El panorama de la ciberseguridad está en constante cambio. Continuamente surgen nuevos retos y nuevas amenazas, especialmente durante la pandemia, a las que los profesionales de la seguridad de las empresas se tienen que adaptar rápidamente. En este contexto, la empresa norteamericana de ciberseguridad Tripwire ha realizado una serie de encuestas y entrevistas para conocer a los profesionales de TI que gestionan la ciberseguridad de pequeñas y medianas empresas. Dado que estas entidades a menudo no disponen de los presupuestos o recursos necesarios para hacer frente a las amenazas de ciberseguridad y eso implica una serie de retos a los que los profesionales de la ciberseguridad tienen que hacer frente.
Estas son algunas de las conclusiones que han obtenido:
Cuando se trata de seguridad, las recomendaciones son la clave
A la hora de decidir qué productos de seguridad investigar, los profesionales de la seguridad confían en las reseñas de productos ofrecidas por blogs y artículos reconocidos. Sin embargo, también se consideran valiosas las recomendaciones, ya sean de amigos, colegas o expertos conocidos en la materia.
En cuanto a las redes sociales que consultan de cara a su desarrollo profesional, por ejemplo, para leer de artículos, ver demostraciones de productos y estar al día de las noticias del sector, LinkedIn es la que más usan y en la que más confían. Por otra parte, muchos de los encuestados mencionaron a Gartner como el primer paso para investigar en qué soluciones de seguridad deberían pensar.
Falta de presupuesto en ciberseguridad
En algunas empresas, la ciberseguridad se ve como algo secundario, lo que a menudo se refleja en presupuestos de seguridad deficientes y en la atribución de la responsabilidad a otros profesionales de TI.
En su investigación, Tripwire ha podido comprobar cómo en algunas empresas, especialmente las más pequeñas, la ciberseguridad no se toma lo suficientemente en serio. Puede que ni siquiera haya un puesto dedicado específicamente a ello. En su lugar, este trabajo se transfiere a los profesionales de TI (soporte de TI, ingenieros de redes o de la nube, gerentes de TI), que hacen malabares con muchas responsabilidades, lo que a menudo es difícil y les conduce fácilmente a un gran desgaste y agotamiento.
«El panorama de la seguridad cambia constantemente, así que tienes que estar al tanto de todo, pero eso conlleva mucho estrés. Y siento que he tenido que trabajar muy duro para poder gestionar ese estrés, especialmente con todo sobre mis hombros. Creo que eso es un gran problema. Mucha gente de seguridad que conozco se ha quemado relativamente rápido. Creo que es un gran problema del que hay que hablar más a menudo».
Director de TI en una pequeña empresa, que actúa como CISO.
El puesto de CISO, ocupado por profesionales sin experiencia
Muchas compañías fingen tener un buen posicionamiento en ciberseguridad, promocionando a personal no relacionado con la seguridad a puestos de mayor responsabilidad. Las empresas pequeñas, al no tener suficiente presupuesto para contratar a personas cualificadas para el papel de CISO, se lo ofrecen a trabajadores sin esa experiencia.
Algunas de estas empresas afirman que su presupuesto de seguridad es escaso. Sin embargo, la mayoría de los profesionales de la seguridad encuestados afirmaron que el presupuesto era adecuado (61,1%).
«La dirección se centra actualmente en proporcionar recursos hacia el desarrollo del negocio y no tanto en la ciberseguridad, ya que no creen que vaya a surgir un gran ataque«.
Director de seguridad de una empresa mediana.
Falta de tiempo y de credibilidad en la empresa
Las ciberamenazas no dejan de evolucionar, por lo que una gran parte de la función de seguridad consiste en mantenerse al día de las novedades del sector y estar buscando continuamente nueva información.
Sin embargo, a muchos de ellos les cuesta estar actualizados sobre las mejoras de seguridad, ya que tienen demasiadas responsabilidades y no tienen suficiente tiempo.
Otro de los retos a los que se enfrentan los responsables de ciberseguridad de las empresas es el de hacerse oír por los directivos cuando se trata de amenazas de ciberseguridad y el tener que defender continuamente las buenas prácticas de seguridad en su empresa.
Prioridades de los profesionales de la ciberseguridad
Los profesionales de la seguridad clasificaron por orden de importancia las principales prioridades en su trabajo:
- Sentirse seguro de que la empresa es segura.
- Tener las mejores soluciones de seguridad.
- Contar con un liderazgo que comprenda el valor de invertir en seguridad.
- Confiar en las soluciones que recomiendan a su organización.
Respecto al último punto, los encuestados señalan que el proceso de elección de la herramienta adecuada para su empresa puede llevar un tiempo. Entre otras comprobaciones, los responsables de ciberseguridad de la empresa necesitan comprobar también la reputación de la empresa que proporciona la solución.
Algunos señalaron que, al comprar nuevos productos, no sólo están poniendo a prueba su rendimiento, si no que también evalúan el servicio y la asistencia al cliente de los proveedores de soluciones de seguridad. Ya que esto es indicativo del tipo de relación que pueden tener en el futuro con la empresa que vende la solución.
Principales preocupaciones de cara al 2022
La principal preocupación que señalaron la mayoría de los profesionales de ciberseguridad es la prevención de la pérdida de datos como un objetivo principal para 2022. Esto, por cierto, coincide con las previsiones de Gartner.
Otras grandes preocupaciones son la gestión de los empleados y el ransomware. El teletrabajo ha hecho que la seguridad de las redes sea más difícil, ya que los empleados no siempre entienden los peligros y las señales de la ingeniería social, a pesar de que cuenten con amplia formación.
«Trabajar desde casa sigue siendo un reto para las TI. Cuando la gente trabajaba en la oficina, podíamos asegurar el perímetro endureciendo la red de la oficina. Ahora la red se extiende a todas partes, y no sabemos quién más está en la red. Así que es más difícil endurecerla, y estamos tratando de lograr la confianza cero».
Ingeniero de seguridad, empresa mediana.
La falta de formación y apoyo adecuados es otra de sus preocupaciones. A menudo, las herramientas que utilizan no son su primera opción. Mientras que las organizaciones buscan reducir costes, los profesionales de la seguridad valoran las herramientas que automatizan tareas y les ahorran tiempo.
