Los actores de amenazas continúan logrando avances exitosos en la superficie de ataque y el peligro continúa aumentando. Según Pentera, el 93% de las empresas que admiten haber sufrido una infracción informan que ésta provocó un tiempo de inactividad no planificado, filtraciones de datos o pérdidas financieras.
Pentera encuestó a 450 CISO, CIO y líderes de seguridad de TI de empresas con 1000 o más empleados en América, EMEA y APAC.
Los cambios en el entorno de TI superan la frecuencia de las pruebas de penetración
Las empresas continúan dando prioridad a las pruebas de penetración como parte de su conjunto de herramientas de seguridad, lo que cuesta un promedio de 164 400 dólares, o alrededor del 13 % de su presupuesto total de seguridad de TI. Los principales impulsores y usos de los programas de pruebas de penetración siguen siendo verificar la eficacia de los controles de seguridad, comprender el impacto de posibles ataques y priorizar las inversiones en seguridad.
El 50% de los CISO informan que comparten los resultados de sus evaluaciones pentest con su equipo de liderazgo y junta directiva, y utilizan estos informes como una herramienta para comunicar los riesgos de ciberseguridad tanto dentro como fuera de la organización.
El 73% de las empresas informa cambios en su entorno de TI al menos trimestralmente, pero sólo el 40% informa pruebas de penetración con tanta frecuencia. Esto pone de relieve una grave brecha entre la frecuencia con la que se producen cambios dentro de la infraestructura de TI y la frecuencia de las pruebas de validación de seguridad, lo que deja a las organizaciones en riesgo durante un período prolongado.
Las organizaciones implementan más herramientas de ciberseguridad
El 60% de las empresas informan al menos 500 eventos de seguridad cada semana que requieren solución. Un “parche perfecto” para una organización es un objetivo inalcanzable, si no imposible. Además, las organizaciones tienen aún más limitaciones de recursos que antes. En 2023, solo el 21 % de los encuestados dijo que la falta de recursos internos de remediación era una barrera para las pruebas de penetración, pero este año esa cifra saltó al 36 %.
Las organizaciones están implementando más soluciones de ciberseguridad para gestionar el riesgo. En promedio, las empresas ya utilizan 53 soluciones de seguridad en sus organizaciones, pero a pesar de sus grandes pilas de seguridad, el 51 % de las empresas ha informado de una violación en los últimos 24 meses.
Los líderes de seguridad desconfían de las pruebas de penetración porque han visto redes caer debido a pruebas de penetración en el pasado. Los CISO quieren trabajar con los evaluadores de penetración más experimentados que brinden el más alto nivel de validación de seguridad y minimicen el riesgo para las operaciones.
“Los resultados de nuestro último informe demuestran la creciente complejidad de las infraestructuras de las organizaciones actuales y los desafíos que las acompañan que enfrentan los equipos de seguridad. Un tercio reporta pérdidas financieras y violaciones de datos, y el 43% reporta tiempo de inactividad no planificado como resultado de una violación”, dijo Jason. Mar-Tang, CISO de campo en los estados de Pentera.
“La superficie de ataque es más dinámica que nunca y los recursos son limitados, por lo que las organizaciones necesitan examinar de manera proactiva y precisa su exposición al riesgo e identificar con precisión las brechas explotables en la superficie de ataque. Se ha vuelto aún más importante hacerlo”.
Fuente: https://www.helpnetsecurity.com/2024/04/19/enterprises-pentesting-frequency/