Un 38,9% de las empresas españolas suspende en la monitorización de sus medidas de ciberseguridad, siendo ésta unas de las principales causas de que los tiempos de detección de ciberataques presenten niveles muy elevados, según recoge el informe elaborado por la agencia de rating LEET Security.
“Las empresas españolas toman medidas de prevención para evitar brechas en sus sistemas de seguridad y confían en que siempre funcionen, pero no siempre contratan un seguimiento de su eficiencia. El resultado es que se tarda mucho tiempo en detectar o no llegan a detectarse las fugas de información o los ataques, que se trasladan en importantes pérdidas económicas y de reputación”, asegura Antonio Ramos, socio y director de Operaciones de LEET Security.
De hecho, el estudio Data Breach Investigation Report 2016 de Verizon, que analiza las brechas de seguridad en 82 países, señala que en el 93% de los casos penetrar en un sistema es cuestión de minutos, mientras las empresas tardan semanas e incluso meses en descubrir que se ha producido una filtración y, por lo general, son los clientes o las fuerzas de seguridad, y no las medidas internas de seguridad de una compañía, quienes dan la voz de alarma.
Con una calificación de “D”, la Monitorización y el Control de Accesos (36,1%) son los epígrafes peor evaluados por el modelo de LEET Security, que analiza de forma objetiva los niveles de seguridad de una compañía a través de 1.160 controles con el objetivo de mejorar sus estándares de seguridad. “Las preguntas se formulan en función de la calificación que se desea obtener y que viene determinada por los niveles de sensibilidad de los servicios o la información a la que tengan acceso los proveedores”, afirma Ramos.
Si profundizamos aún más en las carencias de los sistemas de ciberseguridad, el análisis de LEET Security detecta que existen mecanismos de control que, dependiendo del tipo de servicio y del proveedor, pueden ser muy robustos o muy frágiles. Por ello, explica el Director de Operaciones de LEET Security, “los usuarios no deben presuponer que los servicios que subcontratan incorporan las medidas de seguridad necesarias, siendo esencial realizar procesos de due diligence y requerir medidas a los prestadores del servicio acordes al impacto que un fallo en dicho servicio tendría sobre la organización que lo contrata”.
En cuanto a los servicios que obtienen mejores notas, el análisis de LEET Security destaca los de Cumplimiento (un 19,4% de los servicios analizados obtuvieron una A o A+), que indica que los requerimientos regulatorios son “el tractor de la implementación de medidas de seguridad por parte de las empresas”, explica Ramos.
Reconocido por el Instituto Nacional de Ciberseguridad (INCIBE) y la European Network and Information Security Agency (ENISA), el sello de LEET Security otorga una puntuación a cada una de las tres dimensiones de la seguridad de la información -confidencialidad, integridad y disponibilidad- conforme a cinco niveles (D – A+), siendo A+ el más elevado y D el más básico, con el objetivo de minimizar los riesgos de posibles brechas de seguridad fundamentalmente en aquellos proveedores que tengan acceso a sistemas e información sensible.