El 76% de las empresas españolas, o compañías cuya base de operaciones de seguridad se encuentra en nuestro país, ha tenido un ciberincidente con consecuencias significativas en los últimos seis meses. A pesar de ello, y aunque el número de ciberamenazas ha aumentado progresivamente, así como su probabilidad e impacto, las empresas afirman haber sufrido menos ciberincidentes en el año 2018 que en 2017, según afirma el 62% de las empresas.
Estos y otros datos se desprenden del informe de Deloitte “Las preocupaciones del CISO”, una encuesta realizada a más de medio centenar de empresas españolas u organizaciones cuya base de operaciones de seguridad reside en España, con la que se pretende compartir con la sociedad el estado de la ciberseguridad en las empresas españolas.
Para Gianluca D’Antonio, socio de Risk Advisory de Deloitte, “el informe pone de manifiesto que la figura del CISO y la ciberseguridad continúa ganando relevancia en el entorno empresarial español. Un ejemplo de ello lo encontramos en el sector banca, en el que el 100% de la alta dirección de las empresas encuestadas considera la ciberseguridad como clave y la abordan periódicamente. No obstante, debe seguir incrementándose la concienciación en otros sectores empresariales.”
Mayor inversión, menor número de ataques
Existe una relación directa entre el aumento progresivo de los ingresos de las empresas y el incremento en el número de ciberataques que sufren, ya que estas se convierten en un objetivo con mayor retorno/impacto por parte del atacante. En este sentido, las empresas que facturan entre 2.000 y 5.000 millones de euros son las que experimentan un mayor número de incidentes al año, prácticamente cuatro.
No obstante, a partir de un punto elevado de ingresos –más de 5.000 millones de euros- el número de ataques desciende, debido a las medidas preventivas y a una mayor inversión en ciberseguridad.
Entre las principales conclusiones de la encuesta, se destaca también que el 89% de las empresas que tienen un ciberseguro no lo ha tenido que utilizar nunca.
La ciberseguridad, por sectores
El informe de Deloitte pone de manifiesto que, todavía, existe un porcentaje de empresas españolas que carece de confianza a la hora de enfrentarse a un ciberataque. En este sentido, el 30% de las empresas considera que está poco o nada preparada para hacer frente a un incidente de seguridad.
El sector de la banca, según afirma el 86%, es el que se siente más preparado a la hora de enfrentarse a un ciberataque. Asimismo, el 83% de las empresas del sector banca alinea su estrategia de ciberseguridad con el negocio, liderando esta coordinación.
En el sector energético, un ámbito crítico y de relevancia estratégica para nuestro país, menos de la mitad, concretamente el 47%, de las empresas se sienten preparadas para afrontar un incidente de seguridad.Este sector, en un porcentaje alto –el 93%-, considera la interrupción de las operaciones de negocio como su principal preocupación.
Por su parte, dentro del sector consumo y distribución, el 67% de las empresas afirma estar preparada para recibir un ciberataque.
Por otro lado, el 71% de las empresas que se sienten poco o nada preparadas para hacer frente a un incidente de seguridad opta por la opción del ciberseguro.
Inversión en ciberseguridad
Las empresas españolas dedican a ciberseguridad una media del 8,5% del presupuesto destinado a IT/OT. Dentro de esta partida, deciden invertir mayor cantidad en Protección (40%); Vigilancia (26%); y, por último, en Resiliencia (18%) y Gobierno (15%).
Las empresas que invierten más del 10% del presupuesto de IT/OT en ciberseguridad reportan 0,6 incidentes de seguridad al año de media, mientras que las que dedican menos del 10% experimentan 3 incidentes por año.
Para Miguel Olías, gerente de Risk Advisory de Deloitte, “la diferencia entre ambos rangos es bastante notable, llegando a cuadriplicar el número de incidentes, lo que recalca la importancia de establecer un presupuesto adecuado para minimizar los impactos en caso de un ciberincidente o ataque”.
Certificaciones
El 72% de los CISOS que ha participado en la encuesta afirma que su empresa no dispone ni de la certificación ISO 27001 ni de la ISO 22301. Ambos estándares están relacionados con la seguridad de la información y con la continuidad del negocio, ya que facilitan la preparación ante posibles ataques cibernéticos.
A pesar de ello, la mitad de los CISOS cuyas empresas no están certificadas en ciberseguridad afirma que su organización está preparada o bastante preparada ante incidentes de este tipo.
Por otro lado, el 66% de las empresas que poseen la ISO 22301 está certificada también en la ISO 27001, lo que podría demostrar que, cuando una organización entra en procesos de certificación, tiende a optar a varias certificaciones en materia de Seguridad de la Información.
