O principal -e máis alarmante- dato que revela o informe NIS Investments 2023
, recentemente publicado pola Axencia Europea de Ciberseguridade (ENISA), é que, a pesar dun aumento do 25 % do custo dos incidentes cibernéticos graves en 2022 en comparación con 2021, o investimento en ciberseguridade por parte dos operadores da UE no ámbito de aplicación da Directiva SRI só experimenta un lixeiro aumento. Falamos de tan só un 0,4 % do orzamento informático dedicado a este campo,
Con todo, se as organizacións inclínanse por destinar máis orzamento á ciberseguridade, o 47% do total das organizacións enquisadas non planea contratar equivalentes a tempo completo (FTE) de seguridade da información nos próximos dous anos. Ademais, o 83% destas organizacións afirman ter dificultades de contratación en polo menos un dominio da seguridade da información. Estes problemas de contratación que xorden no informe poderían ser un dos factores á hora de xestionar as vulnerabilidades.
De feito, unha análise sobre a aplicación de parches aos activos críticos de TI e OT no sector do transporte mostra que o 51% de as organizacións do sector do transporte necesitan un mes para parchear as vulnerabilidades críticas e o 21% necesitan un tempo de entre 1 mes e seis meses. Só o 28% das organizacións enquisadas corrixen vulnerabilidades críticas en activos críticos nunha semana.
Obxectivo do informe sobre o investimento en ciberseguridade
O novo informe investiga como os operadores invisten en ciberseguridade e cumpren cos obxectivos da Directiva SRI. Os datos, recompilados dun total de 1 080 operadores de servizos esenciais (OES) e provedores de servizos dixitais (DSP) dos 27 Estados membros da UE, aplícanse ao ano de referencia 2022.
Alcance do informe
Para os efectos da análise publicada hoxe, a enquisa realizada centrouse na OES e DSP identificados na Directiva da Unión Europea sobre sistemas de seguridade das redes e da información (Directiva NIS). O obxectivo do informe era identificar como as organizacións invisten en ciberseguridade en relación co obxectivo de cumprir cos requisitos establecidos pola Directiva NIS inicial.
Con todo, o concepto de investimento tamén se estende ao elemento humano. 2023 é o Ano Europeo das Capacidades. É por iso que se fixo especial fincapé no tema das habilidades de ciberseguridade entre os OES e DSP e na contratación de persoal de ciberseguridade e o equilibrio de xénero.
Por tanto, o informe profunda na dotación de persoal de seguridade informática e a organización da seguridade da información por parte de OES e DSP, con especial atención ao sector do transporte.
Principais conclusións
- A parte do orzamento de TI dos OES/DSP dedicada á ciberseguridade alcanzou o 7,1% en 2022, o que representa un aumento do 0,4% en comparación con 2021;
- O 42% dos OES/DSP subscribíronse a unha solución de ciberseguros dedicada en 2022, o que representa un aumento do 30% con respecto a 2021. Aínda así, só o 13% das pemes subscríbense a un seguro cibernético;
- Os OES/DSP destinan o 11,9 % dos seus ETC. de TI á seguridade da información (SE), o que supón un descenso do 0,1 %
- Os OES/DSP empregan a unha media do 11% das mulleres nos Etc. Cunha mediana do cero por cento, a maioría das organizacións enquisadas non empregan a ningunha muller como parte dos seus ETC.;
- O 47% dos OES ou DSP non planean contratar SE FTE nos próximos dous anos.
- As organizacións que planean contratar FTE de seguridade da información nos próximos dous anos teñen como obxectivo contratar 2 FTE, cunha media de 4 FTE, pero o 83% das organizacións enquisadas afirman dificultades de contratación en polo menos un dominio de seguridade da información.
- A Directiva SRI é o principal motor dos investimentos en ciberseguridade para o 55 % das OES no sector do transporte;
- O 51% das organizacións de transporte xestionan a seguridade OT coa mesma unidade ou persoal que a ciberseguridade informática.
Xestión de vulnerabilidades
A xestión de vulnerabilidades describe o proceso para identificar e avaliar o risco asociado de vulnerabilidades de seguridade co fin de resolver a causa antes de que estas poidan ser explotadas ou reducir de forma intelixente o risco da mesma mediante a implementación de medidas de mitigación adecuadas.
A xestión de vulnerabilidades e a garantía de que os parches estean dispoñibles protexe aos usuarios finais e axuda a garantir que a seguridade se aplique ao longo de todo o ciclo de vida de calquera produto. A edición de 2022 do informe NIS Investments revelou que para o 46 % das organizacións enquisadas tárdase máis de 1 mes en parchear as vulnerabilidades críticas. A mellora da interoperabilidade, a automatización e a racionalización dos procesos para o intercambio de información pode contribuír en gran medida a garantir a divulgación de vulnerabilidades. Ao mesmo tempo, os provedores deben contar coas ferramentas, os procesos e as persoas adecuadas para implementar prácticas de seguridade por deseño co fin de reducir o risco para os usuarios, mentres que as organizacións son responsables de reducir o tempo entre a divulgación de vulnerabilidades e a súa corrección ao habilitar ferramentas para o intercambio automatizado de información sobre vulnerabilidades.
Coordinación da vulnerabilidade da UE e base de datos sobre vulnerabilidades
A SRI 2 establece un marco básico con axentes crave responsables sobre a divulgación coordinada de vulnerabilidades para as vulnerabilidades recentemente descubertas en toda a UE e crea unha base de datos de vulnerabilidades da UE para vulnerabilidades coñecidas publicamente en produtos e servizos de TIC, que será xestionada e mantida pola Axencia da UE para a Ciberseguridade (ENISA). A combinación dos esforzos nacionais e da UE constituirá a base dun ecosistema maduro de divulgación de vulnerabilidades dentro da UE. É importante destacar que estas iniciativas contribuirán a mellorar o panorama da xestión da vulnerabilidade.
O marco da política de ciberseguridade da UE inclúe unha serie de expedientes de políticas propostas. Entre elas atópanse a Lei de Ciberresiliencia (CRA) e a Lei de Cibersolidaridad (CSoA), que inclúen disposicións que propoñen seguir mellorando a xestión da vulnerabilidade na UE, como medidas adicionais que garantan a calidade dos produtos e servizos que contribuirán á aplicación dos aspectos de seguridade ao longo de todo o ciclo de vida do produto.
O contexto da Directiva sobre a seguridade das redes e sistemas de información
O obxectivo da Directiva sobre a seguridade de as redes e sistemas de información ( Directiva SRI ) é lograr un elevado nivel común de ciberseguridade en todos os Estados membros. A Directiva revisada, coñecida como SRI 2, que entrou en vigor o 16 de xaneiro de 2023 ampliou o ámbito de aplicación a novos sectores económicos.
Un do tres alicerces da Directiva SRI é a aplicación das obrigas de xestión de riscos e de información para OES e DSP.
Os OES prestan servizos esenciais en sectores estratéxicos da enerxía (electricidade, petróleo e gas), o transporte (aéreo, ferroviario, acuático e por estrada), a banca, as infraestruturas dos mercados financeiros, a saúde, a subministración e a distribución de auga potable e as infraestruturas dixitais (puntos de intercambio de Internet, provedores de servizos de sistemas de nomes de dominio, rexistros de nomes de dominio de alto nivel).
Os DSP operan nunha contorna en liña, é dicir, mercados en liña, motores de procura en liña e servizos de computación na nube.
O informe investiga como os operadores invisten en ciberseguridade e cumpren cos obxectivos da Directiva SRI. Tamén ofrece unha visión xeral da situación en relación con aspectos tales como a dotación de persoal de seguridade informática, os ciberseguros e a organización da seguridade da información en OES e DSP.
Ligazóns de interese
Fonte orixinal da noticia
- Seguridade e Protección de Datos
