"Notícia disponible únicament amb finalitats històriques i d'hemeroteca. La informació i enllaços mostrats es corresponen amb els quals estaven operatius a la data de la seva publicació. No es garanteix que continuïn actius actualment".
L'Agència Agència de Seguretat Cibernètica de la Unió Europea ha publicat l'últim informe sobre inversions en seguretat de la informació i xarxes en la UE , que brinda una idea de com la Directiva NIS ha impactat el pressupost de seguretat cibernètica dels operadors durant l'any passat amb immersions profundes en els sectors d'energia i salut.
L'informe analitza les dades recopilades dels Operadors de Serveis Essencials (OES) i dels Proveïdors de Serveis Digitals (DSP) identificats en Directiva de la Unió Europea sobre Xarxes i Sistemes de Seguretat de la Informació (Directiva NIS). L'anàlisi cerca comprendre si aquests operadors han invertit els seus pressupostos de manera diferent durant l'últim any per complir amb els nous requisits establerts pel text legislatiu.
Paràmetres contextuals que emmarquen l'anàlisi
L'informe inclou una anàlisi que arriba a més de 1000 operadors en els 27 Estats membres de la UE. Els resultats relacionats mostren que la proporció del pressupost de tecnologia de la informació (TU) dedicat a la seguretat de la informació (SI) sembla ser menor, en comparació de les troballes de l'any passat, caient del 7,7 % al 6,7 %.
Aquests nombres han de concebre's com una descripció general de la despesa en seguretat de la informació en una variada tipologia de sectors estratègics. En conseqüència, contingències macroeconòmiques específiques com el COVID19 poden haver influït en els resultats mitjana.
Quins són les troballes clau?
-
La Directiva NIS, altres obligacions regulatòries i el panorama d'amenaces són els principals factors que afecten els pressupostos de seguretat de la informació;
-
Els grans operadors inverteixen 120 000 EUR en Cyber Threat Intelligence (CTI) en comparació dels 5 500 EUR de les pimes, mentre que els operadors amb SOC totalment interns o insourced gasten al voltant de 350 000 EUR en CTI, la qual cosa suposa un 72 % més que la despesa dels operadors amb un sistema híbrid. COS;
-
Els sectors de la salut i la banca suporten el cost més alt entre els sectors crítics en cas d'incidents importants de ciberseguretat, amb un cost directe mitjà d'un incident en aquests sectors que ascendeix a 300 000 EUR;
-
El 37% dels Operadors de Serveis Essencials i Proveïdors de Serveis Digitals no opera un SOC;
-
Pel 69% la majoria dels seus incidents de seguretat de la informació són causats per vulnerabilitats en productes de programari o maquinari, sent el sector salut el que declara el major nombre de tals incidents;
-
El segur/segur cibernètic ha caigut al 13% en 2021 aconseguint un baix 30% en comparació de 2020;
-
Solament el 5% de les pimes subscriuen ciberseguros;
-
El 86% té implementades polítiques de gestió de riscos de tercers.
Hallazgos clau dels sectors de Salut i Energia
Des d'una perspectiva global, les inversions en TIC per al sector de la salut semblen veure's molt afectades per la Covid-19, ja que molts hospitals cerquen tecnologies per expandir els serveis d'atenció de la salut perquè es prestin més enllà dels límits geogràfics dels hospitals. Encara així, els controls de ciberseguretat segueixen sent una prioritat principal per a la despesa amb el 55% dels operadors de salut que cerquen un major finançament per a les eines de ciberseguretat. El 64% dels operadors de salut ja recorren a dispositius metges connectats i el 62% ja va implementar una solució de seguretat específica per a dispositius mèdics. Solament el 27% dels OES enquestats en el sector tenen un programa de defensa de ransomware dedicat i el 40% d'ells no tenen un programa de conscienciació de seguretat per al personal que no és de TU.
Els operadors de petroli i gas semblen prioritzar la ciberseguretat amb inversions que augmenten a una taxa del 74%. El sector de l'energia mostra una tendència en les inversions que passen de la infraestructura heretada i els centres de dades als serveis en el núvol. No obstant això, el 32% dels operadors en aquest sector no tenen un sol procés de Tecnologia d'Operació (OT) crític monitoreado per un SOC. OT i TU estan coberts per un sol SOC pel 52% d'OES en el sector energètic.
El fons i el context
L'objectiu de la Directiva sobre seguretat de xarxes i sistemes d'informació ( Directiva NIS ) és aconseguir un alt nivell comú de ciberseguretat en tots els Estats membres. Un dels tres pilars de la Directiva NIS és la implementació de la gestió de riscos i les obligacions d'informació per OES i DSP.
Els OES brinden serveis essencials en sectors estratègics d'energia (electricitat, petroli i gas), transport (aeri, ferroviari, aquàtic i vial), banca, infraestructures del mercat financer, salut, proveïment i distribució d'aigua potable i infraestructura digital (punts d'intercanvi d'Internet, proveïdors de serveis del sistema de noms de domini, registres de noms de domini de nivell superior).
Els DSP operen en un entorn en línia, a saber, mercats en línia, motors de cerca en línia i serveis de computació en el núvol. L'informe investiga com els operadors inverteixen en ciberseguretat i compleixen amb els objectius de la Directiva NIS. També brinda una descripció general de la situació en relació amb aspectes com la dotació de personal de seguretat de TU, les assegurances cibernètiques i l'organització de la seguretat de la informació en OES i DSP.
Documents relacionats:
Font original de la notícia
- Seguretat i Protecció de Dades