Analizar el grado de madurez, evolución y nuevos fenómenos en el ámbito de la seguridad de la información; así como generar indicadores nacionales sobre el estado de la ciberseguridad en empresas y entidades privadas y públicas. Con este objetivo ISMS Forum, junto con el Observatorio de Ciberseguridad de ISMS Forum, han publicado el Indicador de Madurez en Ciberseguridad. Este documento se presenta como un divulgador de conocimiento e investigación a través de la creación de métricas y referencias nacionales.
El estudio revela algunos datos interesantes. Por ejemplo, hasta un 50% de las empresas mantienen identificadas y documentadas las vulnerabilidades y amenazas de ciberseguridad. Ahora bien, únicamente el 30% manifiesta que los procesos de gestión del riesgo están establecidos, acordados e informados con las partes interesadas. Eso sí, más del 60% de las empresas cuenta con una política donde se definen los roles y las responsabilidades, junto con los requerimientos legales y regulatorios. Todo ello dentro del marco de los procesos de gobierno y gestión del riesgo de ciberseguridad. Asimismo, cerca del 50% de las empresas identifican y comunican las dependencias y los requisitos de los servicios y funciones críticas, asociadas a la misión, visión y objetivos de la organización. Sin embargo, el inventario de dispositivos, sistemas, aplicaciones y recursos de información solo es completo en un tercio de la muestra.
Activos de información
En cuanto a la protección de los sistemas y activos de información, más del 40% de las empresas manifiesta documentar los procesos y procedimientos. Paralelamente, más del 50% identifican los datos, pero los protegen de manera parcial. Casi la mitad de las empresas encuestadas manifiesta la existencia de una gestión de identidades y accesos según el principio de menor privilegio. Sin embargo, en la gestión del cambio, si bien la mitad de los encuestados afirma la realización de un mantenimiento de los sistemas de información de forma controlada, los accesos no se auditan.
Por otro lado, el indicador muestra que en el 50% de las entidades los procedimientos de respuesta ante incidentes están documentados y actualizados. Además, se prueban con carácter anual. La opción mayoritaria muestra que los principales procesos, roles e interlocutores en la comunicación de respuesta ante incidentes están identificados. Y la mayoría de empresas investiga las alertas más relevantes generadas por los sistemas de detección según un proceso definido, pero sin SLAs formalizados.
Finalmente, el informe también hace referencia a la identificación temprana de vulnerabilidades y amenazas. En este caso, la mitad de la muestra la realiza mediante procesos automáticos. Solo un 8% revisa los planes de respuesta ante incidentes más de una vez al año y hasta un 36% lo hace únicamente ad hoc.
Archivado en: