Un análisis de ENISA confirma que la inversión en ciberseguridad crece, pero preocupa la gestión de vulnerabilidades

El principal -y más alarmante- dato que revela el informe NIS Investments 2023, recientemente publicado por la Agencia Europea de Ciberseguridad (ENISA), es que, a pesar de un aumento del 25 % del coste de los incidentes cibernéticos graves en 2022 en comparación con 2021, la inversión en ciberseguridad por parte de los operadores de la UE en el ámbito de aplicación de la Directiva SRI solo experimenta un ligero aumento. Hablamos de tan solo un 0,4 % del presupuesto informático dedicado a este campo, 

Sin embargo, si las organizaciones se inclinan por destinar más presupuesto a la ciberseguridad, el 47% del total de las empresas encuestadas no planea contratar equivalentes a tiempo completo (FTE) de seguridad de la información en los próximos dos años. Además, el 83% de estas compañías afirman tener dificultades de contratación en al menos un dominio de la seguridad de la información. Estos problemas de contratación que surgen en el informe podrían ser uno de los factores a la hora de gestionar las vulnerabilidades.

De hecho, un análisis sobre la aplicación de parches a los activos críticos de TI y OT en el sector del transporte muestra que el 51% de las organizaciones del sector del transporte necesitan un mes para parchear las vulnerabilidades críticas y el 21% necesitan un tiempo de entre 1 mes y seis meses. Solo el 28% de las empresas encuestadas corrigen vulnerabilidades críticas en activos críticos en una semana.

Objetivo del informe sobre la inversión en ciberseguridad

El nuevo informe investiga cómo los operadores invierten en ciberseguridad y cumplen con los objetivos de la Directiva SRI. Los datos, recopilados de un total de 1 080 operadores de servicios esenciales (OES) y proveedores de servicios digitales (DSP) de los 27 Estados miembros de la UE, se aplican al año de referencia 2022.

Alcance del informe

A los efectos del análisis publicado hoy, la encuesta realizada se centró en la OES y DSP identificados en la Directiva de la Unión Europea  sobre sistemas de seguridad de las redes y de la información (Directiva(Abre en nueva ventana)  NIS). El objetivo del informe era identificar cómo las organizaciones invierten en ciberseguridad en relación con el objetivo de cumplir con los requisitos establecidos por la Directiva NIS inicial.

Sin embargo, el concepto de inversión también se extiende al elemento humano. 2023 es el Año Europeo de las Capacidades. Es por eso que se hizo especial hincapié en el tema de las habilidades de ciberseguridad entre los OES y DSP y en la contratación de personal de ciberseguridad y el equilibrio de género.

Por lo tanto, el informe profundiza en la dotación de personal de seguridad informática y la organización de la seguridad de la información por parte de OES y DSP, con especial atención al sector del transporte.

Principales conclusiones

- La parte del presupuesto de TI de los OES/DSP dedicada a la ciberseguridad alcanzó el 7,1% en 2022, lo que representa un aumento del 0,4% en comparación con 2021.

- El 42% de los OES/DSP se suscribieron a una solución de ciberseguros dedicada en 2022, lo que representa un aumento del 30% con respecto a 2021. Aun así, solo el 13% de las pymes se suscriben a un seguro cibernético.

- Los OES/DSP destinan el 11,9 % de sus ETC de TI a la seguridad de la información (SI), lo que supone un descenso del 0,1 %.

- Los OES/DSP emplean a un promedio del 11% de las mujeres en los ETC. Con una mediana del cero por ciento, la mayoría de las organizaciones encuestadas no emplean a ninguna mujer como parte de sus ETC.

- El 47% de los OES o DSP no planean contratar SI FTE en los próximos dos años.

- Las empresas que planean contratar FTE de seguridad de la información en los próximos dos años tienen como objetivo contratar 2 FTE, con un promedio de 4 FTE, pero el 83% de las compañías encuestadas afirman dificultades de contratación en al menos un dominio de seguridad de la información.

- La Directiva SRI es el principal motor de las inversiones en ciberseguridad para el 55 % de las OES en el sector del transporte.

- El 51% de las organizaciones de transporte gestionan la seguridad OT con la misma unidad o personal que la ciberseguridad informática.

Gestión de vulnerabilidades

La gestión de vulnerabilidades describe el proceso para identificar y evaluar el riesgo asociado de vulnerabilidades de seguridad con el fin de resolver la causa antes de que estas puedan ser explotadas o reducir de forma inteligente el riesgo de la misma mediante la implementación de medidas de mitigación adecuadas.

La gestión de vulnerabilidades y la garantía de que los parches estén disponibles protege a los usuarios finales y ayuda a garantizar que la seguridad se aplique a lo largo de todo el ciclo de vida de cualquier producto. La edición de 2022 del informe NIS Investments reveló que para el 46 % de las organizaciones encuestadas se tarda más de 1 mes en parchear las vulnerabilidades críticas. La mejora de la interoperabilidad, la automatización y la racionalización de los procesos para el intercambio de información puede contribuir en gran medida a garantizar la divulgación de vulnerabilidades. Al mismo tiempo, los proveedores deben contar con las herramientas, los procesos y las personas adecuadas para implementar prácticas de seguridad por diseño con el fin de reducir el riesgo para los usuarios, mientras que las empresas son responsables de reducir el tiempo entre la divulgación de vulnerabilidades y su corrección al habilitar herramientas para el intercambio automatizado de información sobre vulnerabilidades.

Coordinación de la vulnerabilidad de la UE y base de datos sobre vulnerabilidades

La SRI 2 establece un marco básico con agentes clave responsables sobre la divulgación coordinada de vulnerabilidades para las vulnerabilidades recién descubiertas en toda la UE y crea una base de datos de vulnerabilidades de la UE para vulnerabilidades conocidas públicamente en productos y servicios de TIC, que será gestionada y mantenida por la Agencia de la UE para la Ciberseguridad (ENISA). La combinación de los esfuerzos nacionales y de la UE constituirá la base de un ecosistema maduro de divulgación de vulnerabilidades dentro de la UE. Es importante destacar que estas iniciativas contribuirán a mejorar el panorama de la gestión de la vulnerabilidad.

El marco de la política de ciberseguridad de la UE incluye una serie de expedientes de políticas propuestas. Entre ellas se encuentran la Ley de Ciberresiliencia (CRA) y la Ley de Cibersolidaridad (CSoA), que incluyen disposiciones que proponen seguir mejorando la gestión de la vulnerabilidad en la UE, como medidas adicionales que garanticen la calidad de los productos y servicios que contribuirán a la aplicación de los aspectos de seguridad a lo largo de todo el ciclo de vida del producto.

El contexto de la Directiva sobre la seguridad de las redes y sistemas de información

El objetivo de la Directiva sobre la seguridad de las redes y sistemas de información (Directiva SRI) es lograr un elevado nivel común de ciberseguridad en todos los Estados miembros. La Directiva revisada, conocida como SRI 2, que entró en vigor el 16 de enero de 2023 amplió el ámbito de aplicación a nuevos sectores económicos.

Uno de los tres pilares de la Directiva SRI es la aplicación de las obligaciones de gestión de riesgos y de información para OES y DSP.

Los OES prestan servicios esenciales en sectores estratégicos de la energía (electricidad, petróleo y gas), el transporte (aéreo, ferroviario, acuático y por carretera), la banca, las infraestructuras de los mercados financieros, la salud, el suministro y la distribución de agua potable y las infraestructuras digitales (puntos de intercambio de Internet, proveedores de servicios de sistemas de nombres de dominio, registros de nombres de dominio de alto nivel).

Los DSP operan en un entorno en línea, es decir, mercados en línea, motores de búsqueda en línea y servicios de computación en la nube.

El informe investiga cómo los operadores invierten en ciberseguridad y cumplen con los objetivos de la Directiva SRI. También ofrece una visión general de la situación en relación con aspectos tales como la dotación de personal de seguridad informática, los ciberseguros y la organización de la seguridad de la información en OES y DSP.