El Estado de Seguridad de las empresas en España …...El Estado de euridad de las empresas en...

enterprise

El Estado de Seguridad de las empresas en España según las propias compañías

Índice

Introducción

1. ¿Qué es más alto, el nivel de concienciación o de inversión de las empresas?

Key findings de este informe

2. El dramático aumento del Malware y los vectores de ataque más comunes en las empresas.

3. Más de la mitad de las empresas españolas realizan auditorías de seguridad cada año.

4. La importancia de una plataforma de control de acceso a la red corporativa.

Sectores encuestados

La solución

Principales resultados de la encuesta

Anexo

3

5

6

7

8

10

11

13

12

14

IntroducciónEn el marco de las XIII Jornadas STIC organizadas por el CCN-CERT (Centro Criptológico Nacional) el pasado mes de diciembre de 2019, se abordaron las últimas tendencias en amenazas, ataques, retos tecnológicos y prevención en materia de ciberseguridad. En este evento, que congregó a 3.500 asistentes, se contó con la participación tanto de los expertos como de las empresas líderes en seguridad digital. Dado este contexto, Open Cloud Factory, como una de las empresas referentes en el mayor evento de ciberseguridad de España, decidió realizar una encuesta entre los Responsables de Seguridad de la Información de diferentes sectores y que nos ha permitido extraer información muy valiosa: ahora podemos determinar con precisión el estado de la seguridad digital tanto en el sector público como en el privado, así como el escenario que augura este 2020.

Nuestro principal objetivo cuando decidimos liderar esta encuesta de situación del sector era presentar las conclusiones de la encuesta de forma clara y objetiva. Uno de los pilares en Open Cloud Factory, como fabricante de seguridad, es el utilizar datos y claridad para transmitir confianza en materia de seguridad digital. No podíamos realizar este informe sin buscar los mismos objetivos. Estos datos no sólo reflejan un nivel de concienciación sobre seguridad digital a nivel de negocio muy elevado, sino que permiten, además, determinar pautas y extraer tendencias de mercado.

De acuerdo con Google, tres de cada cuatro empresas españolas sufrieron un ciberataque en 2019. Al mismo tiempo, un estudio de Willis Towers Watson estima la media de pérdidas anuales para una compañía a causa de ciberataques en torno a 5 millones de euros. En este contexto, las empresas están definiendo hitos y objetivos en su estrategia de seguridad, eligiendo los desafíos y soluciones que trae consigo el auge y explotación de la transformación digital en las compañías.

Particularmente, nos enorgullece poder aportar información clara sobre las tendencias y situación de tu com-pañía y su competencia. Liderar esta combinación de respuestas por parte de los Responsables de Seguridad del país y extraer conclusiones útiles está muy alineado con algunos de los logros que hemos conseguido en los últimos meses en Open Cloud Factory: además de participar como una de las empresas referentes nacionales en las Jornadas organizadas por el CCN-CERT, hemos logrado ser parte del Catálogo de Productos STIC de este mismo organismo, del que sólo forman parte aquellas soluciones digitales con unas garantías de seguridad contrastadas para organismos de sector público, así como entidades privadas. Adicionalmente, hemos logrado la certificación Common Criteria y nos consolidamos como único fabricante europeo que aparece en el Market Guide de Gartner for NAC durante dos años consecutivos. Todo esto nos hace trabajar en nuevas formas de seguir innovando y ayudando a las compañías, y este informe es un fiel reflejo de ello.

Disfruta la lectura de este informe. Desde Open Cloud Factory no nos cabe duda de que

será útil para ti y tu organización.

Albert Estrada

CEO y Fundador Open Cloud Factory

4El Estado de Seguridad de las empresas en España según las propias compañías

Key Findings de este informe

80% de las empresas consideranla seguridad digital como uno de los asuntos de mayor importancia para su negocio.

21% El tercer vector de ataque más común es la red corporativa, donde van dirigidos el 21% de los ataques.

95% de las empresas considera que una plataforma NAC (Network Access Control) es una pieza fundamental para su esquema de seguridad.

60% de las empresas realizan auditorías relacionadas con la tecnología corporativa cada año.

40%de las empresas han sufrido algún tipo de ciberataque durante el último año. Más de una tercera parte de los ataques se producen a través de ingeniería social.


38%Tecnología

10%Educación

37%AdministraciónPública

15%Servicios, Finanzas, Manufacturación y Otros

Sectoresencuestados

Sectores que han participado en la encuesta.


Principales resultados de la encuesta

¿Cuentan las empresas con un nivel de seguridad digital aceptable?

A continuación, presentaremos en este informe una serie de datos que permiten percibir una visión global del nivel de seguridad digital en las empresas españolas:

Al mismo tiempo, se presentará un resumen de aquellos procesos más comunes relacionados con la adopción de tecnologías y las prácticas más recurrentes dentro de los departamentos IT de las empresas.

• ¿Es común el concepto de seguridad digital dentro de las empresas?

• ¿Cómo de importante se considera?


En un contexto 100% digital como el que vivimos en la actualidad, donde las personas interactuamos con dispositivos IoT todo el tiempo (tanto en nuestros lugares de trabajo como fuera de ellos), los usuarios percibimos los riesgos a los que se expone la información durante gran parte del día.

Esta percepción del riesgo es especialmente relevante en los entornos corporativos, donde el interés por la protección del dato es mayor,

ya que el nivel de accesibilidad a la información corporativa y sus riegos son bien conocidos. Así, el 80% de las empresas consideran que la seguridad digital es uno de los asuntos de mayor importancia para su negocio. Esto tiene que ver principalmente con la implantación y uso a nivel masivo de las tecnologías de la información y, por tanto, su consolidación como aliado estratégico de negocio para la mayoría de las empresas.

1. ¿Qué es más alto, el nivel de concienciación o de inversión de las empresas?

47% de las empresas encuestadas consideran que el presupuesto asignado a seguridad digital se encuentra por debajo de los límites aceptables.

Esta cifra, nos permite abstraer que el nivel de concienciación sobre los riesgos asociados a la compañía es mayor que el esfuerzo financiero corporativo destinado a mitigación y contención de los riesgos e impacto de un ciberataque.


La concienciación asociada al ciber riesgo, junto con la necesidad imperativa del uso de la tecnología e internet en el día a día del negocio, redunda en la asignación de una partida presupuestal específica para seguridad digital. A menudo, dicho presupuesto asignado se distribuye dentro del departamento de IT, se separa en distintas partidas y se asigna nuevamente de acuerdo con las necesidades y los nuevos desafíos del negocio que impactan la infraestructura digital que los soporte.

Así, de acuerdo con los resultados de la encues-ta, encontramos que el 30% de los proyectos de IT en las empresas están relacionados con renovaciones tecnológicas, lo que compro-mete una tercera parte del presupuesto total del departamento de IT. Podemos entonces

decir que un tercio del presupuesto asignado a IT de las compañías se utiliza en la renovación de herramientas tecnológicas que bien sea por servicio degradado o pérdida de soporte EoL o EoS, se convierten en obsoletas aun cuando cumplen una misión crítica en la red corporativa y, por consiguiente, deben ser reemplazadas por unas que cumplan como mínimo con la misma función. El gasto de esta parte del presupuesto deja hace que los departamentos cuenten con una porción reducida de dinero y, por ello, con algunas dificultades para valorar la implemen-tación de nuevas herramientas o nuevas funcio-nes: así, a un porcentaje alto de las empresas les cuesta afrontar la evaluación de plataformas de vanguardia que se ocupen de los últimos desafíos y ventajas tecnológicas disponibles en el mercado.

¿Con qué área está relacionado el último proyecto de Nueva Tecnología implementado en su empresa?

1 2 3 4 5

Renovacióntecnológica

Database Endpoint Red Cloud

30% 16% 16% 15% 11%


2. El dramático aumento del Malware y los vectores de ataque más comunes en las empresas

En los últimos 10 años, las infecciones de malware se han incrementado hasta partir de 12.4 Millones a registrarse 812 Millones en 2018 (es decir, un 6666% más). La mayoría de las infecciones de malware se entregan vía correo electrónico. Al mismo tiempo, se crean 1,5 millones de páginas web al mes cuyo propósito es ser el instrumento de ataques de phishing.

En el sector finanzas, 2 de cada 3 empresas reportó un incremento en los ciberataques sufridos en 2018. Estas estadísticas de ries-go en el mundo digital, que no hacen más que crecer cada año, cada mes y cada día, son un fiel ejemplo de que el riesgo está cada vez más presente en las actividades relacionadas con plataforma digitales. En España, la situación no se aleja de tendencia mundial: el 40% de las empresas han sufrido ciberataques durante el último año. De acuerdo con la encuesta realizada, más de una tercera parte de los ataques son perpetrados través de ingeniería

social y el tercer objetivo más axacado es la red, estando el 21% de los ataques dirigidos a la red corporativa.

De acuerdo con el CNPIC en España, se ha registrado un incremento del 600% en los ciberataques en los últimos 4 años. Ligado a esto, también se ha hallado un incremento en las formas de contención de ataques. Es importante resaltar que la cadena de la seguridad se rompe por el eslabón más débil, así que se deben abordar medidas de seguridad en paralelo en búsqueda de la mitigación de riesgos para todos los vectores de ataque. Es tan importante realizar las jornadas de concien-ciación y difusión de conocimiento de ciberse-guridad entre los empleados de las empresas como implementar plataformas de control y seguridad digital en las redes corporativas. Solo de esta manera se logrará el aseguramiento de toda la superficie de ataque y se establecerá una línea base homogénea en los frentes expuestos al riesgo digital.

¿A través de qué vector de ataque?

37% 28% 21% 12%

1 2 3 4

Ingenieríasocial

Software Red Endpoint


3. Más de la mitad de las empresas españolas realizan auditorías de seguridad cada año

Con frecuencia, los CISOs y en general los departamentos IT ven la necesidad de adoptar un estándar de buenas prácticas para su departamento. Con ello, buscan establecer unos mínimos fundamentales de cumplimien-to que les permita operar su negocio de forma estandarizada, limitando principalmente los riesgos a los que se encuentra expuesta la información de la empresa. En el proceso de adopción de un estándar de gestión seguridad de la información, es necesario someter a las compañías a procesos de auditoría. Los están-dares en IT son de obligatorio cumplimiento en algunos sectores. Para estos casos, las auditorías realizadas son externas y programadas en determinados intervalos de tiempo, según disponga la ley.

Existen disponibles en el mercado varios marcos de buenas prácticas y estándares de seguridad, la mayoría con un enfoque de riesgo. En España aproximadamente un 60% de las empresas tienen auditorías relacionadas con IT cada año,

lo que evidencia además de la adopción de un estándar, la participación anual de las empresas en por lo menos un proceso de auditoría continua. Además de ello, es claro que, para aprobar los controles y las validaciones de un proceso de auditoría para la certificación de una norma de seguridad, es imperativo el uso de herramientas tecnológicas capaces de mitigar los riesgos y hallazgos, herramientas que se encuentren en la capacidad de soportar las directrices exigidas por la norma para concluir con un proceso de certificación exitoso.

España cuenta con su propio estándar, el Esquema Nacional de Seguridad, emitido en el real decreto 3/2010. Dicho estándar aplica para todos los entes de gobierno y aquellas empresas privadas que deseen contratar con entidades de gobierno. En la actualidad, la mitad de las empresas encuestadas tienen implementado el Esquema Nacional de Seguridad en sus departamentos de IT.

España cuenta con su propio estándar, el Esquema Nacional de Seguridad, emitido en el real decreto 3/2010. Dicho estándar aplica para todos los entes de gobierno y aquellas empresas privadas que deseen contratar con entidades de gobierno.

En la actualidad, la mitad de las empresas encuestadas tienen implementado el Esquema Nacional de Seguridad en sus departamentos de IT.


4. La importancia de una plataforma de control de acceso a la red corporativa

La oferta de herramientas de seguridad en el mercado es muy amplia. Estas soluciones tienen como objetivo proteger al menos una parte de la superficie de ataque de las empresas; sin embargo, existen plataformas fundamentales para el establecimiento de unas directrices básicas de seguridad en las corporaciones. Este es el caso de los firewalls, las herramientas de control de acceso, o los antivirus, entre otras.

Desde cualquier perspectiva, si nos basamos en los estándares de buenas prácticas conocidos, todos tienen en común apartados donde se definen las

directrices básicas de control de acceso; es el caso de las medidas de control de acceso expuestas en el marco operacional del ENS, el dominio de control de accesos bajo la ISO 27001, o la categoría de autenticación y control de acceso en la función de protección en NIST. Podemos entonces observar que las preocupaciones fundamentales de los departamentos IT, además de estar presentes en los estándares de seguridad conocidos, se encuentran soporta-dos tecnológicamente con herramientas que les permiten la certificación de una correcta gestión de la información en sus procesos de negocio.

95%

de las empresas considera que una solución NAC es unaherramienta fundamental para su esquema de seguridad.

20%

de las empresas considera deficiente el sistema de control de acceso implemen-tado en la actualidad en su compañía. Esa misma proporción considera escaso el control aplicado a la red de invitados.


OpenNAC Enterprise es la solución perfecta para la visibilidad, control y compliance de la red corporativa.

Una solución NAC (Network Access Control) de visibilidad y control es una pieza fundamental en las infraestructuras IT como indican cerca de la totalidad de empresas encuestadas (el 95% de las mismas). La implementación de una plataforma NAC para el control de acceso de red permite el aseguramiento de varios elementos en la superficie de ataque de las empresas. Una solución NAC completa podría gestionar no solo accesos en la red local, sino también

accesos en la red de invitados o accesos remotos vía VPN; incluso podría soportar la implementa-ción de más de un factor de autenticación para la validación de identidades. Es imperativo contar con una plataforma NAC en las empresas para empezar a establecer los controles base de una arquitectura de red segura, que se ajuste con los marcos y estándares de buenas prácticas más conocidos del mercado.

enterprise

95%de las empresas consideran que una plataforma de control deacceso a la red es una pieza fundamental en su esquema de seguridad.


La revolución 4.0, la masificación de dispositivos ioT ha incrementado de manera exponencial el uso de medios y servicios tecnológicos soportados sobre redes de corporativas, las infraestructuras de IT se convierten en activos fundamentales para cualquier negocio, y la ciberseguridad es un aliado estratégico de las empresas. Sin embargo, el primer paso para ejercer medidas de

seguridad en redes corporativas es conocer el entorno sobre el cual aplicaran dichas medidas, este conocimiento del entorno se consigue a través de la visibilidad, una vez conocemos nuestra red y la tipología de los dispositivos en ella podemos empezar a protegerla; es entonces la visibilidad la base de la seguridad de redes ya que no podemos proteger lo que no conocemos.

La visibilidad y el control de los activoses el control de seguridad Nº1 de la CIS *

*Center for Internet Security https://www.cisecurity.org

https://www.cisecurity.org


OpenNAC Enterprise es la única solución modular de visibilidad y control de acceso para redes corporativas, el enfoque modular permite principalmente una reducción de costes de implementación, procesos de despliegue mas rápidos y sencillos previniendo el impacto en entornos productivos durante la implantación.

OpenNAC Enterprise dispone de varios métodos pasivos para descubrir dispositivos tanto IT como OT, los métodos pasivos reducen impactos y tráfico adicional de red previniendo así sobrecarga o interrupción del negocio. Desde el proceso de descubrimiento, todos los activos de red y la información asociada es incluida en una CMDB, la información recopilada estará disponible para definir la clasificación de los dispositivos de acuerdo con las reglas de negocio definidas.

• Usa 802.1x y muchos otros mecanismos estándar para autenticar, autorizar y auditar; con / sin agente, port span, SNMP traps, Open ports.

• Se adapta a entornos de electrónica multivendor.• Brinda un punto central para la definición y ejecución

de políticas para el acceso a la red para usuarios, dispositivos y aplicaciones.

• Reduce los costos de administración y crea una postura de seguridad uniforme.

• Tiene la capacidad de orquestar plataformas de seguridad, de esta manera sacarás más provecho de tu inversión actual en seguridad, usando integraciones / información de terceros (SIEMs, NGFW, AVs, EDRs, MDMs..) para que las políticas tengan más contexto y compartir información de la solución con otras.

• Todas las capacidades y beneficios de openNAC Enterprise están alineadas con los marcos de referencia de buenas prácticas más utilizados en el mercado: (NIST, ISO 27001, IEC 62443), por lo que le resultará de gran utilidad para adaptar dichos estándares de forma rápida y efectiva.

Resumen del producto

ModularidadLa característica de modularidad reduce también los riesgos asociados a los procesos típicos de implementación de plataformas en la red. OpenNAC Enterprise esta compuesto por 6 módulos que cubren todas las características principales de una solución tradicional de NAC y agregan funcionalidades muy útiles para entornos corporativos.

16

25

Visibility

Network segmentation

Guest accesscontrol

Secure BYODadoption

Compliance

34

UniversalNetwork

Access Control


VISIBILIDAD

UNAC CONTROL DE ACCESO A LA RED UNIVERSAL

• Descubrimiento e inventariado del 100% de los dispositivos conectados a la red corporativa (Cuantificación de Activos de red)

• Perfilamiento y clasificación automática de cualquier tipo de dispositivo (Cualificación de Activos)

• Agrupaciones lógicas de dispositivo de acuerdo con directrices empresariales (Business Profiles)

• Capacidad de etiquetado 100% personalizable de los dispositivos conectados en la red.

• Comportamiento de red, flujos de comunicación, protocolos de red utilizados, estadísticas de comportamiento.

• Validación de identidades en redes cableadas, inalámbricas, VPN.

• Capacidad para integrar e implementar 2 factores de autenticación.

• Centralización de administración para políticas de acceso.

• Segregación de redes basado en parámetros 100% personalizables, identidad, departamento funcional, regla de negocio, etc.

• Reducción de superficie de ataque a través de microsegmentación.

• Integración con dispositivos de red como NGFW, Switches, etc.

• Aislamiento de dispositivos.

• Definición de perfiles mínimos de conexión a través de políticas para dispositivos de usuario.

• Aplicación inmediata de políticas de parchado para contención de ataques disruptivos y mitigación de vulnerabilidades.

• Evaluación del estado de cumplimiento de la configuración de los dispositivos de red.

• Auditoria de líneas base de seguridad para dispositivos de usuario y dispositivos de red.

• Agentes permanentes (personal) y solubles (terceros) para control granular EP”

• Permisos asociados a las identidades corporativas.• Movilidad de usuarios.• Políticas de seguridad aplicada a los dispositivos.

• Gestión de acceso a invitados a través de portal cautivo.

• Seguimiento y registro de actividad de invitados.• Requerimientos mínimos de conexión para invitados.

SEGMENTACIÓN DE RED

CUMPLIMIENTO

BYOD

GUEST

• Visibilidad, perfilamiento de activos industriales, agrupación de dispositivos de acuerdo con reglas de negocio.

• Creación y definición de reglas de perfilamiento 100% adaptables al negocio.

• Personalice la forma de monitorear su red, elija los gráficos y los datos ilustrados.

• Segmentación de red, aislamiento de dispositivos, protección de activos críticos de red, reducción de la superficie de ataque, para respuesta a incidentes de seguridad sin interrupciones.

• Identifique brechas de seguridad en dispositivos de usuario y dispositivos de red, evite incidentes de seguridad, genere informe de auditoría y trabaje en su mitigación.

• Despliegue OpenNAC Enterprise sobre máquinas virtuales, optimice el espacio de rack y escale fácilmente la solución.

• Use su actual infraestructura para enriquecer la información de red.

• Compre únicamente la característica que va a usar, ahorre dinero y optimice su presupuesto tecnológico.

Características principales

16El Estado de Seguridad de las empresas en España según las propias compañíasenterprise

Único fabricante europeo de tecnología NAC incluido en Gartner Market Guide.

Incluido en el catálogo de productos de Seguridad de las Tecnologías de la información y la comunicación del Centro Criptológico Nacional, Ministerio de Defensa - Gobierno de España.

Plataforma certificada en Common Criteria 3.1 release 5 por parte del Organismo de Certificación del Centro Criptológico Nacional OC-CCN de España.

Reconocimientos

Contacta con nosotros

opencloudfactory.com

Twitter

Linkedin

YouTube

SEDE PRINCIPAL Calle Segundo Mata, 6 Planta 1 Oficina 4B Pozuelo de Alarcón, 28224 Madrid

OCF Industrial CybersecurityC/ Gran Vía Don Diego López De Haro, 19-21 planta 2ª 48001 Bilbao

SPAIN SPAIN

Market Place Tower Av. Dr. Chucri Zaidan, 9209º andar Cordeiro, São Paulo, CEP: 04583-904

BRAZIL

Centro de DesarrolloBarcelona. Carrer Sant Leopold 101, oficina 109, Terrassa, 08221

Presidente Masaryk 111 Piso 1, Miguel HidalgoPolanco V Sección11560 Ciudad de México

SPAIN

MEXICO

Independence Wharf 470Atlantic AvenueBoston, Massachusetts02210

USA

+34 91 614 53 22

http://www.opencloudfactory.com

https://twitter.com/opennac?lang=es

https://www.linkedin.com/company/open-cloud-factory/

https://www.youtube.com/channel/UCVUBifD25pq5pHMYPYZlr3g

El Estado de Seguridad de las empresas en España …...El Estado de euridad de las empresas en...

Documents

Transcript of El Estado de Seguridad de las empresas en España …...El Estado de euridad de las empresas en...