"Noticia disponible únicamente con fines históricos y de hemeroteca. La información y enlaces mostrados se corresponden con los que estaban operativos a la fecha de su publicación. No se garantiza que continúen activos actualmente".
La Agencia de Seguridad Cibernética de la Unión Europea
ha publicado el último informe sobre inversiones en seguridad de la información y redes en la UE , que brinda una idea de cómo la Directiva NIS ha impactado el presupuesto de seguridad cibernética de los operadores durante el año pasado con inmersiones profundas en los sectores de energía y salud.
El informe analiza los datos recopilados de los Operadores de Servicios Esenciales (OES) y de los Proveedores de Servicios Digitales (DSP) identificados en la Directiva de la Unión Europea sobre Redes y Sistemas de Seguridad de la Información (Directiva NIS). El análisis busca comprender si esos operadores han invertido sus presupuestos de manera diferente durante el último año para cumplir con los nuevos requisitos establecidos por el texto legislativo.
Parámetros contextuales que enmarcan el análisis
El informe incluye un análisis que llega a más de 1000 operadores en los 27 Estados miembros de la UE. Los resultados relacionados muestran que la proporción del presupuesto de tecnología de la información (TI) dedicado a la seguridad de la información (SI) parece ser menor, en comparación con los hallazgos del año pasado, cayendo del 7,7 % al 6,7 %.
Estos números deben concebirse como una descripción general del gasto en seguridad de la información en una variada tipología de sectores estratégicos. En consecuencia, contingencias macroeconómicas específicas como el COVID19 pueden haber influido en los resultados promedio.
¿Cuáles son los hallazgos clave?
-
La Directiva NIS, otras obligaciones regulatorias y el panorama de amenazas son los principales factores que afectan los presupuestos de seguridad de la información;
-
Los grandes operadores invierten 120 000 EUR en Cyber Threat Intelligence (CTI) en comparación con los 5 500 EUR de las pymes, mientras que los operadores con SOC totalmente internos o insourced gastan alrededor de 350 000 EUR en CTI, lo que supone un 72 % más que el gasto de los operadores con un sistema híbrido. COS;
-
Los sectores de la salud y la banca soportan el costo más alto entre los sectores críticos en caso de incidentes importantes de ciberseguridad, con un costo directo medio de un incidente en estos sectores que asciende a 300 000 EUR;
-
El 37% de los Operadores de Servicios Esenciales y Proveedores de Servicios Digitales no opera un SOC;
-
Para el 69% la mayoría de sus incidentes de seguridad de la información son causados por vulnerabilidades en productos de software o hardware, siendo el sector salud el que declara el mayor número de tales incidentes;
-
El seguro cibernético ha caído al 13% en 2021 alcanzando un bajo 30% en comparación con 2020;
-
Solo el 5% de las pymes suscriben ciberseguros;
-
El 86% tiene implementadas políticas de gestión de riesgos de terceros.
Hallazgos clave de los sectores de Salud y Energía
Desde una perspectiva global, las inversiones en TIC para el sector de la salud parecen verse muy afectadas por la COVID-19, ya que muchos hospitales buscan tecnologías para expandir los servicios de atención de la salud para que se presten más allá de los límites geográficos de los hospitales. Aún así, los controles de ciberseguridad siguen siendo una prioridad principal para el gasto con el 55% de los operadores de salud que buscan una mayor financiación para las herramientas de ciberseguridad. El 64% de los operadores de salud ya recurren a dispositivos médicos conectados y el 62% ya implementó una solución de seguridad específica para dispositivos médicos. Solo el 27% de los OES encuestados en el sector tienen un programa de defensa de ransomware dedicado y el 40% de ellos no tienen un programa de concientización de seguridad para el personal que no es de TI.
Los operadores de petróleo y gas parecen priorizar la ciberseguridad con inversiones que aumentan a una tasa del 74%. El sector de la energía muestra una tendencia en las inversiones que pasan de la infraestructura heredada y los centros de datos a los servicios en la nube. Sin embargo, el 32% de los operadores en este sector no tienen un solo proceso de Tecnología de Operación (OT) crítico monitoreado por un SOC. OT y TI están cubiertos por un solo SOC para el 52% de OES en el sector energético.
El fondo y el contexto
El objetivo de la Directiva sobre seguridad de redes y sistemas de información ( Directiva NIS ) es lograr un alto nivel común de ciberseguridad en todos los Estados miembros. Uno de los tres pilares de la Directiva NIS es la implementación de la gestión de riesgos y las obligaciones de información para OES y DSP.
Los OES brindan servicios esenciales en sectores estratégicos de energía (electricidad, petróleo y gas), transporte (aéreo, ferroviario, acuático y vial), banca, infraestructuras del mercado financiero, salud, abastecimiento y distribución de agua potable e infraestructura digital (puntos de intercambio de Internet, proveedores de servicios del sistema de nombres de dominio, registros de nombres de dominio de nivel superior).
Los DSP operan en un entorno en línea, a saber, mercados en línea, motores de búsqueda en línea y servicios de computación en la nube. El informe investiga cómo los operadores invierten en ciberseguridad y cumplen con los objetivos de la Directiva NIS. También brinda una descripción general de la situación en relación con aspectos como la dotación de personal de seguridad de TI, los seguros cibernéticos y la organización de la seguridad de la información en OES y DSP.
Documentos relacionados:
Fuente original de la noticia
