Digitalización, teletrabajo y ciberataques en tiempos de pandemia
La pandemia provocada por la COVID-19 ha impulsado la digitalización, el teletrabajo o las compras online. Esta evolución de la conectividad sugiere una pregunta clara, ¿cómo están afrontando este reto las empresas españolas desde el punto de vista de la ciberseguridad?
El informe El estado de la ciberseguridad en España trata de buscar respuestas a las preocupaciones de los CISOs (Chief Information Security Officer) en el contexto actual. Repasamos los principales datos en cada una de las dimensiones estudiadas.
El tamaño de los equipos dedicados a ciberseguridad
La mayoría de las empresas entrevistadas en el informe supera los 1.000 empleados, sin embargo, el 70% del total dedica menos de una decena de empleados a la ciberseguridad. El dato señala de un modo evidente que este tipo de servicios suele externalizarse, de hecho esta opción es la elegida por el 76%.
Un ejemplo lo encontramos en aquellas que ya cuentan con un Centro de Operaciones de Seguridad (más del 70%). Entre ellas, el 60% reconoce que ha optado por modelos híbridos o totalmente externalizados.
Inversión
Una mayor actividad requiere de un mayor presupuesto y de una optimización adecuada de los recursos. Minimizar los ciberataques debe verse como una inversión y no como un coste, ya que implica un ahorro a largo plazo. El estudio correlaciona el presupuesto invertido con la cantidad de incidentes significativos relacionados con la ciberseguridad. Lo habitual entre aquellas compañías que dedican menos de un 3% de su presupuesto a este ámbito es que sufran hasta dos ataques de gravedad en un mismo año.
En todo caso, las empresas españolas invierten cada vez más en ciberseguridad. En 2018, esta partida suponía un 8,5% del presupuesto destinado a IT/OT. La cifra en 2019 alcanzó el 9%.
Un modelo de gobierno adecuado
Es necesario empoderar al CISO, aunque casi todas las compañías cuentan con un Comité de Seguridad, solo el 69% de los responsables de ciberseguridad participan en él. Algunas áreas como la privacidad o la seguridad física siguen por lo general fuera de las competencias del CISO.
Certificaciones, marco de actuación y formación
Las certificaciones de seguridad, pese a que aumentan el valor de los servicios y productos de las empresas, aún se perciben cómo un esfuerzo prescindible. Más de la mitad de las compañías consultadas, el 60%, no cuenta con ninguna en el ámbito de la ciberseguridad. Entre las que tienen alguna certificación, el 30% de ellas están en ISO/IEC 27001, y de estas, el 67% posee además la ISO 22301.
En todo caso, al hablar del framework usado para gestionar la ciberseguridad, el 75% de las empresas dice seguir usando la ISO como estándar de referencia pese a no tener la certificación. Como marco de seguridad, el Deloitte CSD destaca por su crecimiento, ya que lo utilizan un 28% de las organizaciones (un 10,5% el año anterior).
Preocupa más la formación de los CISOs, ya que hasta un 70% posee algún tipo de certificación relacionada con alguno de los aspectos de la ciberseguridad, siendo las tres más habituales CISM (40%), CISA (32%), e ISO 27001 Lead Auditor (23%).
Con motivo de la pandemia, lo que ha aumentado es la formación y concienciación de los empleados, que ya alcanza a 3 de cada 4 de ellos. Hay que tener en cuenta que la gestión del email es una de las principales vías para provocar un ciberataque.
La revisión de la seguridad y las nuevas tendencias
La adopción de nuevas tecnologías es rápida entre los encuestados. Casi todas las compañías trabajan ya en entornos cloud y hasta un 87% cuenta con dispositivos relacionados con el Internet de las cosas (IoT). Sin embargo, solo el 20% realiza revisiones de seguridad en todas sus aplicaciones críticas frente a un 59% que solo lo hace sobre la mitad de ellas.
La atención a los entornos cloud es mucho mayor en sectores como el de Energía y Recursos, mientras que el sector de Fabricación presta más importancia a lo relacionado con el IoT.
Entorno regulatorio
La regulación sobre ciberseguridad crece todos los años, pero no tiene gran acogida entre las empresas españolas, ya que solo el 25% considera que la legislación que les afecta es necesaria y apenas un 11% la ve eficaz.
Incidentes de seguridad
Durante el último año, el sector de Administración, Salud y Seguros ha sido el que ha reportado más incidentes. Cabe destacar que estos se concentran en muchas ocasiones en compañías que no disponen de ningún tipo de certificación, por lo que se impone la necesidad de definir una adecuada gestión tanto de la ciberseguridad como de la continuidad de negocio.
Entre las principales amenazas, los encuestados destacan el malware, que preocupa a un 68%, mientras que el phishing, en segundo lugar, solo es considerado así por un 18%.
Las preocupaciones del CISO
La interrupción de las operaciones, el riesgo reputacional y la filtración de información confidencial son las principales preocupaciones de los CISOs en España. Ellos mismos consideran que su principal misión es alinear la ciberseguridad con los objetivos de negocio, pero las reuniones con otras áreas apenas suponen un 22% de las tareas que realizan.
Cabe destacar que, en un momento en el que el empoderamiento del CISO se presenta como relevante, tres de cada cuatro empresas consideran que la ciberseguridad es importante y, en consecuencia, es un tema recurrente en sus comités de alta dirección.
El CISO y la pandemia
La pandemia por la COVID-19 y la extensión del teletrabajo, ha complicado las tareas del CISO. La mayoría de las empresas, un 62%, admite que en este año ha sufrido más ataques de los habituales pese a que el 79% se consideraba preparada para afrontar los riesgos del trabajo a distancia.
Lo más preocupante es, sin duda, que la crisis económica está afectando al presupuesto en ciberseguridad. En el 57% de los casos estudiados, la inversión se ha reducido, lo que supone asumir un gran riesgo en el futuro.
Fuente: www2.deleite.com