Crece la confianza de las empresas en su personal de seguridad
Una encuesta de la Fundación MITRE Engenuity concluye que las empresas confían mucho menos en el soporte de sus proveedores de servicios de seguridad gestionados (MSSP).
Las empresas confían mucho menos en el soporte de sus MSSP (proveedores de servicios de seguridad gestionados) que en sus capacidades internas, según una encuesta reciente encargada por la fundación de I+D MITRE Engenuity.
Para entender cómo utilizan las empresas los servicios de seguridad gestionados, MITRE Engenuity ha encargado una encuesta a Cybersecurity Insiders, una comunidad global online de profesionales de la ciberseguridad. La encuesta recabó la opinión de 311 profesionales de la seguridad informática de sectores tales como el tecnológico, el sanitario, el minorista, el gubernamental y el financiero.
Aunque el 68% de los encuestados utilizaba MSSP/MDR (detección y respuesta gestionadas), casi la mitad (47%) expresó poca confianza en la tecnología y el personal de los servicios gestionados, según la encuesta. Además, el 44% confirmó la falta de confianza en los procesos de seguridad de los servicios gestionados.
"Según los resultados de esta encuesta, está claro que el nivel de confianza de los participantes en sus servicios gestionados es mucho menor en comparación con el personal y la tecnología de seguridad internos, en los que el 78% declaró sentirse confiado", ha declarado Holger Schulze, director general de Cybersecurity Insiders.
En consecuencia, para evaluar mejor las capacidades de los proveedores de servicios y obtener una sensación de confianza en ellos, según el MITRE, las empresas deberían aplicar a los MSSP el marco de evaluación de la seguridad ATT&CK (adversarial tactics, techniques, and common knowledge), que suele utilizarse para la evaluación de los proveedores de puntos finales.
De hecho, el 65% de los encuestados confirmó que utilizan un enfoque de defensa "informado de las amenazas" en sus esfuerzos de seguridad, aprovechando las bases de datos de conocimiento de las técnicas y la tecnología de los adversarios para protegerse contra los ciberataques, y cerca de dos tercios de ellos utilizan las evaluaciones ATT&CK para valorar sus decisiones de proveedores de puntos finales, según el informe.
Es más, una parte importante de los participantes ha adoptado enfoques de pruebas ofensivas al incorporar la tecnología de seguridad. Entre ellos, el 39% utiliza herramientas de simulación de infracciones y ataques, el 34% recurre a servicios externos de red teaming y el 30% sigue con el red teaming interno. El red teaming se refiere al proceso de simulación de todo el ciclo de vida de un ciberataque en el mundo real. Mientras que el 59% de los encuestados utiliza las pruebas ofensivas en el proceso de selección de productos, sólo el 53% utiliza este tipo de pruebas en los servicios.
Un hallazgo más "alarmante", según el informe de la encuesta, es que el 28% de los encuestados sigue un enfoque del tipo "ninguna noticia es una buena noticia" cuando se trata de validar su rendimiento de seguridad, en lugar de realizar pruebas ofensivas.
Aunque los encuestados expresaron más confianza en sus propios equipos de seguridad que en los proveedores de servicios de terceros, también transmitieron dudas sobre los equipos internos.
Así, el 42% de los encuestados señaló la falta de formación como una de las razones principales de su falta de confianza en las capacidades de seguridad de sus propias organizaciones. El 38% y el 35% achaca sus dudas a la contratación ineficiente y a la falta de tecnología, respectivamente.
