Los ataques cibernéticos e incidentes relacionados en organizaciones del Reino Unido continúan su trayectoria ascendente aparentemente imparable, con nuevas estadísticas del Departamento de Digital, Cultura, Medios y Deporte (DCMS) que revelan hoy que el 31% de las empresas y el 26% de las organizaciones benéficas ahora experimentan incidentes en un semanalmente.
Los datos, contenidos en el informe anual Encuesta sobre brechas de seguridad cibernética informe, pinta una imagen cruda de la escala de la amenaza que enfrenta la organización promedio y la necesidad urgente de mejorar los estándares y las defensas.
“Es vital que todas las organizaciones se tomen en serio la seguridad cibernética, ya que cada vez más negocios se realizan en línea y vivimos en una época de aumento del riesgo cibernético”, dijo la ministra cibernética Julia López.
“No importa cuán grande o pequeña sea su organización, debe tomar medidas para mejorar la resiliencia digital ahora y seguir los consejos gratuitos del gobierno para ayudar a mantenernos a todos seguros en línea”.
Alrededor del 20% de las empresas y el 19% de las organizaciones benéficas dijeron que habían experimentado un resultado negativo como consecuencia directa de un ataque. El coste medio de un ataque, repartido entre todas las organizaciones, ahora es de 4200 libras esterlinas, o 19 400 libras esterlinas si solo se consideran las empresas medianas y grandes, aunque probablemente haya una gran cantidad de informes insuficientes, por lo que las cifras reales son ciertamente más alto.
Mientras tanto, el 35 % de las empresas y el 38 % de las organizaciones benéficas dijeron que habían experimentado algún tipo de impacto negativo durante el incidente, como el tiempo de inactividad del servicio.
Las formas de ataque cibernético más impactantes experimentadas en el Reino Unido fueron simples intentos de phishing, citados por el 83% del 39% de las empresas del Reino Unido que identificaron un ataque. Los ataques más sofisticados, que en las métricas de DCMS incluyen ataques de denegación de servicio, malware o ransomware, se observaron en el 21 % de los casos.
Tenga en cuenta que los ataques de phishing, si tienen éxito, generalmente serán el precursor de un incidente más grave, como el ransomware, lo que destaca la importancia de abordar el phishing en las evaluaciones de riesgos cibernéticos y las iniciativas de capacitación.
En términos de gestión de incidentes, solo el 19 % de las empresas le dijeron a DCMS que tenían un plan formal de respuesta a incidentes, mientras que el 39 % tenía roles asignados en caso de que ocurriera un incidente. Sin embargo, la encuesta identificó evidencia muy clara de un fuerte enfoque reactivo a los incidentes, con la gran mayoría diciendo que informarían a la junta y harían una evaluación del ataque, en caso de que ocurriera.
En términos de gestión de riesgos, poco más de la mitad, el 54 %, de las empresas dijeron que habían actuado en los últimos 12 meses para identificar riesgos, cubriendo una gama de acciones potenciales, de las cuales la implementación de herramientas de monitoreo de seguridad fue la más común. Sin embargo, esta cifra en realidad se redujo desde un punto alto del 64% en 2020.
En términos de seguimiento de la guía sobre higiene cibernética, el informe DCMS encontró que el 49% de las empresas y el 40% de las organizaciones benéficas habían tomado medidas contra al menos cinco de los 10 componentes contenidos en el Centro Nacional de Seguridad Cibernética (NCSC) oficial. 10 pasos para la guía de seguridad cibernéticacon la gestión de identidad y acceso (IAM) en la encuesta más favorable, y la seguridad de la cadena de suministro en la menor.
De aquellas que subcontratan alguna parte de su TI o seguridad a un proveedor externo, que es casi el 60% de las organizaciones en el Reino Unido, la encuesta encontró que solo el 13% de esas organizaciones evaluaron los riesgos de hacerlo, y la mayoría tendía pensar que la seguridad no era un factor particularmente importante en el proceso de adquisición. Múltiples infracciones de alto perfil han demostrado recientemente que este no es el caso en absoluto.
Las organizaciones del Reino Unido tendieron a hacerlo mejor al involucrar a su liderazgo en cuestiones de seguridad, con el 82 % de los miembros de la junta o los altos directivos calificando la seguridad como una prioridad “muy” o “bastante” alta, un 5 % más que en 2021. La mitad de las empresas y el 42 % de las organizaciones benéficas dijeron que actualizaron su directorio sobre asuntos de seguridad cibernética al menos trimestralmente, y esta cifra aumentó con el tamaño de la organización.
Finalmente, en cuanto a la participación externa en seguridad cibernética, dejando de lado a los proveedores de seguridad y los proveedores de servicios administrados (MSP), las organizaciones en el Reino Unido tienden a comprometerse más intensamente con las aseguradoras, ya que el 43 % de las empresas ahora tiene una póliza de seguro que cubre el riesgo. Sin embargo, el conocimiento del trabajo del NCSC y su potencial para ayudar siguió siendo decepcionantemente bajo, ya que solo el 6 % obtuvo su certificación Cyber Essentials y el 1 % obtuvo Cyber Essentials Plus.
DCMS dijo que el gobierno todavía tenía como objetivo fortalecer la resiliencia cibernética de las empresas críticas al actualizar las Regulaciones de Redes y Sistemas de Información (NIS), entre otras cosas, incluir a los MSP, que se espera eleve los estándares más ampliamente, y ha priorizado proteger Organizaciones del Reino Unido con 2.600 millones de libras esterlinas de financiación a través de la Estrategia Cibernética Nacional, invirtiendo en áreas clave como habilidades de seguridad y cadenas de suministro.
