fbpx

¿Cómo se preparan las empresas españolas ante las ciberamenazas?

Todavía les queda mucho por aprender.


En lo que se refiere a ciberprotección, en el primer semestre del pasado año Hiscox anotó una mejoría en la ‘brecha de preparación’ de las empresas españolas ante las ciberamenazas, según el análisis ‘Hiscox Cyber Readiness Report 2020’. En cifras, las calificadas como ‘expertas’ pasaron, en tan solo un año, de representar el 9% al 14% del total analizado. Sin embargo, a pesar de este dato positivo, España continúa siendo el país con más compañías calificadas como ‘novatas’ (72%).

Sólo el 13% de las pymes es ‘experto’ en ciberseguridad.


La ciberpreparación aumenta en sintonía con la dimensión de las compañías: el 21% de las compañías de más de 250 empleados, el 13% de las pymes y el 5% de las micropymes obtienen la máxima calificación. En el otro extremo, son calificadas como ‘novatas’: el 82% de las micropymes, el 76% de las compañías entre 10 y 250 empleados y el 61% de las grandes empresas analizadas en el estudio.

En un año han aumentado en seis puntos la inversión para la ciberprotección.


Sin embargo, sí se están tomando medidas y, de acuerdo, con este mismo informe, las compañías españolas han pasado de estar entre las que menos porcentaje del presupuesto de TI reservaban para esta área (8,80% en 2019), a liderar el ranking: hoy la media dedicada es del 14,93%, creciendo seis puntos en solo un año hasta situarse tres puntos por encima de la media del estudio de 2020 (12,95%).
Además, España ocupa el ‘Top 3’ en la previsión de aumento de inversión en ciberseguridad, formación y contratación para los próximos 12 meses, junto con EEUU y Gran Bretaña.
Es más, según informe ‘El estado de la ciberseguridad en España‘, de Deloitte, cada vez más en ciberseguridad. Por ejemplo, en 2018, esta partida suponía un 8,5% del presupuesto destinado a IT/OT. La cifra en 2019 alcanzó el 9%.

El 76% elige la externalización.


La mayoría de las empresas entrevistadas en el informe de Deloitte, supera los 1.000 empleados, sin embargo, el 70% del total dedica menos de una decena de empleados a la ciberseguridad. El dato señala de un modo evidente que este tipo de servicios suele externalizarse, de hecho esta opción es la elegida por el 76%.
Una mayor actividad requiere de un mayor presupuesto y de una optimización adecuada de los recursos. Minimizar los ciberataques debe verse como una inversión y no como un coste, ya que implica un ahorro a largo plazo. El estudio correlaciona el presupuesto invertido con la cantidad de incidentes significativos relacionados con la ciberseguridad. Lo habitual entre aquellas compañías que dedican menos de un 3% de su presupuesto a este ámbito es que sufran hasta dos ataques de gravedad en un mismo año.

Certificaciones, marco de actuación y formación.

Las certificaciones de seguridad, pese a que aumentan el valor de los servicios y productos de las empresas, aún se perciben cómo un esfuerzo prescindible. Más de la mitad de las compañías consultadas, el 60%, no cuenta con ninguna en el ámbito de la ciberseguridad. Entre las que tienen alguna certificación, el 30% de ellas están en ISO/IEC 27001, y de estas, el 67% posee además la ISO 22301.

En todo caso, al hablar del framework usado para gestionar la ciberseguridad, el 75% de las empresas dice seguir usando la ISO como estándar de referencia pese a no tener la certificación. Como marco de seguridad, el Deloitte CSD destaca por su crecimiento, ya que lo utilizan un 28% de las organizaciones (un 10,5% el año anterior).

Preocupa más la formación de los CISOs, ya que hasta un 70% posee algún tipo de certificación relacionada con alguno de los aspectos de la ciberseguridad, siendo las tres más habituales CISM (40%), CISA (32%), e ISO 27001 Lead Auditor (23%).

Con motivo de la pandemia, lo que ha aumentado es la formación y concienciación de los empleados, que ya alcanza a 3 de cada 4 de ellos. Hay que tener en cuenta que la gestión del email es una de las principales vías para provocar un ciberataque.

La revisión de la seguridad, una tarea pendiente.

La adopción de nuevas tecnologías es rápida entre los encuestados. Casi todas las compañías trabajan ya en entornos cloud y hasta un 87% cuenta con dispositivos relacionados con el Internet de las cosas (IoT). Sin embargo, solo el 20% realiza revisiones de seguridad en todas sus aplicaciones críticas frente a un 59% que solo lo hace sobre la mitad de ellas.
La atención a los entornos cloud es mucho mayor en sectores como el de Energía y Recursos, mientras que el sector de Fabricación presta más importancia a lo relacionado con el IoT.

Medio: Adn del Seguro 15/02/2021