"Noticia dispoñible unicamente con fins históricos e de hemeroteca. A información e ligazóns mostradas correspóndense cos que estaban operativos á data da súa publicación. Non se garante que continúen activos actualmente".
A Axencia de Seguridade Cibernética da Unión Europea publicou o informe sobre investimentos en seguridade da información e redes na UE , que brinda unha idea de como a Directiva NIS impactou o orzamento de seguridade cibernética dos operadores durante o ano pasado con inmersións profundas nos sectores de enerxía e saúde.
O informe analiza os datos recompilados dos Operadores de Servizos Esenciais (OES) e dos Provedores de Servizos Dixitais (DSP) identificados na Directiva da Unión Europea sobre Redes e Sistemas de Seguridade da Información (Directiva NIS). A análise busca comprender se eses operadores investiron os seus orzamentos de maneira diferente durante o último ano para cumprir cos novos requisitos establecidos polo texto lexislativo.
Parámetros contextuales que enmarcan a análise
O informe inclúe unha análise que chega a máis de 1000 operadores nos 27 Estados membros da UE. Os resultados relacionados mostran que a proporción do orzamento de tecnoloxía da información (TI) dedicado á seguridade da información (SE) parece ser menor, en comparación cos achados do ano pasado, caendo do 7,7 % ao 6,7 %.
Estes números deben concibirse como unha descrición xeral do gasto en seguridade da información nunha variada tipoloxía de sectores estratéxicos. En consecuencia, continxencias macroeconómicas específicas como o COVID19 poden influír na resultados media.
Cales son os achados crave?
-
A Directiva NIS, outras obrigas regulatorias e o panorama de ameazas son os principais factores que afectan os orzamentos de seguridade da información;
-
Os grandes operadores invisten 120 000 EUR en Cyber Threat Intelligence (CTI) en comparación cos 5 500 EUR das pemes, mentres que os operadores con SOC totalmente internos ou insourced gastan ao redor de 350 000 EUR en CTI, o que supón un 72 % máis que o gasto dos operadores cun sistema híbrido. COS;
-
Os sectores da saúde e a banca soportan o custo máis alto entre os sectores críticos en caso de incidentes importantes de ciberseguridade, cun custo directo medio dun incidente nestes sectores que ascende a 300 000 EUR;
-
O 37% dos Operadores de Servizos Esenciais e Provedores de Servizos Dixitais non opera un SOC;
-
Para o 69% a maioría dos seus incidentes de seguridade da información son causados por vulnerabilidades en produtos de software ou hardware, sendo o sector saúde o que declara o maior número de tales incidentes;
-
O seguro cibernético caeu ao 13% en 2021 alcanzando un baixo 30% en comparación con 2020;
-
Só o 5% das pemes subscriben ciberseguros;
-
O 86% ten implementadas políticas de xestión de riscos de terceiros.
Achados crave dos sectores de Saúde e Enerxía
Desde unha perspectiva global, os investimentos en TIC para o sector da saúde parecen verse moi afectadas pola Covid-19, xa que moitos hospitais buscan tecnoloxías para expandir os servizos de atención da saúde para que se presten máis aló dos límites xeográficos dos hospitais. Aínda así, os controis de ciberseguridade seguen sendo unha prioridade principal para o gasto co 55% dos operadores de saúde que buscan un maior financiamento para as ferramentas de ciberseguridade. O 64% dos operadores de saúde xa recorren a dispositivos médicos conectados e o 62% xa implementou unha solución de seguridade específica para dispositivos médicos. Só o 27% dos OES enquisados no sector teñen un programa de defensa de ransomware dedicado e o 40% deles non teñen un programa de concientización de seguridade para o persoal que non é de TI.
Os operadores de petróleo e gas parecen priorizar a ciberseguridade con investimentos que aumentan a unha taxa do 74%. O sector da enerxía mostra unha tendencia nos investimentos que pasan da infraestrutura herdada e os centros de datos aos servizos na nube. Con todo, o 32% dos operadores neste sector non teñen un só proceso de Tecnoloxía de Operación (OT) crítico monitoreado por un SOC. OT e TI están cubertos por un só SOC para o 52% de OES no sector enerxético.
O fondo e o contexto
O obxectivo da Directiva sobre seguridade de redes e sistemas de información ( Directiva NIS ) é lograr un alto nivel común de ciberseguridade en todos os Estados membros. Un do tres alicerces da Directiva NIS é a implementación da xestión de riscos e as obrigas de información para OES e DSP.
Os OES brindan servizos esenciais en sectores estratéxicos de enerxía (electricidade, petróleo e gas), transporte (aéreo, ferroviario, acuático e viario), banca, infraestruturas do mercado financeiro, saúde, abastecemento e distribución de auga potable e infraestrutura dixital (puntos de intercambio de Internet, provedores de servizos do sistema de nomes de dominio, rexistros de nomes de dominio de nivel superior).
Os DSP operan nunha contorna en liña, a saber, mercados en liña, motores de procura en liña e servizos de computación na nube. O informe investiga como os operadores invisten en ciberseguridade e cumpren cos obxectivos da Directiva NIS. Tamén brinda unha descrición xeral da situación en relación con aspectos como a dotación de persoal de seguridade de TI, os seguros cibernéticos e a organización da seguridade da información en OES e DSP.
Documentos relacionados:
Fonte orixinal da noticia
- Seguridade e Protección de Datos