VALÈNCIA. La creciente importancia que la digitalización ha alcanzado en el ámbito empresarial ha impactado directamente en las necesidades de ciberseguridad de las organizaciones, con independencia de su tipología. En este contexto, el 94% de las empresas ha sufrido al menos un incidente grave de ciberseguridad a lo largo de 2021, según se desprende del estudio ‘El estado actual de la ciberseguridad en España. Post pandemia: un camino inexplorado’, elaborado por Deloitte, en el que se ofrece una panorámica de la ciberseguridad en las organizaciones de nuestro país a través de las respuestas de los responsables de seguridad de la información de más de 100 empresas.
Entre otras conclusiones, destaca que se está produciendo un incremento notable en el número de ciberataques sufridos, ya que la media anual de incidentes ha aumentado un 26% con respecto al año 2020 –de 1,69 incidentes de media en 2020, a 2,13 incidentes en 2021-. Además, se ha incrementado la sofisticación de las amenazas conocidas. En la Comunidad Valenciana, en 2021 el sector de la Fabricación, con 2,8 incidentes de media, ha sido uno de los más castigados por los ciberataques, superando la media de todos los sectores a nivel nacional que se ha situado en 2,1 incidentes. Por el contrario, los otros dos sectores relevantes para la economía de la región como son el de Consumo y Distribución y el de Trasporte, Turismo y Servicios se han situado algo por debajo de la media con un 1,4 y 1,33 respectivamente.
Según indica Gianluca D’Antonio, socio de Risk Advisory responsable de la práctica de Ciberseguridad de Deloitte en Comunidad Valenciana y Región de Murcia, estos datos “reflejan un diferente nivel de madurez de los tres sectores, debido también a la inversión en Ciberseguridad que Consumo y Distribución y Trasporte, Turismo y Servicios han elevado al 9% del presupuesto que dedican a tecnología y sistemas”. Sin embargo, en el sector Fabricación, “la Ciberseguridad todavía no ocupa el lugar que le corresponde en la agenda de los responsables de tecnología y esto queda reflejado en la inversión de recursos que alcanza solo un 5% del presupuesto de TI y se sitúa a la cola de todos los sectores”.
Para César Martín Lara, socio de Risk Advisory responsable de la práctica de Ciberseguridad de Deloitte, “en el momento actual, la ciberseguridad es más que nunca una necesidad para las organizaciones. Esto se aprecia en que ha aumentado la concienciación de las empresas con respecto a la importancia de los riesgos digitales, lo que ha derivado en que las organizaciones destinen un mayor presupuesto a la ciberseguridad y a la sensibilización de sus empleados. A pesar de este avance, no obstante, todavía queda un largo camino por recorrer”.
Por otro lado, solo un 66% de las empresas consultadas revisa, al menos, la mitad de las aplicaciones del negocio que se consideran como críticas y, en cambio, solo el 21% de las aplicaciones críticas son revisadas en su totalidad. Esta revisión refuerza la protección de la organización y de sus datos, por lo que preocupa que el 15% de las empresas consultadas no revisen ni la cuarta parte de sus aplicaciones. No obstante, año a año se aprecia una evolución en este sentido y cada vez son menos las empresas que no revisan las aplicaciones que sustentan su negocio.
Hay varios sectores que se encuentran por encima de los dos incidentes de media al año. Entre estos, se encuentra el sector de seguros, TMT (telecomunicaciones, medios de comunicación y tecnología), fabricación, banca y administración pública. Cabe destacar que ciertos sectores como el de la banca y seguros se encuentran fuertemente regulados y cuentan con nivel de madurez en ciberseguridad razonablemente elevado.
El informe de Deloitte pone de manifiesto que existe una relación entre la media de incidentes que reciben las empresas y el presupuesto que estas dedican a la ciberseguridad. Por lo general, las organizaciones que más facturan son las que más invierten en sus departamentos de ciberseguridad. También suelen ser las más atacadas, debido al mayor impacto potencial que puede provocar el ciber atacante. A pesar de ello, se puede comprobar la eficacia de los presupuestos más holgados en ciberseguridad, en relación con el menor número de incidentes sufridos.
Según los resultados del informe de Deloitte, las compañías son conscientes de la necesidad de estar preparadas para hacer frente a los incidentes, por lo que realizan, cada vez más, ciber ejercicios de simulación, además formación en esta materia a la totalidad de los empleados. Esta práctica está incrementándose y la llevan a cabo el 61% de las empresas.
Para Miguel Olías de Lima, senior manager de Risk Advisory especializado en Ciberseguridad de Deloitte, “el entrenamiento de los empleados en la identificación y reporte del phishing es crucial, ya que esta amenaza es el vector de entrada para un gran número de ciber atacantes. En general, observamos cómo las prácticas de formación y sensibilización de las empresas se han incrementado. En este sentido, aquellas que imparten más de 20 horas de formación a sus empleados han recibido únicamente el 15% de los incidentes sufridos en el último año, lo que denota la importancia de sensibilizar a los empleados en esta materia”.
El estudio arroja un dato positivo sobre el grado de concienciación de la alta dirección respecto a la ciberseguridad. En concreto, señala que el 65% de los comités de dirección considera a la ciberseguridad un tema relevante que es tratado periódicamente. Este nivel de concienciación ha experimentado un incremento del 25% respecto al año anterior. Este hecho se pone de manifiesto al observarse que este año la participación de los CISO en los comités de dirección ha aumentado un 12% respecto al año anterior.
Una vez superados los mayores momentos de incertidumbre fruto de la pandemia, la iniciativa privada afronta una nueva realidad de aceleración de su producción y prestación de servicios que va acompañada de un incremento de las partidas destinadas a ciberseguridad. En concreto, Los recursos financieros en materia de ciberseguridad se consolidan y siguen aumentado: representan el 9,4% respecto a los de IT, un 1% más con respecto a 2020.
En este sentido, el 63% de los responsables de seguridad de la información afirma que el presupuesto se incrementará como resultado de la pandemia, mientras que un año atrás, el 57% confirmaba una disminución de su partida de presupuesto en ciberseguridad por esta misma causa.
Casi la totalidad de los sectores está migrando a la nube, una tendencia tecnológica que es imparable. En este sentido, el 19% de las empresas participantes en la encuesta de Deloitte y que cuenta con servicios cloud no dispone de una mínima estrategia definida.
No obstante, debido al incremento del uso de servicios cloud, muchas empresas van más allá de la definición de una simple estrategia y dan el paso a la creación de un marco de controles específicos de seguridad para la nube, que les permita asegurar la protección de dichos servicios. Así, el 71 % de las empresas que dispone de una estrategia de ciberseguridad, también cuenta con un marco de controles específicos para la nube.
Por otro lado, el 75% de las empresas consultadas cuenta con dispositivos IoT en el desarrollo de su negocio. De este porcentaje, el 67% los contempla en su estrategia de ciberseguridad, incrementándose en 11 puntos porcentuales con respecto al año anterior.
Las empresas se enfrentan a la necesidad de defenderse de los ciberataques en una situación de escasez de profesionales formados en la materia.
El informe de Deloitte pone de manifiesto esta situación y señala que las empresas están incrementando notablemente la cantidad de personal de dedicado a ciberseguridad. La incorporación de personas al mercado laboral con formación en ciberseguridad aumenta más lentamente que la demanda. Por este motivo, otros profesionales con formación técnica empiezan a reorientar su carrera hacia la ciberseguridad, debido a la alta oferta.