• Home /

  • Ciberseguridad /

  • Las principales conclusiones del Indicador de Madurez en Ciberseguridad de la empresa española

Las principales conclusiones del Indicador de Madurez en Ciberseguridad de la empresa española

Guardar

Estudio_Indicador_Madurez_Ciberseguridad
Estudio_Indicador_Madurez_Ciberseguridad

ISMS Forum –International Information Security Community– ha lanzado, junto al Observatorio de la Ciberseguridad, el Indicador de Madurez en Ciberseguridad de la empresa española en el marco del I Foro de la Ciberseguridad de Barcelona.

Este estudio investiga cómo se aplican los procedimientos y roles que forman parte de los procesos de identificación de incidentes, la monitorización de los mismos, el tiempo empleado en detectar vulnerabilidades, así como los consecuentes procesos de respuesta, contención y recuperación. Además, tiene como principales objetivos analizar el nivel de madurez, evolución y nuevos fenómenos en el ámbito de la seguridad de la información y generar indicadores nacionales sobre el estado de la ciberseguridad en empresas y entidades, tanto públicas como privadas.

El documento se puede descargar de forma gratuita a través de este enlace y, como parte de su publicación, ISMS ha destacado en un comunicado las principales conclusiones que han extraído de él.

En el apartado de Identificación:

  • Más del 60% de las empresas disponen de una política en la cual se definen los roles y responsabilidades, además de los requerimientos legales y regulatorios, dentro del marco de los procesos de gobierno y gestión del riesgo de ciberseguridad.
  • Casi la mitad de las compañías identifican y comunican las dependencias, los requisitos de los servicios y las funciones críticas, vinculadas a su misión, visión y a sus objetivos.
  • El inventario de dispositivos, sistemas, aplicaciones y recursos de información, y gestión de roles y responsabilidades, solo es completo en un tercio de la muestra.
  • La mitad de las empresas mantienen identificadas las vulnerabilidades y amenazas de ciberseguridad. Sin embargo, solo el 30% de toda la muestra afirma que los procesos de gestión del riesgo y el nivel de riesgo están establecidos, acordados y comunicados a las partes interesadas.

En lo que se refiere a la Protección:

  • Respecto a la protección de los sistemas y activos de información, más del 40% de las empresas encuestadas manifiesta documentar los procesos y procedimientos, pero no la implementación de todos ellos. Asimismo, más del 50% identifican los datos, pero los protegen de forma parcial.
  • La mitad de las empresas también manifiesta la realización de un mantenimiento de los sistemas de información y control industrial, pero admiten que no se auditan los accesos.

Cómo Responder:

  • En el 50% de las empresas, los procedimientos de respuesta ante incidentes de ciberseguridad están documentados, actualizados y se prueban anualmente.
  • La opción mayoritaria refleja que los principales roles, procesos e interlocuciones en la comunicación de respuesta ante incidentes están identificados.
  • La mayor parte de las entidades participantes investiga las alertas más relevantes generadas por los sistemas de detección según un proceso definido, pero sin SLAs formalizados.
  • Respecto a la detección temprana de vulnerabilidades y amenazas, la mitad de la muestra la lleva a cabo mediante procesos automáticos.
  • Solo un 8% de las empresas encuestadas revisa los planes de respuesta ante incidentes más de una vez al año y hasta un 36% solamente lo hace ad hoc.