Comportamiento de la Industria
Energía y Administración Pública
El papel de la energía en las infraestructuras críticas y su influencia financiera la convierten en un objetivo atractivo para las naciones extranjeras, el espionaje económico y los hacktivistas. La evolución digital, la dependencia de terceros y el auge de los dispositivos y redes inteligentes del IoT hacen que las compañías de Energía sean un objetivo atractivo. Similar caso ocurre con la Administración Pública.
¿Cómo se encuentra el Sector Energía y la Administración Pública?
2.4 (Básico)
La calificación media de CyQu para las organizaciones de energía, servicios públicos y recursos naturales a nivel mundial es de 2.4 sobre 4.0 (Básico).
Explicación y significado
Esta calificación indica que la madurez de la ciberseguridad se encuentra en un nivel básico. Las prácticas y tecnologías de gestión de riesgos de ciberseguridad de las organizaciones no están formalizadas, y el riesgo se gestiona de manera ad hoc y a veces de forma reactiva. Las prácticas y tecnologías de gestión de riesgos no están establecidas en toda la organización.
Explore los riesgos cibernéticos más relevantes para las compañías de energía y servicios públicos, relaciónelos con los controles clave de ciberseguridad y determine las medidas que su organización puede tomar para cerrar esas brechas.
Leer a continuación (+) para saber más
* CyQu de Aon es una evaluación del riesgo cibernético que evalúa el riesgo en 9 dominios de seguridad y 35 áreas de control críticas.
Apoyado en datos propios y opiniones de expertos, explore cuatro temas clave de riesgo que son críticos para las organizaciones del sector energético y público hoy en día.
Continúe leyendo para saber más
Navegando a través de los nuevos retos:
La rápida transformación digital
Existe una gran discrepancia entre las organizaciones de este sector. Mientras que la mayoría está por encima del punto de referencia global, el 24% no lleva a cabo ninguna prueba de intrusión regular. En cambio, el 27% emplea las mejores prácticas y recurre regularmente a equipos de pruebas de intrusión externos para someter a tensión y prueba los entornos de control.
Comprendiendo el entorno:
El riesgo de terceros y proveedores
Este sector parece tener una buena higiene básica de los contratos con terceros, con el uso de requisitos mínimos de seguro y acuerdos de nivel de servicio (SLA) predefinidos para la ciberseguridad. Dicho esto, solo el 2% de las organizaciones obliga a realizar estos controles en todos los contratos, lo que indica la importancia de una sólida evaluación de terceros y de los controles por capas.
Concentrándose en los controles:
Ransomware
Esta industria está sujeta a una mayor incidencia en torno al robo de datos, el espionaje y el fraude en la facturación. Teniendo esto en cuenta, no es de extrañar que el 21% de las organizaciones obtuviera una puntuación sustancialmente superior a la media global del sector en cuanto a la respuesta ante incidentes (IR). Sin embargo, el 41% indicó que tiene un enfoque ad hoc para la respuesta.
Perfeccionando la base:
Normativa y Regulación
La integración de la gestión de los riesgos cibernéticos en marcos más amplios de gestión de riesgos es un reto para muchas organizaciones, ya que el 61% indica que no ha adoptado las medidas adecuadas de gobierno, gestión de riesgos o protección de datos. La colaboración con otras funciones de supervisión de la gestión de riesgos, como la auditoría, la gestión de riesgos empresariales (ERM) y el departamento jurídico, para medir y gestionar el ciberriesgo, sigue siendo escasa. Esto repercute en la capacidad de una organización para anticiparse y responder a futuras normativas sobre privacidad.