La pandemia provocada por la COVID-19 ha acelerado la transformación digital. Esto ha supuesto un incremento del teletrabajo y su consiguiente digitalización de todos los procesos, lo que incluye la atracción y selección del talento. Debido a ello, en la nube se aloja una cantidad masiva de datos y la inevitable pregunta que surge es ¿son seguros? ¿Cómo están afrontando el reto de la ciberseguridad las organizaciones españolas?
El informe El estado de la ciberseguridad en España, realizado por Deloitte junto a los CISOs (Chief Information- Security Officer) de 60 empresas nacionales, arroja respuestas a esta preocupación y, en este artículo, vamos a repasar las principales conclusiones que se han extraído.
Debido a la nueva situación y a la creciente preocupación por la seguridad de los datos en la red, las empresas buscan contar con profesionales especializados en la ciberseguridad. Sin embargo, tan solo el 73% de las organizaciones consultadas, de las cuales el 60% supera el millar de empleados, cuenta en su plantilla con más de 10 personas dedicadas a esta función.
Este dato revela que la externalización de estos servicios es la opción preferida para la mayoría de las empresas: el 76% cuenta con personal externo en sus equipos de ciberseguridad.
Las compañías son cada vez más conscientes de la importancia de la agilidad en la gestión de los procesos, incluidos los de seguridad, para poder minimizar el impacto negativo que los posibles incidentes puedan causar. Esto se ve reflejado en que el 71% de las empresas evaluadas cuentan con los servicios especializados de un Centro de Operaciones de Seguridad (SOC) propio, pero solo el 11% de estos es interno, siendo la opción mixta la más popular (45%).
La aceleración digital también se ha notado en la inversión: el estudio revela que las organizaciones dedican de su presupuesto de IT/OT una media de 9,33% en mantener sus datos seguros, lo que supone un incremento del 0,8% de inversión respecto a 2018.
También se observa una correlación entre inversión y número de incidentes de ciberseguridad sufridos, ya que aquellas empresas que dedican un presupuesto mayor reciben menos ataques significativos por año (0’86) que aquellas que emplean menos del 3% (2).
Pese a todos los esfuerzos, el 75% de las empresas encuestadas creen que los recursos invertidos en ciberseguridad son insuficientes.
Según Deloitte, se necesita empoderar la figura del CISO (Jefe de Seguridad). A pesar de que el 91% de las empresas encuestadas cuentan con un Comité de Seguridad, solo el 69% de los CISOs está presente. Este porcentaje es aún menor en otros comités, como el de Riesgos o el de Privacidad.
Respecto al modelo jerárquico, se observa que el 46% de los CISO’s depende del CIO (Director de Sistemas de Información), el 20% del CTO (Director de Tecnología) y un 14% directamente del CEO (Director Ejecutivo), siendo este último grupo el que más importancia tendría dentro de la organización.
Las certificaciones en ciberseguridad permiten capacitar a los colaboradores y prepararlos para identificar riesgos y amenazas que pueden poner en peligro los datos. Aun así, el 60% de las empresas que participan en el estudio no cuenta con ninguna certificación.
Las empresas que sí tienen, el 30% utilizan ISO/IEC 27001, cuyo estándar promueve la implementación de un Sistema de Gestión de Seguridad de la Información; de estas, el 67% posee además la ISO 22301. No obstante, casi el 75% de las empresas utiliza el estándar ISO 27001 como referencia pese a no tener la certificación oficial, con el objetivo de dotar a sus procesos de mayor ciberseguridad.
Llama la atención que, aquellas empresas que no poseen ningún tipo de certificación, el 48% se ve así misma preparada para contrarrestar cualquier incidente.
El dato más reseñable es el de la formación y la concienciación de los empleados: 3 de cada 4 empleados reciben una media de 25h anuales de formación y 130h anuales de concienciación en cuestiones de ciberseguridad.
Para ello, las empresas utilizan las formaciones online (35%) o mixtas online-presenciales (29%) debido a la flexibilidad que estas modalidades tienen para adaptarse a los horarios de los empleados.
Debido a la transformación digital, la mayoría de organizaciones (96%) trabajan en entornos cloud con aplicaciones funcionando en la red, muchas de ellas críticas para el buen funcionamiento del negocio.
Pese a ello, solo el 20% de las organizaciones encuestadas hacen revisiones de seguridad al 100% de sus aplicaciones. Un 59% de las empresas revisan solo la mitad de ellas.
En cuanto al marco de control en entornos Cloud, el 81% de las empresas disponen de una estrategia de control, siendo los sectores de Energía y Recursos, Transporte, Hostelería y Servicios los más preparados.
La regulación sobre ciberseguridad está en alza, pero la percepción de ella varía entre sectores. El 25% de las organizaciones considera que la legislación actual es necesaria y solo un 11% cree que es eficaz.
Desde un punto de vista económico, para el 13% de las empresas consultadas los servicios de ciberseguridad son muy caros, especialmente para aquellas empresas que facturan menos de 500 millones de euros al año y, además, el 34% consideran madura la oferta Cyber que existe en el mercado, frente al 22% que cree que aún está inmadura.
Los sectores de Administración, Salud y Seguros han sido los que más incidentes han reportado, siendo estos los que formaban parte del grupo de organizaciones que no poseían ningún tipo de certificación.
De todas las amenazas en ciberseguridad, para el 68% la más preocupante es el malware, mientras que el 18% considera el phishing su máxima prioridad.
Cuando se pregunta directamente a la figura del CISO sobre el nivel de seguridad de la empresa a la que pertenece, el 52% considera que su organización está preparada para hacer frente a incidentes, mientras que un 38% cree lo contrario.
En cuanto a las principales amenazas a las que tienen que hacer frente, el 68% prioriza las interrupciones de las operaciones del negocio como el mayor problema, y solo un 26% la filtración de datos confidenciales.
Respecto a las funciones del CISO, ellos consideran que su misión es alinear la ciberseguridad con los objetivos de negocio, pero como hemos visto anteriormente, la representación en los comités y otras áreas es deficiente, por lo que se les dificulta el trabajo.
En el escenario que planteó la pandemia ante las dificultades del trabajo presencial, el 77% de empresas tenían la modalidad a distancia para sus empleados como estrategia de contingencia.
En este sentido, el 79% de los CISOs consideran que sus organizaciones están preparadas para hacer frente a los retos del teletrabajo supone. De hecho, según se ha demostrado en el estudio, los ciberataques a las infraestructuras tecnológicas han aumentado tras la adopción de la modalidad de trabajo en remoto.
Puedes leer el informe completo aquí: El estado de la ciberseguridad en España.
Comentarios