Usamos cookies en nuestro sitio web para brindarte la experiencia más relevante recordando tus preferencias y visitas repetidas. Haz clic en "Aceptar todas las cookies" para disfrutar de esta web con todas las cookies, configura tus preferencias antes de aceptarlas o utiliza el botón "Rechazar todas las cookies" para continuar sin aceptar.

Política de cookies
Gestión de Cookies
Zona Clientes
User
Password
Campus e-Learning
User
Password
Noticias  /  Inversión en ciberseguridad: foco en la gestión de vulnerabilidades

Inversión en ciberseguridad: foco en la gestión de vulnerabilidades

11/12/2023

El nuevo informe de la Agencia de Ciberseguridad de la Unión Europea (ENISA) confirma que la inversión sigue creciendo pero destaca la importancia de la gestión de la vulnerabilidad.

A pesar de un aumento del 25% en el coste de los ciberincidentes importantes en 2022 en comparación con 2021 , el nuevo informe sobre la inversión en ciberseguridad revela un ligero aumento del 0,4% del presupuesto de TI dedicado a la ciberseguridad por parte de los operadores de la UE en el ámbito de la Directiva NIS .

Sin embargo, si las organizaciones son proclives a destinar más presupuesto a la ciberseguridad , el 47% del total de organizaciones encuestadas no tiene previsto contratar Equivalentes a Tiempo Completo (FTE) en seguridad de la información en los próximos dos años . Además, el 83% de estas organizaciones afirma tener dificultades de contratación en al menos un dominio de seguridad de la información . Estos problemas de contratación que surgen en el informe podrían ser uno de los factores a la hora de gestionar las vulnerabilidades.

De hecho, un análisis sobre la reparación de activos críticos de TI y OT en el sector del transporte muestra que el 51% de las organizaciones del sector del transporte necesitan un mes para parchear las vulnerabilidades críticas y el 21% necesita un tiempo entre 1 mes y seis meses . Sólo el 28% de las organizaciones encuestadas reparan vulnerabilidades críticas en activos críticos en una semana.

El director ejecutivo de la Agencia de Ciberseguridad de la UE, Juhan Lepassaar, afirmó : “ Asignar suficientes recursos presupuestarios y humanos a la ciberseguridad es clave para nuestro éxito. La gestión de las vulnerabilidades es esencial y debe ir de la mano de iniciativas "seguras por diseño". Mientras tanto, necesitamos invertir continuamente en áreas como la identificación, gestión y notificación de vulnerabilidades que pueden tener un impacto en la seguridad de todo el Mercado Único Digital”.

 

Objetivo del informe sobre inversión en ciberseguridad

El nuevo informe investiga cómo los operadores invierten en ciberseguridad y cumplen con los objetivos de la Directiva NIS. Recopilados de un total de 1.080 operadores de servicios esenciales (OES) y proveedores de servicios digitales (DSP) de los 27 Estados miembros de la UE, los datos se aplican al año de referencia 2022.

 

Alcance del informe

A los efectos del análisis publicado hoy, la encuesta realizada analizó OES y DSP tal como se identifican en la  Directiva de la Unión Europea sobre sistemas de seguridad de la información y redes  (Directiva NIS). El objetivo del informe era identificar cómo las organizaciones invierten en ciberseguridad en relación con el objetivo de cumplir los requisitos establecidos por la Directiva NIS inicial.

Sin embargo, el concepto de inversión también se extiende al elemento humano. 2023 es el Año Europeo de las Capacidades. Es por eso que se puso especial énfasis en el tema de las habilidades en ciberseguridad entre OES y DSP y en la contratación de fuerza laboral en ciberseguridad y el equilibrio de género.

Por tanto, el informe profundiza en la dotación de personal de seguridad informática y la organización de la seguridad de la información por parte de OES y DSP, con especial atención al sector del transporte.

 

Resultados clave

La parte del presupuesto de TI de los OES/DSP dedicada a la ciberseguridad alcanzó el 7,1% en 2022, lo que representa un aumento del 0,4% respecto a 2021 ;

El 42 % de las OES/DSP se suscribieron a una solución de ciberseguro dedicada en 2022, lo que representa un aumento del 30 % con respecto a 2021. Aún así, solo el 13 % de las pymes se suscriben a un ciberseguro ;

Los OES/DSP asignan el 11,9% de sus FTE de TI a la seguridad de la información (IS), una disminución del 0,1%

Las OES/DSP emplean en promedio a un 11% de mujeres en los IS FTE. Con una media del cero por ciento, la mayoría de las organizaciones encuestadas no emplean a ninguna mujer como parte de sus IS FTE;

El 47% de las OES o DSP no planean contratar IS FTE en los próximos dos años.

Las organizaciones que planean contratar FTE de seguridad de la información en los próximos dos años pretenden contratar 2 FTE, con un promedio de 4 FTE, pero el 83% de las organizaciones encuestadas afirman tener dificultades de contratación en al menos un dominio de seguridad de la información .

La Directiva NIS es el principal impulsor de las inversiones en ciberseguridad para el 55% de las OES en el sector del transporte;

El 51% de las organizaciones de transporte gestionan la seguridad OT con la misma unidad o personas que la ciberseguridad TI.

 

Gestión de vulnerabilidades

La gestión de vulnerabilidades describe el proceso para identificar y evaluar el riesgo asociado a las vulnerabilidades de seguridad con el fin de resolver la causa antes de que puedan ser explotadas o reducir inteligentemente el riesgo mediante la implementación de medidas de mitigación adecuadas.

Gestionar las vulnerabilidades y garantizar que haya parches disponibles protege a los usuarios finales y ayuda a garantizar que la seguridad se aplique durante todo el ciclo de vida de cualquier producto. La edición de 2022 del informe NIS Investments encontró que al 46 % de las organizaciones encuestadas les lleva más de 1 mes corregir las vulnerabilidades críticas.   Mejorar la interoperabilidad, la automatización y los procesos optimizados para intercambiar información puede contribuir en gran medida a garantizar la divulgación de vulnerabilidades. Al mismo tiempo, los proveedores deben contar con las herramientas, los procesos y las personas adecuadas para implementar prácticas seguras desde el diseño a fin de reducir el riesgo para los usuarios, mientras que las organizaciones son responsables de reducir el tiempo entre la divulgación de las vulnerabilidades y su eliminación. remediación habilitando herramientas para el intercambio automatizado de información sobre vulnerabilidades.

 

Base de datos de vulnerabilidad y coordinación de vulnerabilidad de la UE

El NIS2 establece un marco básico con actores clave responsables sobre la divulgación coordinada de vulnerabilidades recientemente descubiertas en toda la UE y crea una base de datos de vulnerabilidades de la UE para vulnerabilidades conocidas públicamente en productos y servicios de TIC, que será operada y mantenida por la agencia de ciberseguridad de la UE ( ENISA). La combinación de esfuerzos nacionales y de la UE formará la base de un ecosistema maduro de divulgación de vulnerabilidades dentro de la UE. Es importante destacar que estas iniciativas contribuirán a mejorar el panorama de gestión de la vulnerabilidad.

El marco político de ciberseguridad de la UE incluye una serie de propuestas de expedientes políticos. Entre ellas se incluyen la Ley de Resiliencia Cibernética (CRA) y la Ley de Solidaridad Cibernética (CSoA), que incluyen disposiciones que proponen mejorar aún más la gestión de vulnerabilidades en la UE, como medidas adicionales que garanticen la calidad de los productos y servicios que contribuirán a la aplicación de la seguridad. aspectos a lo largo de todo el ciclo de vida del producto.

 

Fondo

El objetivo de la  Directiva sobre seguridad de redes y sistemas de información  ( Directiva NIS ) es lograr un alto nivel común de ciberseguridad en todos los Estados miembros. La directiva revisada conocida como NIS2 entró en vigor el 16 de enero de 2023 y amplió su ámbito de aplicación a nuevos sectores económicos.

Uno de los tres pilares de la Directiva NIS es la implementación de obligaciones de gestión de riesgos y presentación de informes para OES y DSP.

OES proporciona servicios esenciales en sectores estratégicos de la energía (electricidad, petróleo y gas), transporte (aéreo, ferroviario, acuático y por carretera), banca, infraestructuras de mercados financieros, salud, suministro y distribución de agua potable e infraestructura digital (puntos de intercambio de Internet, proveedores de servicios de sistemas de nombres de dominio, registros de nombres de dominio de nivel superior).

Los DSP operan en un entorno en línea, es decir, mercados en línea, motores de búsqueda en línea y servicios de computación en la nube.

El informe investiga cómo los operadores invierten en ciberseguridad y cumplen con los objetivos de la Directiva NIS. También ofrece una visión general de la situación en relación con aspectos como la dotación de personal de seguridad informática, el seguro cibernético y la organización de la seguridad de la información en OES y DSP.

 

Fuente: enisa.europa

Solicita más información

En cumplimiento de la normativa de protección de datos, en particular del Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, le informamos que los datos personales que usted nos facilita a través del presente formulario, serán utilizados por International Dynamics Advisors (INTEDYA), para tramitar su solicitud de información respecto al asunto indicado. .

Los datos personales marcados con (*) son imprescindibles para tramitar su solicitud, siendo el resto opcionales, y orientados a mejorar las vías de comunicación con los solicitantes. INTEDYA únicamente comunicará sus datos a las oficinas (pertenecientes a su red de oficinas) necesarias o relacionadas con el servicio solicitado, no realizando ninguna otra comunicación, más allá de las obligaciones legales que puedan derivarse del tratamiento. Asimismo, ni INTEDYA ni las oficinas de su red implicadas, utilizará sus datos con finalidades distintas a las indicadas, salvo autorización expresa y previa del titular de los mismos. Los datos personales serán tratados únicamente durante el tiempo necesario para tramitar su solicitud, tras lo cual se procederá a su supresión. Le informamos sobre la posibilidad de ejercer los derechos de acceso, rectificación, supresión, portabilidad y limitación del tratamiento, en los términos previstos en la ley, que podrá ejercitar dirigiéndose a International Dynamics Advisors, en Calle Secundino Roces Riera, nº 5, planta 2, oficina 7, Parque Empresarial de Asipo I. C.P. 33428 Cayés, Llanera (Asturias)., o a la dirección de correo electrónico info@intedya.com.

Además, en caso de que usted nos autorice expresamente, INTEDYA podrá utilizar sus datos de contacto para el envío de Newsletter, comunicaciones, notificaciones y, en general, información sobre nuestros productos y servicios que puedan resultar de su interés.

Para obtener más información sobre el uso de los datos de carácter personal, así como sobre el cumplimiento de los principios, requisitos y derechos recogidos de la normativa de protección de datos, INTEDYA pone a disposición de los interesados, a través de su página web, su Política de Privacidad.

Trabajamos formando un banco mundial de conocimiento, sumando la experiencia y capacidades de todos nuestros profesionales y colaboradores capaces de formar el mejor equipo internacional de conocimiento.
Suscríbete a nuestra Newsletter
Solicita información adicional

Reconocimientos y participación

INCIBECursos Universitarios de Especialización UEMCStaregisterUNE Normalización EspañolaOganización Asociada a la WORLD COMPLIANCE ASSOCIATIONStandards Boost BusinessMiembros de ANSI (American National Standards Institute)Miembros de la Green Industry PlatformMiembros de la Asociación Española de la CalidadAdheridos al Pacto de LuxemburgoMiembros de la European Association for International Education