Según el nuevo informe de Kaspersky “Cómo las empresas pueden minimizar el costo de una brecha de seguridad”, el 47% de las empresas latinoamericanas utiliza algún tipo de tecnología obsoleta dentro de su infraestructura de TI. Esta práctica pone a las compañías en riesgo de sufrir más daños financieros en caso de una brecha de seguridad, un 51% más para las PyMEs y un 77% más para las empresas, en comparación con aquellas que actualizan a tiempo.
Aunque las vulnerabilidades son inevitables en cualquier software, incluir actualizaciones y parches de manera regular puede minimizar los riesgos. Es por este motivo que siempre se aconseja a los usuarios instalar las últimas versiones de software en cuanto estén disponibles, por más que las actualizaciones a veces sean complicadas o consuman tiempo. Considerando que casi la mitad de las empresas latinoamericanas utilizan alguna tecnología o software obsoleto, el informe de Kaspersky deja claro que las organizaciones deben priorizar la renovación del software y estar preparadas para invertir y ahorrar dinero a largo plazo.
Ante una brecha de seguridad en las grandes empresas con tecnología obsoleta, tales como sistemas operativos sin parchar, software antiguo o dispositivos móviles no compatibles, los daños financieros pueden alcanzar un promedio de $1,252,000 dólares un 77% más que la media de las empresas con la tecnología completamente actualizada, $709,000 dólares.
En el caso de las PyMES de la región, el promedio de daños financieros alcanza los $112,000 para aquellas con tecnología obsoleta, es decir, 51% más que aquellas con TI actualizada, cuyas pérdidas ascienden a $74,000 dólares en el caso de una brecha de seguridad.
Entre las razones para no actualizar la tecnología, una de las más comunes es la incompatibilidad con las aplicaciones desarrolladas internamente (49%), un factor que puede resultar crítico para aquellas organizaciones que desarrollan software a nivel interno para responder a sus propias necesidades o cuando utilizan aplicaciones muy específicas con soporte limitado. Otra razón habitual, mencionada por 47% de los encuestados, es la resistencia de los empleados a trabajar con las nuevas versiones de software, y en estos casos, se hacen excepciones. Por otra parte, el 39% de los participantes en el estudio afirmó que no se actualizaban las tecnologías porque eran propiedad de los miembros de la junta directiva y el 13% alegó que la empresa carecía de los recursos necesarios para actualizar todo a la vez.
“Cualquier costo adicional para las empresas es crítico, especialmente ahora que la situación económica global es inestable debido a la pandemia. Por esta razón, nuestro informe analizó cómo las empresas pueden reducir el impacto financiero de una incidencia de ciberseguridad”, explica Claudio Martinelli, Director General para América Latina en Kaspersky. “Los resultados del informe confirman el impacto que supone contar con software obsoleto. Aun cuando no es posible desprenderse de este de forma inmediata, algunas medidas ayudan a mitigar los riesgos, permitiéndole a las compañías ahorrar dinero y evitar otras potenciales consecuencias”.
Para minimizar el riesgo como consecuencia de vulnerabilidades de software, Kaspersky recomienda adoptar las siguientes medidas:
- Asegurarse de que la organización esté utilizando la última versión de su sistema operativo y sus aplicaciones, con las funcionalidades de actualización automática habilitadas para que el software esté siempre al día.
- Si no es posible actualizar el software, se recomienda a las empresas hacer frente a este vector de ataque mediante la separación de los nodos vulnerables del resto de la red, junto con otras medidas.
- Habilitar la funcionalidad de análisis de vulnerabilidades y administración de parches en una solución de protección de endpoints. Así se pueden eliminar automáticamente las vulnerabilidades en software para infraestructuras, parchearlas de manera proactiva y descargar actualizaciones de software esenciales.
- Es importante aumentar los conocimientos en seguridad y las habilidades en ciberseguridad de los responsables de TI, que están en la primera línea de las actualizaciones de las infraestructuras de seguridad. También puede ayudar realizar un curso específico de formación online en seguridad informática.
- En el caso de las TI críticas o los sistemas OT, es importante estar siempre protegido más allá de la disponibilidad de actualizaciones de software. Esto quiere decir que sólo se deben habilitar las actividades predeterminadas para los fines propios de los sistemas. KasperskyOS apoya este concepto de ciberinmunidad que puede utilizarse para diseñar sistemas de TI seguros por diseño.
El informe de Kaspersky, “Cómo las empresas pueden minimizar el costo de una brecha de seguridad”, es la segunda parte de la serie, IT Security Economics 2020, y está disponible aquí. La primera parte del informe, “El ajuste de las inversiones: cómo alinear los presupuestos de TI con las cambiantes prioridades de seguridad”, está disponible para su descarga en página web de la calculadora de seguridad TI de Kaspersky.