El principal -i més alarmant- dada que revela l'informe NIS Investments 2023
, recentment publicat per l'Agència Europea de Ciberseguretat (ENISA), és que, malgrat un augment del 25 % del cost dels incidents cibernètics greus en 2022 en comparació amb 2021, la inversió en ciberseguretat per part dels operadors de la UE en l'àmbit d'aplicació de la Directiva SRI solament experimenta un lleuger augment. Parlem de tan sol un 0,4 % del pressupost informàtic dedicat a aquest camp,
No obstant això, si les organitzacions s'inclinen per destinar més pressupost a la ciberseguretat, el 47% del total de les organitzacions enquestades no planeja contractar equivalents a temps complet (FTE) de seguretat de la informació en els propers dos anys. A més, el 83% d'aquestes organitzacions afirmen tenir dificultats de contractació en almenys un domini de la seguretat de la informació. Aquests problemes de contractació que sorgeixen en l'informe podrien ser un dels factors a l'hora de gestionar les vulnerabilitats.
De fet, una anàlisi sobre l'aplicació de pegats als actius crítics de TU i OT en el sector del transport mostra que el 51% de les organitzacions del sector del transport necessiten un mes per apedaçar les vulnerabilitats crítiques i el 21% necessiten un temps d'entre 1 mes i sis mesos. Solament el 28% de les organitzacions enquestades corregeixen vulnerabilitats crítiques en actius crítics en una setmana.
Objectiu de l'informe sobre la inversió en ciberseguretat
El nou informe investiga com els operadors inverteixen en ciberseguretat i compleixen amb els objectius de la Directiva SRI. Les dades, recopilats d'un total de 1 080 operadors de serveis essencials (OES) i proveïdors de serveis digitals (DSP) dels 27 Estats membres de la UE, s'apliquen a l'any de referència 2022.
Abast de l'informe
A l'efecte de l'anàlisi publicada avui, l'enquesta realitzada es va centrar en l'OES i DSP identificats en la Directiva de la Unió Europea sobre sistemes de seguretat de les xarxes i de la informació (Directiva NIS). L'objectiu de l'informe era identificar com les organitzacions inverteixen en ciberseguretat en relació amb l'objectiu de complir amb els requisits establerts per la Directiva NIS inicial.
No obstant això, el concepte d'inversió també s'estén a l'element humà. 2023 és l'Any Europeu de les Capacitats. És per això que es va posar l'accent principalment en el tema de les habilitats/habilitats de ciberseguretat entre els OES i DSP i en la contractació de personal de ciberseguretat i l'equilibri de gènere.
Per tant, l'informe aprofundeix en la dotació de personal de seguretat informàtica i l'organització de la seguretat de la informació per part d'OES i DSP, amb especial atenció al sector del transport.
Principals conclusions
- La part del pressupost de TU dels OES/DSP dedicada a la ciberseguretat va aconseguir el 7,1% en 2022, la qual cosa representa un augment del 0,4% en comparació de 2021;
- El 42% dels OES/DSP es van subscriure a una solució de ciberseguros dedicada en 2022, la qual cosa representa un augment del 30% pel que fa a 2021. Així i tot, solament el 13% de les pimes se subscriuen a un segur/segur cibernètic;
- Els OES/DSP destinen l'11,9 % dels seus ETC de TU a la seguretat de la informació (SI), la qual cosa suposa un descens del 0,1 %
- Els OES/DSP empren a una mitjana del 11% de les dones en els Etc. Amb una mitjana del zero per cent, la majoria de les organitzacions enquestades no empren a cap dona com a part de les seves ETC;
- El 47% dels OES o DSP no planegen contractar SI FTE en els propers dos anys.
- Les organitzacions que planegen contractar FTE de seguretat de la informació en els propers dos anys tenen com a objectiu contractar 2 FTE, amb una mitjana de 4 FTE, però el 83% de les organitzacions enquestades afirmen dificultats de contractació en almenys un domini de seguretat de la informació.
- La Directiva SRI és el principal motor de les inversions en ciberseguretat pel 55 % de les OES en el sector del transport;
- El 51% de les organitzacions de transport gestionen la seguretat OT amb la mateixa unitat o personal que la ciberseguretat informàtica.
Gestió de vulnerabilitats
La gestió de vulnerabilitats descriu el procés per identificar i avaluar el risc associat de vulnerabilitats de seguretat amb la finalitat de resoldre la causa abans que aquestes puguin ser explotades o reduir de forma intel·ligent el risc de la mateixa mitjançant la implementació de mesures de mitigació adequades.
La gestió de vulnerabilitats i la garantia que els pegats estiguin disponibles protegeix als usuaris finals i ajuda a garantir que la seguretat s'apliqui al llarg de tot el cicle de vida de qualsevol producte. L'edició de 2022 de l'informe NIS Investments va revelar que pel 46 % de les organitzacions enquestades es triga més d'1 mes a apedaçar les vulnerabilitats crítiques. La millora de la interoperabilitat, l'automatització i la racionalització dels processos per a l'intercanvi d'informació pot contribuir en gran manera a garantir la divulgació de vulnerabilitats. Al mateix temps, els proveïdors han de comptar amb les eines, els processos i les persones adequades per implementar pràctiques de seguretat per disseny amb la finalitat de reduir el risc per als usuaris, mentre que les organitzacions són responsables de reduir el temps entre la divulgació de vulnerabilitats i la seva correcció en habilitar eines per a l'intercanvi automatitzat d'informació sobre vulnerabilitats.
Coordinació de la vulnerabilitat de la UE i base de dades sobre vulnerabilitats
La SRI 2 estableix un marc bàsic amb agents clau responsables sobre la divulgació coordinada de vulnerabilitats per a les vulnerabilitats recentment descobertes en tota la UE i crea una base de dades de vulnerabilitats de la UE per a vulnerabilitats conegudes públicament en productes i serveis de TIC, que serà gestionada i mantinguda per l'Agència de la UE per a la Ciberseguretat (ENISA). La combinació dels esforços nacionals i de la UE constituirà la base d'un ecosistema madur de divulgació de vulnerabilitats dins de la UE. És important destacar que aquestes iniciatives contribuiran a millorar el panorama de la gestió de la vulnerabilitat.
El marc de la política de ciberseguretat de la UE inclou una sèrie d'expedients de polítiques propostes. Entre elles es troben la Llei de Ciberresiliencia (CRA) i la Llei de Cibersolidaridad (CSoA), que inclouen disposicions que proposen seguir millorant la gestió de la vulnerabilitat en la UE, com a mesures addicionals que garanteixin la qualitat dels productes i serveis que contribuiran a l'aplicació dels aspectes de seguretat al llarg de tot el cicle de vida del producte.
El context de la Directiva sobre la seguretat de les xarxes i sistemes d'informació
L'objectiu de la Directiva sobre la seguretat de les xarxes i sistemes d'informació ( Directiva SRI ) és aconseguir un elevat nivell comú de ciberseguretat en tots els Estats membres. La Directiva revisada, coneguda com SRI 2, que va entrar en vigor el 16 de gener de 2023 va ampliar l'àmbit d'aplicació a nous sectors econòmics.
Un dels tres pilars de la Directiva SRI és l'aplicació de les obligacions de gestió de riscos i d'informació per OES i DSP.
Els OES presten serveis essencials en sectors estratègics de l'energia (electricitat, petroli i gas), el transport (aeri, ferroviari, aquàtic i per carretera), la banca, les infraestructures dels mercats financers, la salut, el subministrament i la distribució d'aigua potable i les infraestructures digitals (punts d'intercanvi d'Internet, proveïdors de serveis de sistemes de noms de domini, registres de noms de domini d'alt nivell).
Els DSP operen en un entorn en línia, és a dir, mercats en línia, motors de cerca en línia i serveis de computació en el núvol.
L'informe investiga com els operadors inverteixen en ciberseguretat i compleixen amb els objectius de la Directiva SRI. També ofereix una visió general de la situació en relació amb aspectes tals com la dotació de personal de seguretat informàtica, els ciberseguros i l'organització de la seguretat de la informació en OES i DSP.
Enllaços d'interès
Font original de la notícia
- Seguretat i Protecció de Dades
