" /> PAe - Una anàlisi d'ENISA confirma que la inversió en ciberseguretat creix però preocupa la gestió de vulnerabilitats
accesskey_mod_content

Una anàlisi d'ENISA confirma que la inversió en ciberseguretat creix però preocupa la gestió de vulnerabilitats

  • Escoltar
  • Copiar
  • Imprimir PDF
  • Compartir

17 novembre 2023

L'informe "NIS Investments", publicat per l'Agència de la Unió Europea per a la Ciberseguretat (ENISA), confirma que la inversió segueix creixent, però destaca la importància de la gestió de vulnerabilitats.

El principal -i més alarmant- dada que revela l'informe NIS Investments 2023(Obre en nova finestra) , recentment publicat per l'Agència Europea de Ciberseguretat (ENISA), és que, malgrat un augment del 25 % del cost dels incidents cibernètics greus en 2022 en comparació amb 2021, la inversió en ciberseguretat per part dels operadors de la UE en l'àmbit d'aplicació de la Directiva SRI solament experimenta un lleuger augment. Parlem de tan sol un 0,4 % del pressupost informàtic dedicat a aquest camp, 

No obstant això, si les organitzacions s'inclinen per destinar més pressupost a la ciberseguretat, el 47% del total de les organitzacions enquestades no planeja contractar equivalents a temps complet (FTE) de seguretat de la informació en els propers dos anys. A més, el 83% d'aquestes organitzacions afirmen tenir dificultats de contractació en almenys un domini de la seguretat de la informació. Aquests problemes de contractació que sorgeixen en l'informe podrien ser un dels factors a l'hora de gestionar les vulnerabilitats.

De fet, una anàlisi sobre l'aplicació de pegats als actius crítics de TU i OT en el sector del transport mostra que el 51% de les organitzacions del sector del transport necessiten un mes per apedaçar les vulnerabilitats crítiques i el 21% necessiten un temps d'entre 1 mes i sis mesos. Solament el 28% de les organitzacions enquestades corregeixen vulnerabilitats crítiques en actius crítics en una setmana.

Objectiu de l'informe sobre la inversió en ciberseguretat

El nou informe investiga com els operadors inverteixen en ciberseguretat i compleixen amb els objectius de la Directiva SRI. Les dades, recopilats d'un total de 1 080 operadors de serveis essencials (OES) i proveïdors de serveis digitals (DSP) dels 27 Estats membres de la UE, s'apliquen a l'any de referència 2022.

Abast de l'informe

A l'efecte de l'anàlisi publicada avui, l'enquesta realitzada es va centrar en l'OES i DSP identificats en la Directiva de la Unió Europea  sobre sistemes de seguretat de les xarxes i de la informació (Directiva(Obre en nova finestra)  NIS). L'objectiu de l'informe era identificar com les organitzacions inverteixen en ciberseguretat en relació amb l'objectiu de complir amb els requisits establerts per la Directiva NIS inicial.

No obstant això, el concepte d'inversió també s'estén a l'element humà. 2023 és l'Any Europeu de les Capacitats. És per això que es va posar l'accent principalment en el tema de les habilitats/habilitats de ciberseguretat entre els OES i DSP i en la contractació de personal de ciberseguretat i l'equilibri de gènere.

Per tant, l'informe aprofundeix en la dotació de personal de seguretat informàtica i l'organització de la seguretat de la informació per part d'OES i DSP, amb especial atenció al sector del transport.

Principals conclusions

  • La part del pressupost de TU dels OES/DSP dedicada a la ciberseguretat va aconseguir el 7,1% en 2022, la qual cosa representa un augment del 0,4% en comparació de 2021;
  • El 42% dels OES/DSP es van subscriure a una solució de ciberseguros dedicada en 2022, la qual cosa representa un augment del 30% pel que fa a 2021. Així i tot, solament el 13% de les pimes se subscriuen a un segur/segur cibernètic;
  • Els OES/DSP destinen l'11,9 % dels seus ETC de TU a la seguretat de la informació (SI), la qual cosa suposa un descens del 0,1 %
  • Els OES/DSP empren a una mitjana del 11% de les dones en els Etc. Amb una mitjana del zero per cent, la majoria de les organitzacions enquestades no empren a cap dona com a part de les seves ETC;
  • El 47% dels OES o DSP no planegen contractar SI FTE en els propers dos anys.
  • Les organitzacions que planegen contractar FTE de seguretat de la informació en els propers dos anys tenen com a objectiu contractar 2 FTE, amb una mitjana de 4 FTE, però el 83% de les organitzacions enquestades afirmen dificultats de contractació en almenys un domini de seguretat de la informació.
  • La Directiva SRI és el principal motor de les inversions en ciberseguretat pel 55 % de les OES en el sector del transport;
  • El 51% de les organitzacions de transport gestionen la seguretat OT amb la mateixa unitat o personal que la ciberseguretat informàtica.

Gestió de vulnerabilitats

La gestió de vulnerabilitats descriu el procés per identificar i avaluar el risc associat de vulnerabilitats de seguretat amb la finalitat de resoldre la causa abans que aquestes puguin ser explotades o reduir de forma intel·ligent el risc de la mateixa mitjançant la implementació de mesures de mitigació adequades.

La gestió de vulnerabilitats i la garantia que els pegats estiguin disponibles protegeix als usuaris finals i ajuda a garantir que la seguretat s'apliqui al llarg de tot el cicle de vida de qualsevol producte. L'edició de 2022 de l'informe NIS Investments va revelar que pel 46 % de les organitzacions enquestades es triga més d'1 mes a apedaçar les vulnerabilitats crítiques. La millora de la interoperabilitat, l'automatització i la racionalització dels processos per a l'intercanvi d'informació pot contribuir en gran manera a garantir la divulgació de vulnerabilitats. Al mateix temps, els proveïdors han de comptar amb les eines, els processos i les persones adequades per implementar pràctiques de seguretat per disseny amb la finalitat de reduir el risc per als usuaris, mentre que les organitzacions són responsables de reduir el temps entre la divulgació de vulnerabilitats i la seva correcció en habilitar eines per a l'intercanvi automatitzat d'informació sobre vulnerabilitats.

Coordinación de la vulnerabilidad de la UE y base de datos sobre vulnerabilidades

La SRI 2 establece un marco básico con agentes clave responsables sobre la divulgación coordinada de vulnerabilidades para las vulnerabilidades recién descubiertas en toda la UE y crea una base de datos de vulnerabilidades de la UE para vulnerabilidades conocidas públicamente en productos y servicios de TIC, que será gestionada y mantenida por la Agencia de la UE para la Ciberseguridad (ENISA). La combinación de los esfuerzos nacionales y de la UE constituirá la base de un ecosistema maduro de divulgación de vulnerabilidades dentro de la UE. Es importante destacar que estas iniciativas contribuirán a mejorar el panorama de la gestión de la vulnerabilidad.

El marc de la política de ciberseguretat de la UE inclou una sèrie d'expedients de polítiques propostes. Entre elles es troben la Llei de Ciberresiliencia (CRA) i la Llei de Cibersolidaridad (CSoA), que inclouen disposicions que proposen seguir millorant la gestió de la vulnerabilitat en la UE, com a mesures addicionals que garanteixin la qualitat dels productes i serveis que contribuiran a l'aplicació dels aspectes de seguretat al llarg de tot el cicle de vida del producte.

El context de la Directiva sobre la seguretat de les xarxes i sistemes d'informació

El objetivo de la Directiva sobre la seguridad de las redes y sistemas de información ( Directiva SRI(Obre en nova finestra) ) es lograr un elevado nivel común de ciberseguridad en todos los Estados miembros. La Directiva revisada, conocida como SRI 2, que entró en vigor el 16 de enero de 2023 amplió el ámbito de aplicación a nuevos sectores económicos.

Un dels tres pilars de la Directiva SRI és l'aplicació de les obligacions de gestió de riscos i d'informació per OES i DSP.

Los OES prestan servicios esenciales en sectores estratégicos de la energía (electricidad, petróleo y gas), el transporte (aéreo, ferroviario, acuático y por carretera), la banca, las infraestructuras de los mercados financieros, la salud, el suministro y la distribución de agua potable y las infraestructuras digitales (puntos de intercambio de Internet, proveedores de servicios de sistemas de nombres de dominio, registros de nombres de dominio de alto nivel).

Els DSP operen en un entorn en línia, és a dir, mercats en línia, motors de cerca en línia i serveis de computació en el núvol.

L'informe investiga com els operadors inverteixen en ciberseguretat i compleixen amb els objectius de la Directiva SRI. També ofereix una visió general de la situació en relació amb aspectes tals com la dotació de personal de seguretat informàtica, els ciberseguros i l'organització de la seguretat de la informació en OES i DSP.

Enllaços d'interès

Font original de la notícia(Obre en nova finestra)

  • Seguretat i Protecció de Dades