahora es el 49%. Un aumento de 3 puntos que no se debe descuidar según el consultor, “ganar de 1 a 2 puntos para una empresa puede ser muy complejo”.

Índice
  1. Aceleración de la industria e inicios en el sector público
  2. Detección, respuesta, avances de la MFA, gestión de activos, terceros y preocupación por la resiliencia

Aceleración de la industria e inicios en el sector público

Evidentemente, detrás de esta madurez general se esconde una gran brecha entre sectores de actividad. Las finanzas siguen siendo el buen estudiante con una adopción media cercana al 60% (con un máximo del 88,9% para un banco inglés). Sin embargo, Gérôme Billois subraya que en este sector “asistimos al final de un ciclo de inversión y pronto se abrirá otro en torno a la automatización y la gobernanza”. Sobre este último punto, señala que después de las inversiones masivas, “debemos demostrar la eficacia del sistema y que hay reflexiones sobre la puesta en común de las habilidades del CISO, DPO y seguridad en torno a un único rol de CSO”.

El sector industrial ha estado regresando en términos de ciberseguridad durante el año pasado. El vencimiento gana 4,6 puntos hasta acercarse al 50% (exactamente el 49,4%). En detalle, esta actividad ha tomado conciencia de los riesgos específicos. Por ejemplo, tener una organización dedicada a la seguridad de sistemas industriales aumentó en 21 puntos hasta el 71% y el 86% para la implementación de firewalls. El sector también está contratando con 1 persona dedicada al ciber por cada 1.332 (la media general es de 1 por 1.285). Esfuerzos, por tanto, pero que Gérôme Billois pone en perspectiva, "hay que ponerse al día con la seguridad de los años 2000, ahora debemos avanzar hacia algo más moderno".

A lo largo de un año, el vencimiento ha aumentado pero se mantiene por debajo del 50%. (Crédito de la foto: Wavestone)

En la cola del grupo, el sector público es el único que ve caer ligeramente su nivel de madurez (-0,9 puntos hasta el 36,4%). Sin embargo, el estudio muestra que las inversiones son las más importantes en esta actividad (el 6,6% del presupuesto se dedica a la cibernética). “El plan de ciberseguridad, France Relance y las rutas cibernéticas de Anssi muestran los esfuerzos del Estado en este ámbito”, afirma Gérôme Billois.

Detección, respuesta, avances de la MFA, gestión de activos, terceros y preocupación por la resiliencia

Wavestone entró en más detalles sobre la implementación de soluciones de seguridad de acuerdo con los estándares NIST e ISO. “Es evidente que se han realizado esfuerzos en materia de detección de incidentes y respuesta para detener los ciberataques más rápidamente”, señala el consultor. También cabe destacar los aspectos positivos de la gestión de identidades (IAM) y la implementación de un método de autenticación multifactor (MFA). Incluso la madurez en torno al ransomware está avanzando con una tasa de organizaciones consideradas en situación crítica del 23% (frente al 30% en 2022). La seguridad en la nube constituye un área de trabajo de las empresas encuestadas con un aumento de 8 puntos en madurez hasta el 44,5%.

Entre las preocupaciones, Gérôme Billois plantea problemas insolubles para las empresas: “la gestión de activos es una verdadera piedra en el zapato de los departamentos de TI y nadie ha logrado encontrar una solución global”. Un problema que repercute en la capacidad de reconstrucción tras un ataque: “el conocimiento del EI es una tarea hercúlea”, reconoce el consultor. Señala que esta resiliencia muestra una brecha entre las finanzas y otros sectores. El primero está bien preparado en gestión de riesgos, gestión de crisis, vinculación con terceros, pruebas de PCA, “en un banco determinado, el cambio a PCA se realiza todos los días al mediodía”, menciona.