La brecha por falta de habilidades y talento en ciberseguridad sigue en aumento.
Un estudio de ESG e Information Systems Security Association (ISSA) pone de relieve que el 70% de las compañías se ven afectadas por esta carencia de recursos.
A pesar de la importancia que ha cogido la ciberseguridad como uno de los pilares básicos de la transformación digital –más si cabe con la presencia del teletrabajo forzado– la brecha generada por la ausencia de habilidades técnicas y la escasez de profesionales sigue en aumento, según un estudio de ESG e Information Systems Security Association (ISSA). Y, es que, hasta el 70% de los trabajadores especializados cree que su organización se ve afectada por la falta de habilidades. En los últimos cuatro años, este dato ha llegado a crecer hasta cinco puntos porcentuales.

De este modo, esta carencia genera una carga de trabajo extra, y cada vez más creciente, para los expertos de ciberseguridad, que además se tienen que encargar de la capacitación del personal y lidiar con la insuficiencia de recursos. “Estamos tan ocupados apagando incendios que no nos hemos tomado tiempo para aprender a sacar provecho de las herramientas “, aseguran.

Asimismo, la brecha se agiganta si hablamos de seguridad de aplicaciones, nube y análisis. Las organizaciones mueven cada vez más cargas de trabajo a la nube pública y se enfrentan a amenazas cada vez más sofisticadas, lo que genera desconcierto.

El informe pone de relieve también que solo el 7% de los profesionales estima que su compañía ha mejorado su posición en cuanto a la ciberseguridad en los últimos años. El 45% dice que han empeorado y el 48% cree que se encuentran en la misma situación.

Como conclusiones finales, la encuesta expresa que esta escasez muestra dos vertientes; por una parte, que no hay suficientes profesionales; por otra; las habilidades también escasean.
Fuente: https://cso.computerworld.es/tendencias/la-brecha-por-falta-de-habilidades-y-talento-en-ciberseguridad-sigue-en-aumento
En Itera podemos ayudarte.
Contacta con un especialista: seguridad@iteraprocess.com

Como organización se debe analizar distintos aspectos que se relacionan con su funcionamiento, se deben priorizar y determinar los límites de funcionamiento y establecer las medidas necesarias que garanticen la continuidad de las actividades en caso de un incidente.
Debido a esta situación debemos diseñar Plan de Continuidad de Negocio que comprenda todo tipo de planes, para mitigar el impacto provocado en la información y los procesos de negocio de una compañía.
El proceso y la implementación se deben realizar teniendo en cuenta las siguientes fases:

1. Determinar el alcance
   Aquí se determinarán qué activos, sistemas o procesos son críticos, es decir, aquellos cuya indisponibilidad impactaría directamente sobre nuestra organización.
2. Análisis de la organización
   Esta fase basa su actividad en obtener, elaborar o comprender las circunstancias que rodean a nuestra organización, analizando tanto procesos, como tecnologías o recursos. Para conseguir esta etapa deberemos llevar a cabo un conjunto de tareas.

• Realizar reuniones: Es necesario reunirse con los usuarios finales de los procesos seleccionados como críticos o que entran dentro de nuestro alcance, recopilando toda la información sobre el funcionamiento de nuestros procesos.
• Análisis de impacto sobre el Negocio: A partir de la información recopilada, realizaremos un Análisis de Impacto sobre el Negocio. Este documento contendrá los requerimientos, tanto temporales como de recursos, de los procesos que se encuentren dentro del alcance del proyecto.
• Tiempo de recuperación, o tiempo que un proceso permanece detenido hasta ser restaurado.
• Recursos humanos y tecnologías empleadas, para que un proceso funcione en una situación de contingencia.
• Tiempo máximo tolerable de caída del servicio. Es decir, el tiempo que un proceso puede permanecer caído antes de que se produzcan consecuencias desastrosas para la organización.
• Niveles mínimos de recuperación del servicio. Este sería el nivel mínimo de recuperación que debe tener una actividad para que se considere recuperada.
• Dependencias con otros procesos, ya sean internos o con proveedores externos. Se trata de saber si una situación de contingencia en otros procesos.
• Grado de dependencia de la actualidad de los datos. Se determina el impacto que tendría sobre nuestra actividad la pérdida de datos.
• Análisis de riesgos: Consiste en estudiar y determinar las posibles amenazas a las que está expuesta la organización, así como las posibilidades de materializarse en cada caso, y el impacto que causarían si llegaran a producirse. Posteriormente se realizará un plan de tratamiento de riesgos en el que se describan medidas, riesgo que mitiga, responsables de implantación, recursos necesarios, etc.

3. Determinación de la Estrategia de Continuidad
   Se debe determinar qué estrategias de recuperación se deberán implementar para cada uno de los elementos identificados como críticos o que pudieran verse afectado en una contingencia. Es decir, cómo recuperar un sistema o un proceso para evitar que la contingencia lo degrade de manera irreversible para la organización. Hay que tener en cuenta que algunos procesos podrán requerir varias estrategias de recuperación.
4. Repuesta a la contingencia
   Se comienza con la implantación de las iniciativas que se han puesto de manifiesto en la fase anterior. Además, se deberá abordar toda la documentación relacionada con la respuesta a la contingencia, a través de los siguientes documentos:

• Plan de crisis cuyo objetivo es evitar una toma de decisiones improvisada que pueda empeorar la situación o bien que simplemente no se tomen decisiones.
• Planes operativos de recuperación de entornos, que deberán especificar sobre qué entorno se aplican.
• Procedimientos técnicos de trabajo, donde se describen las acciones que se han de llevar a la práctica para la gestión y recuperación de un sistema, infraestructura o entorno.

5. Prueba, mantenimiento y revisión
   Para que un Plan de Continuidad sea eficaz, deberemos comprobar que realmente funciona y mantenerlo actualizado. Para ello, se deben realizar pruebas sobre los entornos identificados, tras las cuales elaboraremos unos informes que recojan los resultados obtenidos. Además, deberán quedar registradas todas las incidencias surgidas en este proceso, algo indispensable para poder establecer medidas correctoras.
6. Fase de Concienciación
   En esta fase se pondrán en marcha todo tipo de medidas que fomenten la concienciación del personal en materia de continuidad y el conocimiento de los planes elaborados.

Fuente: https://www.incibe.es/protege-tu-empresa/blog/fases-plan-continuidad-negocio

En Itera podemos ayudarte.
Contacta con un especialista: seguridad@iteraprocess.com