ISMS Forum, junto con el Observatorio de Ciberseguridad de ISMS Forum, lanza el Indicador de Madurez en Ciberseguridad en el marco del I Foro de la Ciberseguridad de Barcelona. El objetivo de este estudio es analizar el nivel de madurez, evolución y nuevos fenómenos en el ámbito de la seguridad de la información, así como generar indicadores nacionales sobre el estado de la ciberseguridad en empresas y entidades privadas y públicas. El Indicador de Madurez en Ciberseguridad se presenta como un divulgador de conocimiento e investigación a través de la creación de métricas y referencias nacionales, y la interlocución con instituciones y reguladores.
El estudio ha revelado que más del 60% de las empresas cuentan con una política donde se definen los roles y responsabilidades, junto con los requerimientos legales y regulatorios, dentro del marco de los procesos de gobierno y gestión del riesgo de ciberseguridad. Asimismo, cerca del 50% de las empresas identifican y comunican las dependencias y los requisitos de los servicios y funciones críticas, asociadas a la misión, visión y objetivos de la organización. Sin embargo, el inventario de dispositivos, sistemas, aplicaciones y recursos de información solo es completo en un tercio de la muestra.
El documento recoge que hasta un 50% de las empresas mantienen identificadas y documentadas las vulnerabilidades y amenazas de ciberseguridad, pero solo el 30% de la muestra manifiesta que los procesos de gestión del riesgo, así como el nivel de tolerancia, están establecidos, acordados e informados con las partes interesadas.
En cuanto a la protección de los sistemas y activos de información, más del 40% de las empresas manifiesta documentar los procesos y procedimientos, y más del 50% identifican los datos, pero los protegen de manera parcial.
Casi la mitad de las empresas encuestadas manifiesta la existencia de una gestión de identidades y accesos en base al principio de menor privilegio y segregación de funciones, sin embargo, en la gestión del cambio, si bien la mitad de los encuestados afirma la realización de un mantenimiento de los sistemas de información de forma controlada, los accesos no se auditan.En el 50% de las entidades, los procedimientos de respuesta ante incidentes de ciberseguridad están documentados, actualizados y se prueban con carácter anual. La opción mayoritaria muestra que los principales procesos, roles e interlocutores en la comunicación de respuesta ante incidentes están identificados, y el grueso de empresas participantes investiga las alertas más relevantes generadas por los sistemas de detección de acuerdo a un proceso definido, pero sin SLAs formalizados.
En referencia a la identificación temprana de vulnerabilidades y amenazas, la mitad de la muestra la realiza mediante procesos automáticos y solo un 8% revisa los planes de respuesta ante incidentes más de una vez al año y hasta un 36% lo hace únicamente ad hoc.
Para acceder al estudio pincha aquí
