Una encuesta mundial sobre cumplimiento y seguridad IT realizada a más de 800 profesionales de tecnología revela que la tasa de incidentes de seguridad de IT aumenta a medida que se utilizan las funcionalidades de seguridad que ofrece Microsoft 365. En este sentido, las organizaciones que usan Microsoft 365 y que tienen instaladas una o dos de sus funcionalidades de seguridad estándar registraron ataques en sus dispositivos, con un porcentaje en torno a un 24,4 % y un 28,2 % de los casos, respectivamente. Mientras que las que tienen entre seis o siete funcionalidades de seguridad afirmaron haber registrado ataques en un 55,6 % y un 40,8 % de las veces, respectivamente. En general, según los datos, 3 de cada 10 organizaciones (un 29,2%,) que utilizan Microsoft 365, registraron algún incidente de seguridad conocido en los últimos 12 meses.
La encuesta, realizada por Hornetsecurity, proveedor de seguridad de correo electrónico, backup y respaldo para Microsoft 365, indica que, aunque el uso de funcionalidades de seguridad adicionales es esencial, es más práctico utilizar soluciones probadas, fáciles de usar y que sean preferiblemente ejecutadas por profesionales de seguridad.
¿Qué dicen los profesionales de la seguridad IT?
Los expertos de Hornetsecurity afirman que estos resultados se deben a varios factores. Por un lado, señalan la probabilidad de que las organizaciones con un elevado número de elementos de seguridad implementados lo hayan hecho como resultado de ciberataques sostenidos durante un periodo de tiempo, en un intento de mitigar las amenazas a la seguridad.
También sugieren que cuantas más funcionalidades de seguridad intenten implementar los equipos de IT, más complejo se vuelve el sistema de seguridad. Las funcionalidades pueden ser mal configuradas, dejando vulnerabilidades o brechas de seguridad. Esta afirmación es corroborada por los encuestados ya que el 62,6% de los mismos, indicaron que el principal obstáculo a la hora de implantar funcionalidades de seguridad en su organización es «la falta de tiempo o de recursos».
Otra teoría es que el uso de masivo de este tipo de aplicaciones pueda contribuir a crear una falsa sensación de seguridad dentro de la organización. Esto podría llevar a las empresas a dejar de prestar atención a las posibles amenazas de seguridad, creyendo que todas estas funcionalidades instaladas les mantendrán a salvo sin tener que hacer un esfuerzo proactivo adicional.
«Es el juego del gato y el ratón. A medida que creces, añades elementos de seguridad, pero también te vuelves más susceptible de ser atacado porque eres un objetivo más lucrativo. Sin embargo, hay que ir por delante de los delincuentes que intentan perjudicar a tu organización. Los resultados de nuestra encuesta dejaron claro que confiar en las funcionalidades de seguridad básicas que ofrecen algunos proveedores es insuficiente», afirma Daniel Hofmann, CEO de Hornetsecurity. Y añade: «Las organizaciones deben encontrar proactivamente formas de identificar las vulnerabilidades que no se ven y adoptar un enfoque diligente y holístico de la ciberseguridad, en lugar de confiar en las aplicaciones que tienen fácilmente a su alcance y sólo reaccionar cuando ya es demasiado tarde.»
¿Cuáles son los obstáculos a los que se enfrentan los profesionales de IT para implantar funcionalidades de seguridad en sus organizaciones?
Sorprendentemente, una cuarta parte de los encuestados, concretamente el 25,7%, empresas de más de 50 trabajadores y con protocolos de compliance, no tienen en plantilla a un responsable dedicado al cumplimiento de las normativas ni a la seguridad IT. Son varios los factores que contribuyen a la falta de atención a la seguridad IT y compliance en las organizaciones de tamaño mediano y grande.
Casi 2 de cada 3 profesionales de IT (62,6%) encuestados indican que «la falta de tiempo o de recursos» es el principal obstáculo a la hora de implantar funcionalidades de seguridad en su organización. En segundo lugar, los encuestados citan la «falta de presupuesto» (44,6%), los «problemas de capacitación y/o la falta de conocimientos» (36,2%) y la «falta de interés por parte de la dirección» (23,1%).
Todos estos resultados indican una falta general de compromiso en torno a la seguridad dentro de las empresas. Sólo el 2% de los encuestados indica que no encuentran obstáculos dentro de su organización en materia de seguridad, y más de la mitad de los encuestados (55,5%) afirma que su organización no tiene un proceso de seguimiento y revisión de cambios, una herramienta vital para la identificación de las amenazas a la seguridad.
¿Cuáles son los elementos de seguridad más utilizados en las organizaciones?
De las 11 funcionalidades de seguridad enumeradas en la encuesta, el «filtrado de spam» es la más popular, un 84,4% de los encuestados afirma utilizarla. Le sigue de cerca la «autenticación multifactor», con un 82,7%, el «filtrado del tráfico web», la «gestión de permisos» y la «formación en seguridad informática para los usuarios» con un 68,8%, 66,4% y 61,2% respectivamente.
La medida de seguridad menos común es «Solución SIEM», ya que sólo el 14,1% de los encuestados asegura utilizar dicha herramienta. Sin embargo, las «Soluciones SIEM» representan el mayor índice de incidentes, con un 42,1%, lo que ratifica la idea de que se necesita una seguridad más avanzada a medida que las organizaciones se convierten en un objetivo mayor.