El principal -i més alarmant- dada que revela l'informe NIS Investments 2023
, recentment publicat per l'Agència Europea de Ciberseguretat (ENISA), és que, a pesar d'un augment del 25 % del cost dels incidents cibernètics greus en 2022 en comparació amb 2021, la inversió en ciberseguretat per part dels operadors de la UE en l'àmbit d'aplicació de la Directiva SRI solament experimenta un lleuger augment. Parlem de tan sol un 0,4 % del pressupost informàtic dedicat a este camp,
No obstant açò, si les organitzacions s'inclinen per destinar més pressupost a la ciberseguretat, el 47% del total de les organitzacions enquestades no planeja contractar equivalents a temps complet (FTE) de seguretat de la informació en els pròxims dos anys. A més, el 83% d'estes organitzacions afirmen tindre dificultats de contractació en almenys un domini de la seguretat de la informació. Estos problemes de contractació que sorgixen en l'informe podrien ser un dels factors a l'hora de gestionar les vulnerabilitats.
De fet, una anàlisi sobre l'aplicació de pegats als actius crítics de TU i OT en el sector del transport mostra que el 51% de les organitzacions del sector del transport necessiten un mes per a apedaçar les vulnerabilitats crítiques i el 21% necessiten un temps d'entre 1 mes i sis mesos. Solament el 28% de les organitzacions enquestades corregixen vulnerabilitats crítiques en actius crítics en una setmana.
Objectiu de l'informe sobre la inversió en ciberseguretat
El nou informe investiga com els operadors invertixen en ciberseguretat i complixen amb els objectius de la Directiva SRI. Les dades, recopilats d'un total de 1 080 operadors de servicis essencials (OES) i proveïdors de servicis digitals (DSP) dels 27 Estats membres de la UE, s'apliquen a l'any de referència 2022.
Abast de l'informe
A l'efecte de l'anàlisi publicada hui, l'enquesta realitzada es va centrar en l'OES i DSP identificats en la Directiva de la Unió Europea sobre sistemes de seguretat de les xarxes i de la informació (Directiva NIS). L'objectiu de l'informe era identificar com les organitzacions invertixen en ciberseguretat en relació amb l'objectiu de complir amb els requisits establits per la Directiva NIS inicial.
No obstant açò, el concepte d'inversió també s'estén a l'element humà. 2023 és l'Any Europeu de les Capacitats. És per açò que es va posar l'accent principalment en el tema de les habilitats/habilitats de ciberseguretat entre els OES i DSP i en la contractació de personal de ciberseguretat i l'equilibri de gènere.
Per tant, l'informe aprofundix en la dotació de personal de seguretat informàtica i l'organització de la seguretat de la informació per part d'OES i DSP, amb especial atenció al sector del transport.
Principals conclusions
- La part del pressupost de TU dels OES/DSP dedicada a la ciberseguretat va aconseguir el 7,1% en 2022, la qual cosa representa un augment del 0,4% en comparació de 2021;
- El 42% dels OES/DSP es van subscriure a una solució de ciberseguros dedicada en 2022, la qual cosa representa un augment del 30% respecte de 2021. Així i tot, solament el 13% de les pimes se subscriuen a un segur cibernètic;
- Els OES/DSP destinen l'11,9 % dels seus ETC de TU a la seguretat de la informació (SI), la qual cosa suposa un descens del 0,1 %
- Els OES/DSP empren a una mitjana del 11% de les dones en els Etc. Amb una mitjana del zero per cent, la majoria de les organitzacions enquestades no empren a cap dona com a part de les seues ETC;
- El 47% dels OES o DSP no planegen contractar SI FTE en els pròxims dos anys.
- Les organitzacions que planegen contractar FTE de seguretat de la informació en els pròxims dos anys tenen com a objectiu contractar 2 FTE, amb una mitjana de 4 FTE, però el 83% de les organitzacions enquestades afirmen dificultats de contractació en almenys un domini de seguretat de la informació.
- La Directiva SRI és el principal motor de les inversions en ciberseguretat per al 55 % de les OES en el sector del transport;
- El 51% de les organitzacions de transport gestionen la seguretat OT amb la mateixa unitat o personal que la ciberseguretat informàtica.
Gestió de vulnerabilitats
La gestión de vulnerabilidades describe el proceso para identificar y evaluar el riesgo asociado de vulnerabilidades de seguridad con el fin de resolver la causa antes de que estas puedan ser explotadas o reducir de forma inteligente el riesgo de la misma mediante la implementación de medidas de mitigación adecuadas.
La gestió de vulnerabilitats i la garantia que els pegats estiguen disponibles protegix als usuaris finals i ajuda a garantir que la seguretat s'aplique al llarg de tot el cicle de vida de qualsevol producte. L'edició de 2022 de l'informe NIS Investments va revelar que per al 46 % de les organitzacions enquestades es tarda més d'1 mes a apedaçar les vulnerabilitats crítiques. La millora de la interoperabilitat, l'automatització i la racionalització dels processos per a l'intercanvi d'informació pot contribuir en gran mesura a garantir la divulgació de vulnerabilitats. Al mateix temps, els proveïdors han de comptar amb les ferramentes, els processos i les persones adequades per a implementar pràctiques de seguretat per disseny amb la finalitat de reduir el risc per als usuaris, mentre que les organitzacions són responsables de reduir el temps entre la divulgació de vulnerabilitats i la seua correcció en habilitar ferramentes per a l'intercanvi automatitzat d'informació sobre vulnerabilitats.
Coordinació de la vulnerabilitat de la UE i base de dades sobre vulnerabilitats
La SRI 2 establece un marco básico con agentes clave responsables sobre la divulgación coordinada de vulnerabilidades para las vulnerabilidades recién descubiertas en toda la UE y crea una base de datos de vulnerabilidades de la UE para vulnerabilidades conocidas públicamente en productos y servicios de TIC, que será gestionada y mantenida por la Agencia de la UE para la Ciberseguridad (ENISA). La combinación de los esfuerzos nacionales y de la UE constituirá la base de un ecosistema maduro de divulgación de vulnerabilidades dentro de la UE. Es importante destacar que estas iniciativas contribuirán a mejorar el panorama de la gestión de la vulnerabilidad.
El marc de la política de ciberseguretat de la UE inclou una sèrie d'expedients de polítiques propostes. Entre elles es troben la Llei de Ciberresiliencia (CRA) i la Llei de Cibersolidaridad (CSoA), que inclouen disposicions que proposen seguir millorant la gestió de la vulnerabilitat en la UE, com a mesures addicionals que garantisquen la qualitat dels productes i servicis que contribuiran a l'aplicació dels aspectes de seguretat al llarg de tot el cicle de vida del producte.
El context de la Directiva sobre la seguretat de les xarxes i sistemes d'informació
L'objectiu de la Directiva sobre la seguretat de les xarxes i sistemes d'informació ( Directiva SRI ) és aconseguir un elevat nivell comú de ciberseguretat en tots els Estats membres. La Directiva revisada, coneguda com SRI 2, que va entrar en vigor el 16 de gener de 2023 va ampliar l'àmbit d'aplicació a nous sectors econòmics.
Un dels tres pilars de la Directiva SRI és l'aplicació de les obligacions de gestió de riscos i d'informació per a OES i DSP.
Els OES presten servicis essencials en sectors estratègics de l'energia (electricitat, petroli i gas), el transport (aeri, ferroviari, aquàtic i per carretera), la banca, les infraestructures dels mercats financers, la salut, el subministrament i la distribució d'aigua potable i les infraestructures digitals (punts d'intercanvi d'Internet, proveïdors de servicis de sistemes de noms de domini, registres de noms de domini d'alt nivell).
Els DSP operen en un entorn en línia, és a dir, mercats en línia, motors de cerca en línia i servicis de computació en el núvol.
L'informe investiga com els operadors invertixen en ciberseguretat i complixen amb els objectius de la Directiva SRI. També oferix una visió general de la situació en relació amb aspectes tals com la dotació de personal de seguretat informàtica, els ciberseguros i l'organització de la seguretat de la informació en OES i DSP.
Enllaços d'interés
Font original de la notícia
- Seguretat i Protecció de Dades
