Las empresas han mejorado en la detección de incidentes en sistemas de control industrial (ICS) y otros entornos de tecnología operativa (OT), pero la respuesta a incidentes sigue siendo insuficiente, según un nuevo informe de SANS sobre el estado de la ciberseguridad ICS/OT 2024.
El Informe
El informe de SANS sobre el estado de la ciberseguridad ICS/OT 2024, basado en una encuesta a más de 530 profesionales en sectores de infraestructura crítica, muestra que aproximadamente el 60% de los encuestados pueden detectar un compromiso en menos de 24 horas. Lo cual es una mejora significativa en comparación con hace cinco años, cuando el mismo número de encuestados dijo que su tiempo de detección de compromiso había sido de 2 a 7 días.
Los ataques de ransomware continúan afectando a las organizaciones de OT, pero la encuesta de SANS encontró que ha habido una disminución, con solo el 12% viendo ransomware en los últimos 12 meses.
La mitad de esos incidentes afectaron tanto a las redes de IT como a las de OT, o solo a la red de OT, y el 38% de los incidentes afectaron la fiabilidad o la seguridad de los procesos físicos.
En el caso de incidentes de ciberseguridad no relacionados con ransomware, el 19% de los encuestados vio tales incidentes en los últimos 12 meses. En casi el 46% de los casos, el vector de ataque inicial fue un compromiso de IT que permitió el acceso a los sistemas de OT.
Los servicios remotos externos, los dispositivos expuestos a Internet, las estaciones de trabajo de ingeniería, las unidades USB comprometidas, el compromiso de la cadena de suministro, los ataques de tipo drive-by y el spearphishing se citaron en aproximadamente el 20% de los casos como el vector de ataque inicial.
Se detecta más, pero se reporta poco
Aunque las organizaciones están mejorando en la detección de ataques, responder a un incidente sigue siendo un problema para muchas. Solo el 56% de los encuestados dijo que su organización tiene un plan de respuesta a incidentes específico para ICS/OT, y la mayoría prueba su plan una vez al año.
SANS descubrió que las organizaciones que realizan pruebas de respuesta a incidentes cada trimestre (16%) o cada mes (8%) también apuntan a un conjunto más amplio de aspectos, como la inteligencia de amenazas, los estándares y los escenarios de ingeniería impulsados por consecuencias. Cuanto más frecuentemente realizan pruebas, más confianza tienen en su capacidad para operar sus ICS en modo manual, según la encuesta.
La encuesta también examinó la gestión de la fuerza laboral y encontró que más del 50% del personal de ciberseguridad ICS/OT tiene menos de cinco años de experiencia en este campo, y aproximadamente el mismo porcentaje carece de certificaciones específicas de ICS/OT.
Los datos recopilados por SANS en los últimos cinco años muestran que el CISO fue y sigue siendo el ‘propietario principal’ de la ciberseguridad ICS/OT.
Accede al Informe de SANS sobre el estado de la ciberseguridad ICS/OT 2024
El informe completo sobre el estado de la ciberseguridad ICS/OT 2024 de SANS está disponible en formato PDF.
Contáctanos para más infomación.