InformesSeguridad

Las empresas españolas dedican casi el 15% de su presupuesto de TI a ciberseguridad

El porcentaje del presupuesto del área de TI dedicado a protegerse de riesgos cibernéticos en España ha crecido 6 puntos en solo un año (14,93%), hasta situarse 2 puntos por encima de la media del estudio (12,95%), según un estudio de Hiscox.

El tejido empresarial español lidera el ranking de empresas que más porcentaje del presupuesto de TI dedican a ciberseguridad, una media de 14,93%, lo que significa que ha crecido 6 puntos en solo un año hasta situarse 2 puntos por encima de la media del estudio (12,95%). Esta es una de las principales conclusiones que ofrece el Informe de Ciberpreparación de Hiscox 2020, la cuarta edición del informe internacional anual realizado por la aseguradora especializada en seguros para empresas y profesionales.

El estudio analiza la preparación cibernética del tejido empresarial mundial, así como sus planes para los próximos 12 meses. Los datos han sido extraídos de entrevistas, realizadas hasta el mes de febrero de 2020, a directores, jefes de departamento, CIO y otros profesionales clave de 5.569 entidades representativas por tamaño y sector de actividad de ocho países (Alemania, Bélgica, España, Estados Unidos, Francia, Gran Bretaña, Irlanda, y Países Bajos).

Además, el tejido empresarial español ocupa el Top3 en intención de inversión para 2020 junto con EEUU y Gran Bretaña. Estos son los tres países cuyas entidades analizadas muestran mayor intención de incrementar su presupuesto. En el caso de las empresas españolas, el 72% aumentará su inversión en ciberseguridad general, el 42% en formación interna y el 39% en contratación de profesionales especializados.

Una inversión necesaria

Los resultados de este año ponen de manifiesto la brecha en ciberpreparación que se está produciendo en el tejido empresarial español, y que hace que las empresas españolas se sitúen lejos de la media del estudio en recursos y disposición para detener un ataque o recuperarse del mismo. Las empresas españolas calificadas como ciberexpertas han pasado en solo un año de ser el 9% al 14% de las analizadas, pero aún se sitúan 4 puntos por debajo de la media del resto de países (18%). Además, España continúa siendo el país con más compañías calificadas como cibernovatas, más de 7 de cada 10 de las analizadas (72%).

España continúa siendo el país con más compañías calificadas como cibernovatas por el estudio (72%)

“En los últimos tres años las empresas españolas calificadas como cibernovatas tan solo se han reducido del 75% a 72%. Se está produciendo una brecha en nuestro tejido empresarial. Por un lado, compañías y profesionales que poco a poco van evolucionando la robustez de sus estrategias de ciberseguridad, y por otro más de 7 de cada 10 no consiguen mejorar su ciberpreparación. El ecosistema de ciberseguridad de nuestro país debe poner el foco en estas compañías, en su mayoría pymes y micropymes, para que nadie se quede atrás”, analiza Alan Abreu, responsable de riesgos cibernéticos de Hiscox.

El número de empresas que alcanzaron el nivel de ‘experto’ en el total del informe, dentro del modelo de preparación cibernética desarrollado por el estudio, aumentó del 10% al 18%, tras dos años sin crecimiento significativo de este parámetro. Las empresas estadounidenses e irlandesas obtuvieron mejores resultados, con un 24% calificadas como ‘ciberexpertas’. Francia fue el país que experimentó una mayor mejoría respecto al año pasado: de un 6% a un 18%.

Fallos de seguridad

Solo el 38% de los encuestados españoles considera que su empresa está en riesgo de tener un incidente cibernético, 10 puntos menos que la media del estudio. Una realidad peligrosa si se tiene en cuenta que según el estudio de Hiscox, los costes por ciberataques en España están un 30% por encima de la media: las compañías españolas que afirman haber sufrido un fallo de seguridad estiman que el coste medio para restablecer la actividad superó los 66.800€, mientras que la media del estudio se sitúa en 50.900€.

Entre las actividades que conforman el tejido empresarial español, el sector energético e industrial lideran el ranking de incidentes, la mitad de las compañías (50%) reconocen al menos un suceso de esta naturaleza, junto con consultorías (48%) y distribución (47%). Les siguen los sectores de logística y transporte, salud y farmacia y TI & Telecom, el 42% de las compañías encuestadas dedicadas a estas industrias afirman haber sufrido algún incidente en 2019.

El coste medio que asumen las compañías españolas para restablecer la actividad tras un fallo de seguridad es de 66.800€

Transferencia del riesgo

El informe analiza también el comportamiento de las compañías a la hora de resolver estos incidentes, y concluye que 4 de cada 10 (41%) empresas españolas reconoce no informar totalmente a las partes internas y externas implicadas cuando se ha producido un incidente cibernético que ha puesto en riesgo datos de estos. Además, casi 3 de cada 10 de las compañías españolas que han sufrido un ataque ransomware han pagado el rescate para poder recuperar el acceso a sus sistemas. Este dato significa que el 7% del total de las empresas españolas encuestadas pagó un rescate en 2019.

Respecto a la transferencia de este riesgo a un tercero, a través de una póliza aseguradora, 6 de cada 10 de las empresas españolas analizadas afirman disponer de coberturas que cubren estos riesgos, pero solo el 25% dispone de un seguro especializado en riesgos cibernéticos.

Análisis ante la COVID-19

"En los últimos meses se ha generado una gran incertidumbre a raíz de la COVID-19, el panorama empresarial se está transformando y tiene la necesidad de adaptarse rápidamente a un entorno incierto. Estimamos que esta situación creará más dudas a las empresas que ahora se sienten seguras. Además, estas compañías podrían enfrentarse a una reducción general de presupuestos que podría reducir la dimensión de recursos dedicados a ciberseguridad, con posibles consecuencias muy perjudiciales. En este sentido, esperemos que en el peor de los casos si no pueden poner en marcha las previsiones manifestadas durante las entrevistas, al menos no disminuyan los presupuestos existentes y desanden el camino ya recorrido. Por último, aquellas empresas que han aprovechado las circunstancias para poner en marcha el trabajo remoto y el eCommerce, continuaran siendo objetivo principal de ciberdelincuentes, por lo que necesitan dedicar tiempo a su ciberpreparación y a la de sus empleados”, concluye Alan Abreu.

Computing 794