Productos y Servicios PRODUCTOS Y SERVICIOS

El impacto de la estructura organizativa en la ciberseguridad

Opiniones de 2.991 directivos de TI/ciberseguridad de 14 países

Los profesionales de la ciberseguridad son un elemento central de las ciberdefensas de una organización. Aunque se ha escrito mucho sobre la escasez de personal cualificado en ciberseguridad, se ha prestado mucha menos atención a cómo capacitar a estos profesionales para que tengan el mayor impacto. En resumen, cuál es la mejor manera de prepararlos para el éxito.

Nuestro reciente análisis pretende avanzar en esta área de conocimiento explorando la cuestión: ¿afecta la estructura organizativa a los resultados de la ciberseguridad? Esperamos que las conclusiones sean útiles para cualquiera que esté considerando cómo estructurar una función de ciberseguridad para lograr los mejores resultados. Descarga el informe.

Enfoque

Nuestro punto de partida fue una encuesta independiente encargada por Sophos sobre las experiencias de 3.000 profesionales de TI/ciberseguridad que trabajan en organizaciones de tamaño medio (entre 100 y 5.000 empleados) de 14 países. La investigación se llevó a cabo en el primer trimestre de 2023 y reveló las realidades del ransomware, el ciberriesgo y las operaciones de seguridad para los profesionales que trabajan en primera línea. Los resultados constituyeron la base de los informes Sophos State of Ransomware 2023 y State of Cybersecurity 2023.

Este análisis examinó esas experiencias de ciberseguridad a través de la lente de la estructura organizativa desplegada. El objetivo era identificar si existe alguna relación entre la estructura y los resultados y, en caso afirmativo, qué estructura reportó los mejores resultados.

Los encuestados seleccionaron uno de los siguientes modelos que mejor representara la estructura de las funciones de ciberseguridad y TI en su organización:

  • Modelo 1: el equipo de TI y el de ciberseguridad son organizaciones separadas (n=1.212)
  • Modelo 2: un equipo dedicado a la ciberseguridad forma parte de la organización de TI (n=1.529)
  • Modelo 3: no existe un equipo dedicado a la ciberseguridad, el equipo de TI gestiona la ciberseguridad (n=250)

Nueve encuestados no pertenecían a ninguno de estos modelos, por lo que fueron excluidos del análisis. Las organizaciones que externalizaron totalmente su ciberseguridad, por ejemplo, a un MSSP, fueron excluidas de la investigación.

Resumen ejecutivo

El análisis reveló que las organizaciones con un equipo de ciberseguridad dedicado dentro de un equipo de TI más amplio obtienen los mejores resultados generales de ciberseguridad (modelo 2) en relación con los otros dos grupos. Por el contrario, las organizaciones en las que los equipos de TI y de ciberseguridad están separados (modelo 1) informaron de las peores experiencias.

Aunque la ciberseguridad y las operaciones informáticas más amplias son especialidades separadas, el éxito relativo del modelo 2 puede deberse a que las disciplinas también están intrínsecamente vinculadas: los controles de ciberseguridad suelen tener un impacto directo en las soluciones informáticas, mientras que la aplicación de una buena ciberhigiene, por ejemplo, parchear y bloquear el RDP, suele ejecutarla el equipo informático.

El estudio también dejó claro que si careces de habilidades y capacidades esenciales en ciberseguridad, la forma en que estructures el equipo apenas influye en muchos de los resultados de seguridad. Las organizaciones que deseen complementar y ampliar sus capacidades internas con expertos en ciberseguridad de terceros (por ejemplo, proveedores de MDR o MSSP) deben buscar socios flexibles que demuestren la capacidad de trabajar como una extensión del equipo interno más amplio.

Aspectos destacados del análisis

El análisis compara las experiencias comunicadas por los tres grupos en una serie de áreas, revelando algunos resultados que invitan a la reflexión.

Causa raíz de los ataques de ransomware

Curiosamente, la causa principal de los ataques de ransomware varía según la estructura organizativa:

  • Modelo 1: casi la mitad de los ataques (47%) comenzaron con una vulnerabilidad explotada, mientras que el 24% fueron el resultado de credenciales comprometidas.
  • Modelo 2: las vulnerabilidades explotadas (30%) y las credenciales comprometidas (32%) tenían casi la misma probabilidad de ser la causa raíz del ataque.
  • Modelo 3: casi la mitad de los ataques (44%) comenzaron con credenciales comprometidas, y sólo el 16% con una vulnerabilidad explotada.

Recuperación del ransomware

Las organizaciones del Modelo 1 eran mucho más propensas a pagar el rescate que los demás grupos y declararon el índice más bajo de uso de copias de seguridad para recuperar los datos cifrados. Además de ser el grupo con más probabilidades de pagar el rescate, las organizaciones del modelo 1 también declararon haber pagado rescates mucho más elevados, con una media de pago de más del doble que los modelos 2 y 3.

Operaciones de seguridad

La principal conclusión de esta área de análisis es que, aunque a las organizaciones del modelo 2 les va mejor en la realización de operaciones de seguridad, a la mayoría de las organizaciones les resulta difícil realizar operaciones de seguridad eficaces por sí solas. Esencialmente, la forma en que estructures el equipo no supone gran diferencia si careces de la capacidad y las aptitudes esenciales.

Gestión cotidiana de la ciberseguridad

Hay muchos puntos en común en esta área en los tres grupos y todos experimentan retos similares. Más de la mitad de los encuestados de los tres modelos afirman que las ciberamenazas están ahora demasiado avanzadas para que su organización pueda hacerles frente por sí sola (60% modelo 1; 51% modelo 2; 54% modelo 3).

Todos los modelos comparten también preocupaciones similares en torno a las ciberamenazas y los riesgos. La filtración de datos y el phishing (incluido el spear phishing) figuran entre las tres principales preocupaciones de los tres grupos, y la mala configuración de las herramientas de seguridad es el riesgo percibido más común en todos ellos. Básicamente, todos tienen las mismas preocupaciones principales, independientemente de la estructura organizativa.

Nota importante

Aunque este análisis proporciona una visión única de la correlación entre la estructura de TI/ciberseguridad y los resultados comunicados, no explora las razones que subyacen a estos resultados, es decir, la causalidad. Cada organización es diferente, y la estructura de la función de TI/ciberseguridad es una de las muchas variables que pueden influir en la propensión a lograr buenos resultados en materia de seguridad, como el sector industrial, el nivel de cualificación de los miembros del equipo, los niveles de dotación de personal, la antigüedad de la organización, etc. Estas enseñanzas deben utilizarse junto con otras consideraciones para identificar el mejor enfoque para una organización concreta.

Más información

Para saber más y ver el análisis completo, descarga el informe.

Como ya se ha dicho, este análisis se centra en la correlación y no en la causalidad, y es necesario seguir investigando para comprender las razones de estos resultados. Ante los retos actuales de la ciberseguridad, cualquier mejora para los defensores es importante, por lo que esperamos que este análisis impulse nuevos estudios sobre cómo las organizaciones pueden aprovechar su estructura interna para ayudar a optimizar sus defensas.