Los actores de amenazas continúan violando con éxito toda la superficie de ataque y lo que está en juego es cada vez mayor: el 93% de las empresas que admitieron una violación reportaron tiempo de inactividad no planificado, exposición de datos o pérdidas financieras como resultado, según Pentera.
Pentera encuestó a 450 CISO, CIO y líderes de seguridad de TI en empresas con más de 1000 empleados en América, EMEA y APAC.
Las empresas continúan dando prioridad al pentesting como parte de su conjunto de herramientas de seguridad, lo que representa un promedio de 164 400 dólares, casi el 13 % de sus presupuestos totales de seguridad de TI. Los principales impulsores y usos de los programas de pentesting siguen siendo validar la eficacia de los controles de seguridad, comprender el impacto potencial de los ataques y priorizar las inversiones en seguridad.
El 50% de los CISO informan que comparten los resultados de las evaluaciones pentest con sus equipos de liderazgo, así como con sus juntas directivas, utilizando estos informes como una herramienta para comunicar los riesgos de ciberseguridad tanto dentro como fuera de sus organizaciones.
El 73% de las empresas informan cambios en sus entornos de TI al menos trimestralmente; sin embargo, solo el 40% informa realizar pentesting con la misma frecuencia. Esto pone de relieve una grave brecha de frecuencia entre el ritmo al que se producen los cambios dentro de la infraestructura de TI y el ritmo de las pruebas de validación de seguridad, lo que deja a las organizaciones expuestas a riesgos durante largos períodos de tiempo.
El 60 % de las empresas informan un mínimo semanal de 500 eventos de seguridad que requieren reparación. Convertirse en un “parche perfecto” es un objetivo inviable, si no imposible, para las organizaciones. Es más, las organizaciones tienen aún más limitaciones de recursos que antes. En 2023, solo el 21% de los encuestados informó que la falta de recursos internos para la remediación era una barrera para el pentesting, mientras que este año la cifra saltó al 36%.
Las organizaciones están adoptando una mayor cantidad de soluciones de ciberseguridad para gestionar sus riesgos. En promedio, las empresas ya tienen 53 soluciones de seguridad en uso en toda su organización; sin embargo, a pesar de las grandes pilas de seguridad, el 51 % de las empresas informaron una violación en los últimos 24 meses.
Los líderes de seguridad son cautelosos con el pentesting, ya que muchos han experimentado tiempos de inactividad de la red debido al pentesting en el pasado. Los CISO quieren trabajar con los pentesters más experimentados que brinden el más alto nivel de validación de su seguridad y al mismo tiempo representen el menor riesgo para las operaciones.