Casi dos tercios de las organizaciones no utilizan los puntos de referencia aceptados para establecer líneas de base de seguridad. Y se encuentran luchando por mantener la visibilidad de sus redes. Esto según un nuevo informe de ciberseguridad.
El estudio fue llevado a cabo por el especialista en seguridad y cumplimiento Tripwire por Dimensional Research. En este se analiza cómo las organizaciones están implementando controles de seguridad. Las mismas que el Centro para la Seguridad de Internet (CIS) denomina «ciberhigiene».
Casi dos tercios de las organizaciones admiten que no utilizan puntos de referencia reforzados como CIS para establecer una línea de base segura. Ni tampoco siguen las directrices de la Agencia de Sistemas de Información de Defensa (DISA). Esto por supuesto, resulta alarmante para los expertos en ciberseguridad.
Tim Erlin, vicepresidente de gestión de productos y estrategia en Tripwire, dice: «Estos estándares de la industria son una forma de aprovechar a la comunidad en general. Lo que es importante con las limitaciones de recursos que experimentan la mayoría de las organizaciones”.
Erling continúa diciendo que es sorprendente que tantos encuestados no usen los marcos establecidos. Sobre todo cuando los mismos proporcionan una línea de base para medir su postura de seguridad. “Es vital tener una idea clara de dónde se encuentra [la empresa] para poder planificar el camino a seguir».
Resultados del estudio de Tripwire sobre ciberhigiene
Entre otros hallazgos se encuentran que muchas organizaciones aún tienen dificultades para mantener la visibilidad de sus entornos. Y por lo tanto, tienen problemas para abordar rápidamente entradas potenciales no autorizadas.
Puede que los atacantes solo necesiten minutos en una red para lanzar un ataque exitoso. Sin embargo, el 57 por ciento de los encuestados dice que lleva horas, semanas, meses o más detectar nuevos dispositivos que se conectan a la red de su organización.
Además, el cuarenta por ciento de las organizaciones no buscan vulnerabilidades semanales. Y mucho menos en un rango mayor de frecuencia. Esto a pesar de las recomendaciones. Asimismo, solo la mitad ejecuta escaneos autenticados más completos.
El 27 por ciento de las organizaciones necesita entre un mes y más de un año para implementar un parche de seguridad. El 54 por ciento no está recolectando registros de todos los sistemas críticos en una ubicación central. Y el 97 por ciento cree que necesitan ser más eficientes en la verificación de registros.
Más resultados del estudio
La mayoría de las organizaciones implementan buenas protecciones básicas en torno a los privilegios administrativos. Pero al ser la parte más fácil de alcanzar por atacantes, estos controles deberían estar implementados en más organizaciones. El 31 por ciento de las organizaciones aún no requieren que se cambien las contraseñas predeterminadas. Y el 41 por ciento aún no usa la autenticación multifactor para acceder a las cuentas administrativas.
Erlin agrega lo siguiente: «Cuando los ataques cibernéticos son noticia, puede ser tentador pensar que se necesita una nueva herramienta para proteger su entorno contra esas amenazas. Pero a menudo ese no es el caso.»
Dice que muchos de los problemas de ciberseguridad más impactantes y generalizados se deben a falta de información básica correcta. “La ciberhigiene proporciona la amplitud fundamental necesaria para gestionar el riesgo en un entorno cambiante. Y debería ser la inversión de ciberseguridad de mayor prioridad». Si lo deseas, puedes leer más sobre los hallazgos de ciberhigiene en el blog de Tripwire.