Lanzado por ISMS Forum junto a su Observatorio de la Ciberseguridad

Las principales conclusiones del Indicador de Madurez en Ciberseguridad de la empresa española

59
Estudio Indicador Madurez Ciberseguridad, de ISMS Forum y su Observatorio de la Ciberseguridad

ISMS Forum –International Information Security Community– ha lanzado, junto al Observatorio de la Ciberseguridad, el Indicador de Madurez en Ciberseguridad de la empresa española en el marco del I Foro de la Ciberseguridad de Barcelona.

Este estudio investiga cómo se aplican los procedimientos y roles que forman parte de los procesos de identificación de incidentes, la monitorización de los mismos, el tiempo empleado en detectar vulnerabilidades, así como los consecuentes procesos de respuesta, contención y recuperación. Además, tiene como principales objetivos analizar el nivel de madurez, evolución y nuevos fenómenos en el ámbito de la seguridad de la información y generar indicadores nacionales sobre el estado de la ciberseguridad en empresas y entidades, tanto públicas como privadas.

El documento se puede descargar de forma gratuita a través de este enlace y, como parte de su publicación, ISMS ha destacado en un comunicado las principales conclusiones que han extraído de él.

En el apartado de Identificación:

  • Más del 60% de las empresas disponen de una política en la cual se definen los roles y responsabilidades, además de los requerimientos legales y regulatorios, dentro del marco de los procesos de gobierno y gestión del riesgo de ciberseguridad.
  • Casi la mitad de las compañías identifican y comunican las dependencias, los requisitos de los servicios y las funciones críticas, vinculadas a su misión, visión y a sus objetivos.
  • El inventario de dispositivos, sistemas, aplicaciones y recursos de información, y gestión de roles y responsabilidades, solo es completo en un tercio de la muestra.
  • La mitad de las empresas mantienen identificadas las vulnerabilidades y amenazas de ciberseguridad. Sin embargo, solo el 30% de toda la muestra afirma que los procesos de gestión del riesgo y el nivel de riesgo están establecidos, acordados y comunicados a las partes interesadas.

En lo que se refiere a la Protección:

  • Respecto a la protección de los sistemas y activos de información, más del 40% de las empresas encuestadas manifiesta documentar los procesos y procedimientos, pero no la implementación de todos ellos. Asimismo, más del 50% identifican los datos, pero los protegen de forma parcial.
  • La mitad de las empresas también manifiesta la realización de un mantenimiento de los sistemas de información y control industrial, pero admiten que no se auditan los accesos.

Cómo Responder:

  • En el 50% de las empresas, los procedimientos de respuesta ante incidentes de ciberseguridad están documentados, actualizados y se prueban anualmente.
  • La opción mayoritaria refleja que los principales roles, procesos e interlocuciones en la comunicación de respuesta ante incidentes están identificados.
  • La mayor parte de las entidades participantes investiga las alertas más relevantes generadas por los sistemas de detección según un proceso definido, pero sin SLAs formalizados.
  • Respecto a la detección temprana de vulnerabilidades y amenazas, la mitad de la muestra la lleva a cabo mediante procesos automáticos.
  • Solo un 8% de las empresas encuestadas revisa los planes de respuesta ante incidentes más de una vez al año y hasta un 36% solamente lo hace ad hoc.
Artículo
Las principales conclusiones del Indicador de Madurez en Ciberseguridad de la empresa española
Nombre
Las principales conclusiones del Indicador de Madurez en Ciberseguridad de la empresa española
Descripcion
Realizado por ISMS Forum junto a su Observatorio de la Ciberseguridad, este estudio investiga cómo son los procedimientos de detección y de actuación ante incidentes de las empresas españolas.
Autor
Publico
Escudo Digital
Logo