Los profesionales de la ciberseguridad son un elemento central de las ciberdefensas de una organización. Si bien se ha escrito mucho sobre la escasez de personal capacitado en ciberseguridad, se ha prestado mucha menos atención a cómo permitir que estos profesionales logren el mayor impacto. En resumen, cuál es la mejor manera de prepararlos para el éxito.
Nuestro análisis reciente tiene como objetivo avanzar en esta área de comprensión explorando la pregunta: ¿La estructura organizacional afecta los resultados de ciberseguridad? Es de esperar que los hallazgos resulten útiles para cualquiera que esté considerando cómo estructurar una función de ciberseguridad para lograr los mejores resultados. Descargar el informe.
El Enfoque
Nuestro punto de partida fue una encuesta independiente encargada por Sophos sobre las experiencias de 3000 profesionales de TI/ciberseguridad que trabajan en organizaciones medianas (entre 100 y 5000 empleados) en 14 países. La investigación se realizó en el primer trimestre de 2023 y reveló las realidades del ransomware, el riesgo cibernético y las operaciones de seguridad para los profesionales de seguridad que operan en primera línea. Los hallazgos formaron la base de los informes Sophos State of Ransomware 2023 y State of Cybersecurity 2023.
Este análisis analizó esas experiencias de ciberseguridad a través de la lente de la estructura organizacional implementada. El objetivo era identificar si existe alguna relación entre la estructura y los resultados y, de ser así, qué estructura reportó los mejores resultados.
Los encuestados seleccionaron uno de los siguientes modelos que mejor representaba la estructura de las funciones de ciberseguridad y TI en su organización:
- Modelo 1: El equipo de TI y el equipo de ciberseguridad son organizaciones separadas (n=1212)
- Modelo 2: Un equipo de ciberseguridad dedicado forma parte de la organización de TI (n=1529)
- Modelo 3: No existe un equipo de ciberseguridad dedicado; en cambio, el equipo de TI gestiona la ciberseguridad (n=250)
Nueve encuestados no encajaban en ninguno de estos modelos y, por lo tanto, fueron excluidos del análisis. Las organizaciones que subcontrataron completamente su ciberseguridad, por ejemplo a un MSSP, fueron excluidas de la investigación.
Resumen ejecutivo
El análisis reveló que las organizaciones con un equipo de ciberseguridad dedicado dentro de un equipo de TI más amplio reportan los mejores resultados generales de ciberseguridad (modelo 2) en relación con los otros dos grupos. Por el contrario, las organizaciones donde los equipos de TI y ciberseguridad están separados (modelo 1) informaron las experiencias generales más pobres.
Si bien la ciberseguridad y las operaciones de TI más amplias son especializaciones separadas, el éxito relativo del modelo 2 puede deberse a que las disciplinas también están intrínsecamente vinculadas: los controles de ciberseguridad a menudo tienen un impacto directo en las soluciones de TI mientras se implementa una buena higiene cibernética, por ejemplo, parcheando y bloqueando RDP. , suele ser ejecutado por el equipo de TI.
El estudio también dejó en claro que si se carece de habilidades y capacidades esenciales en ciberseguridad, la forma en que se estructura el equipo no influye mucho en muchos de los resultados de seguridad. Las organizaciones que buscan complementar y ampliar sus capacidades internas con expertos externos en ciberseguridad (por ejemplo, proveedores de MDR o MSSP) deben buscar socios flexibles que demuestren la capacidad de trabajar como una extensión del equipo interno más amplio.
Aspectos destacados del análisis
El análisis compara las experiencias reportadas por los tres grupos en varias áreas, revelando algunos resultados que invitan a la reflexión.
Causa raíz de los ataques de ransomware
Curiosamente, la causa raíz informada de los ataques de ransomware varió según la estructura organizativa:
- Modelo 1: Casi la mitad de los ataques (47%) comenzaron con una vulnerabilidad explotada, mientras que el 24% fueron el resultado de credenciales comprometidas.
- Modelo 2: Las vulnerabilidades explotadas (30%) y las credenciales comprometidas (32%) tenían casi la misma probabilidad de ser la causa raíz del ataque.
- Modelo 3: Casi la mitad de los ataques (44%) comenzaron con credenciales comprometidas y solo el 16% con una vulnerabilidad explotada.
Recuperación de ransomware
Las organizaciones Modelo 1 tenían muchas más probabilidades de pagar el rescate que los otros grupos y reportaron la tasa más baja de uso de copias de seguridad para recuperar datos cifrados. Además de ser el grupo con más probabilidades de pagar el rescate, las organizaciones del modelo 1 también informaron haber pagado rescates mucho más altos, con un pago medio de más del doble que el de los modelos 2 y 3.
Operaciones de seguridad
La conclusión más importante de esta área de análisis es que, si bien las organizaciones modelo 2 obtienen mejores resultados en la ejecución de operaciones de seguridad, a la mayoría de las organizaciones les resulta difícil realizar operaciones de seguridad efectivas por sí mismas. Esencialmente, la forma en que estructura el equipo hace poca diferencia si carece de capacidades y habilidades esenciales.
Gestión diaria de la ciberseguridad
Hay muchos puntos en común en esta área entre los tres grupos y todos experimentan desafíos similares. Más de la mitad de los encuestados en los tres modelos informan que las ciberamenazas ahora son demasiado avanzadas para que su organización pueda abordarlas por sí sola (60% modelo 1; 51% modelo 2; 54% modelo 3).
Todos los modelos también comparten preocupaciones similares en torno a las amenazas y riesgos cibernéticos. La exfiltración de datos y el phishing (incluido el Spear phishing) figuran entre las tres principales preocupaciones cibernéticas de los tres grupos, y la mala configuración de las herramientas de seguridad es el riesgo percibido más común en todos los ámbitos. Básicamente, todos tienen las mismas preocupaciones principales, independientemente de la estructura organizacional.
Nota IMPORTANTE
Si bien este análisis proporciona información única sobre la correlación entre la estructura de TI/ciberseguridad y los resultados informados, no explora las razones detrás de estos resultados, es decir, la causalidad. Cada organización es diferente, y la estructura de la función de TI/ciberseguridad es una de las muchas variables que pueden afectar la propensión a lograr buenos resultados de seguridad, incluido el sector industrial, el nivel de habilidades de los miembros del equipo, los niveles de personal, la edad de la organización y más. Estos aprendizajes deben utilizarse junto con otras consideraciones para identificar el mejor enfoque para una organización individual.
Aprenda más
Para obtener más información y ver el análisis completo, descargue el informe.
Como se indicó, este análisis se centra en la correlación más que en la causalidad, y se necesita más investigación para comprender las razones detrás de estos resultados. Ante los desafíos actuales de ciberseguridad, cualquier beneficio para los defensores es importante y esperamos que este análisis impulse más estudios sobre cómo las organizaciones pueden aprovechar su estructura interna para ayudar a optimizar sus defensas.