Según el último informe de inversión en ciberseguridad de la Unión Europea, a pesar del alarmante aumento del 25% en el costo de incidentes cibernéticos mayores en 2022 en comparación con el año anterior, la asignación de presupuesto para ciberseguridad por parte de los operadores de la UE ha experimentado solo un ligero incremento del 0,4% en el sector de Tecnologías de la Información (TI).
La Directiva NIS, que rige la infraestructura crítica en sectores como el transporte, ha sido el principal impulsor para que el 55% de los Operadores de Servicios Esenciales (OES) en este ámbito aumenten sus inversiones en ciberseguridad.
A pesar de esta tendencia positiva, el informe revela una preocupación significativa: el 47% de las organizaciones encuestadas no tiene planes de contratar personal a tiempo completo en seguridad de la información en los próximos dos años. Este panorama se complica aún más, ya que el 83% de estas entidades enfrentan dificultades para contratar expertos en al menos un dominio de seguridad de la información.
Gestión de vulnerabilidades
Estos desafíos de contratación pueden ser responsables, en parte, de la gestión deficiente de vulnerabilidades. Un análisis detallado muestra que más del 50% de las organizaciones del sector del transporte requieren un mes para parchear vulnerabilidades críticas, mientras que un alarmante 21% necesita entre uno y seis meses. Solo el 28% puede corregir vulnerabilidades críticas en una semana.
La gestión de vulnerabilidades, fundamental para identificar y evaluar riesgos asociados, requiere una pronta resolución para evitar su explotación o mitigar el riesgo mediante medidas adecuadas. El informe sugiere que el 46% de las organizaciones tarda más de un mes en aplicar parches a vulnerabilidades críticas.
Mejorar la interoperabilidad, la automatización y los procesos simplificados para compartir información puede ser clave para una divulgación más eficiente de vulnerabilidades. Los proveedores deben contar con herramientas y procesos adecuados para implementar prácticas seguras, mientras que las organizaciones tienen la responsabilidad de reducir el tiempo entre la divulgación y la corrección de vulnerabilidades para proteger a los usuarios finales.
Juhan Lepassaar, Director Ejecutivo de la Agencia de la UE para la Ciberseguridad, enfatizó la importancia de asignar recursos suficientes en términos de presupuesto y personal para la ciberseguridad. Lepassaar declaró: «La gestión de vulnerabilidades es esencial y debe ir de la mano con iniciativas de ‘seguridad desde el diseño’. Mientras tanto, debemos seguir invirtiendo constantemente en áreas como la identificación, gestión y reporte de vulnerabilidades que pueden tener un impacto en la seguridad de todo el Mercado Único Digital».