Las empresas en el mercado financiero de Australia han seguido resistiendo las amenazas cibernéticas, y las tasas de mejora en la resiliencia cibernética se mantienen estables, informó el lunes la Comisión Australiana de Valores e Inversiones (ASIC).
Este hallazgo fue publicado en el último informe del regulador corporativo. [PDF], que recopiló tendencias a partir de encuestas de autoevaluación completadas por empresas de mercados financieros. El informe, titulado Ciberresiliencia de las empresas en los mercados financieros de Australia: 2020–21es una actualización de un informe similar de resiliencia cibernética publicado por ASIC hace dos años.
Tanto en 2020 como en 2021, ASIC pidió a los participantes que reevaluaran su resiliencia cibernética frente al marco de ciberseguridad del Instituto Nacional de Estándares en Tecnología (NIST). El Marco NIST permite a las empresas evaluar la resiliencia cibernética en función de cinco funciones: identificar, proteger, detectar, responder y recuperar, utilizando una escala de madurez de dónde se encuentran ahora y dónde pretenden estar en 12 a 18 meses.
En el nuevo informe, ASIC identificó que la resiliencia cibernética entre las empresas que operan en el mercado financiero de Australia aumentó un 1,4 % en general, pero no alcanzó la mejora del 14,9 % prevista para el período. También fue inferior a la mejora del 15% que se logró entre 2017 y 2019.
ASIC atribuyó el déficit a una combinación de razones que incluyen objetivos demasiado ambiciosos, un aumento en el entorno de amenazas cibernéticas y las interrupciones causadas por la pandemia de COVID-19, lo que provocó que las organizaciones dirigieran recursos para permitir el trabajo remoto seguro y garantizar que los productos y servicios pudieran ser entregados a los clientes a medida que las cadenas de suministro estaban cargadas de crecientes activistas cibernéticos.
En general, 2021 vio mejoras en la gestión de activos digitales, el entorno comercial, la concienciación y capacitación del personal y los controles de seguridad de protección.
«Las empresas que operan en los mercados de Australia continúan resistiendo un entorno de amenazas cibernéticas que cambia rápidamente. La pandemia de COVID-19 ha aumentado las oportunidades para que los actores de amenazas apunten a los trabajadores remotos y accedan a la infraestructura remota y las cadenas de suministro críticas para la entrega de productos y servicios. Sin embargo, la respuesta de las empresas ha sido sólida», dijo la comisionada de ASIC, Cathie Armor.
El informe dijo que el 90 % de las empresas fortalecieron la administración de acceso privilegiado y de usuarios, el 88 % de las empresas se aseguraron de que los usuarios estuvieran capacitados y fueran conscientes de los riesgos cibernéticos, y el 86 % contaba con planes maduros de respuesta a incidentes cibernéticos.
Otros hallazgos clave del informe incluyeron que la brecha entre las grandes empresas y las pequeñas y medianas empresas (PYME) siguió cerrándose, con una mejora general del 3,5 %. En contraste, las empresas más grandes reportaron una leve caída en la confianza del 2,2%, dijo ASIC.
«Esto surge de una base sólida y se puede atribuir a que las grandes empresas están reevaluando sus capacidades de respuesta y recuperación a la luz de: Mayor complejidad de sus modelos operativos comerciales. [and] un aumento significativo en las amenazas a productos y servicios críticos que dependen de terceros y cadenas de suministro», dijo el regulador corporativo.
ASIC también destacó que las mayores brechas entre las empresas más grandes y las pymes seguían estando en la gestión de riesgos de la cadena de suministro, donde el 40 % de las pymes indicaron prácticas de gestión de riesgos de la cadena de suministro débiles, pero la mayoría de las empresas identificaron que esto sería una prioridad constante durante el próximo período.
La inversión en resiliencia cibernética por parte de las agencias de calificación crediticia aumentó durante el período, dijo ASIC, provocada por el incidente de Equifax de 2017, mientras que los bancos de inversión continuaron estableciendo objetivos altos para todas las categorías del Marco NIST.
La publicación de los informes sigue a ASIC que presentó recientemente una recomendación para que los operadores y participantes del mercado simulen interrupciones y estrategias de recuperación para mejorar la resiliencia. Fue a raíz de una investigación sobre los problemas de software de la Bolsa de Valores de Australia (ASX) que surgieron cuando la actualización de su plataforma de acciones comerciales se puso en marcha en noviembre del año pasado, lo que provocó que la bolsa detuviera el comercio.