La digitalización forzada a la que se han visto una mayoría de compañías como consecuencia de la pandemia de coronavirus, ha incentivado un aumento de los ataques a las infraestructuras tecnológicas de las corporaciones, de acuerdo con lo percibido por un 62% de empresas españolas.
Así lo recoge el último informe de Deloitte, El estado de la ciberseguridad en España, tras haber analizado las políticas de ciberseguridad de una variedad de empresas de nuestro país, y donde se observa que, a pesar del incremento de los ataques detectados, la crisis sanitaria ha ocasionado que un 57% de compañías haya disminuido la partida destinada a ciberseguridad.
Precisamente, se observa una correlación entre el presupuesto designado a ciberseguridad y los incidentes que una organización experimenta. En este sentido, aquellas que dedican un 3% de su presupuesto de IT/OT a ciberseguridad – la media se sitúa en el 9,3%-, sufren una mayor cantidad de incidentes, pudiendo llegar a dos al año de media.
“La ciberseguridad ha pasado de ser percibida como un lujo a ser una necesidad de las organizaciones. Estas precisan, no obstante, destinar mayor porcentaje de su presupuesto IT si quieren mejorar su seguridad y minimizar los ciber incidentes, un riesgo que puede comprometer la continuidad de negocio y afectar seriamente a la sostenibilidad de la compañía”, ha recomendado Gianluca D’Antonio, socio de risk advisory especializado en ciberseguridad de Deloitte.
Preguntadas acerca del número de ataques sufridos, un 76% de empresas encuestadas ha señalado entre uno y dos incidentes significativos, siendo Administración, Salud y Seguros los sectores que más ciberataques han reportado en el último año. Por otro lado, un 77% de estas compañías no posee ningún tipo de certificación.
Según los analistas, este último dato pone de manifiesto la importancia de definir una adecuada gestión de la ciberseguridad, lo que beneficia la mitigación de los riesgos, la mejora de la formación y concienciación de los empleados, así como el análisis de las causas de los ciber incidentes, para evitar que vuelvan a repetirse en el futuro.
Falta de formación a empleados
Un presupuesto ajustado y una escasa posesión de certificados no indica, sin embargo, que las compañías españolas no estén concienciadas acerca de la importancia de la ciberseguridad. De hecho, un 91% cuenta con un comité de seguridad, y un 46% dispone también de un comité de respuesta a incidentes y de un comité de crisis.
No obstante, en una de cada cuatro compañías no se realiza ningún tipo de actividad de formación y concienciación de los empleados en esta materia. Según se recoge en el estudio, los trabajadores, y su gestión del email, son uno de los vectores de entrada de software más utilizados, por lo que se entiende que su falta de formación puede provocar en el medio y largo plazo más incidentes de ciberseguridad.
Entre las que sí lo hacen, dedican de media 25 horas anuales por empleado en formación y unas 130 horas en concienciación. Aunque, como consecuencia de la pandemia, se prevé que estas cifras sigan aumentando en un futuro.
Escasez de revisiones de seguridad
La capacidad tecnológica de las organizaciones es cada vez mayor, tal y como lo constata el hecho de que un 87% disponga de dispositivos de Internet de las Cosas (IoT). La revisión de estos dispositivos resulta crucial para evitar amenazas y vulnerabilidades, pero algo menos de la mitad (46%) no integra dicha revisión en su estrategia de ciberseguridad. Y en un 42% de estos casos se realiza cada doce meses o menos.
De igual modo, es mayoría las compañías que han migrado sus servicios a la nube – un 96% de las organizaciones tiene aplicaciones en cloud-. Sin embargo, todavía un 65% cuenta con un marco de controles específicos para esta tecnología, y de las empresas que poseen una estrategia cloud, solo en el 77% de los casos dicha estrategia se ha traducido en un marco de controles.
Por último, en lo que respecta a la revisión de aplicaciones, un 59% las realiza únicamente sobre la mitad de las consideradas como críticas para su negocio, frente al 20% que las lleva a cabo en todas sus aplicaciones.