En el actual entorno cambiante, la generalización del teletrabajo, como consecuencia de la pandemia, ha puesto el foco en la importancia de la ciberseguridad. Sin embargo, la apertura del abanico de los riesgos derivados de este nuevo contexto social, también ha evidenciado que para muchas compañías el papel del CISO todavía es una asignatura pendiente. Con la llegada de la emergencia sanitaria y la extensión de fórmulas de trabajo en remoto, el 62% de las empresas ha experimentado un aumento de los intentos de ataque a su infraestructura tecnológica, según recoge el estudio sobre El estado de la ciberseguridad en España, elaborado por Deloitte.
En esta segunda edición, el equipo de Cyber Strategy, Transformation and Assessment (CSTA) de la Big Four ha tomado una nuestra de más de 60 empresas nacionales o cuya base de operaciones de seguridad reside en España. En este nuevo escenario, el informe muestra cómo, por regla general, este tipo de servicios suelen externalizarse, una opción elegida por el 76% de las encuestadas. Igualmente, el tamaño de los equipos dedicados a la ciberseguridad suele ser reducido. La mayoría de las compañías participantes en la muestra supera los 1.000 empleados y, sin embargo, el 70% dedica menos de una decena de trabajadores a este ámbito.
En cualquiera de las opciones elegidas, la protección frente a posibles ataques debe ser entendida como una inversión a largo plazo. De esta forma, desde Deloitte correlacionan los fondos destinados con la cantidad de incidentes sufridos y, exponen, que aquellas compañías que dedican menos de un 3% de su presupuesto a la ciberseguridad, posiblemente sufrirán hasta dos ataques de gravedad en un mismo ejercicio. En los últimos años, las empresas españolas estaban aumentado su inversión en este campo. No obstante, la crisis económica también ha hecho mella aquí y en el 57% de los casos la han reducido asumiendo un riesgo para el futuro.
La constante adopción de nuevas tecnologías muestra cómo cada vez más compañías se mueven en entornos cloud y un gran número ya cuenta con dispositivos relacionados con Internet de las cosas (IoT). A pesar de esto, el informe también destaca la necesaria concienciación en torno a la revisión de la seguridad. Así, solo el 20% realiza reconocimientos en todas sus aplicaciones críticas, frente al 59% que solo lo hace sobre la mitad de ellas, a pesar de que las buenas prácticas del mercado recomiendan un examen anual. Entre las principales amenazas dentro del contexto tecnológico, los encuestados señalan como sus máximas preocupaciones el malware, con un 68%, seguido del phishing y web application attacks.
Asimismo, durante el último año, el sector que ha reportado más incidentes ha sido el de Administración, Salud y Seguros. Por su parte, desde la llegada de la COVID-19, los empleados sí han aumentado tanto su formación como su concienciación, alcanzando hasta a 3 de cada 4. Un dato significativo teniendo en cuenta que la gestión del email representa una de las principales vías a través de las que es posible provocar un ciberataque, de forma que el papel de los trabajadores cobra más importancia que nunca.
Empoderamiento del CISO
Actualmente, el entorno regulatorio sobre la ciberseguridad está en constante crecimiento, aunque no ocurre lo mismo en las empresas españolas. Únicamente el 25% considera que la legislación que les afecta es necesaria y solo un 11% la ve eficaz. En esta línea, con las certificaciones de seguridad ocurre lo mismo, ya que todavía se perciben como algo innecesario y el 60% no cuenta con ninguna relacionada con este ámbito.
En este contexto, surge la necesidad de empoderar al CISO, un rol cada vez más relevante en las compañías. Para estos profesionales, entre sus principales preocupaciones destacan la interrupción de las operaciones, el riesgo reputacional y la filtración de información confidencial. En estos momentos, el 91% de las empresas cuenta con un Comité de Seguridad, sin embargo, solo el 69% de los responsables de ciberseguridad participan en él. Además, en muchos casos, las actividades dirigidas a la privacidad de la información (GDPR) y la seguridad física suelen quedar fuera de su entorno de responsabilidades, debido a que muchas empresas suelen optar por el nombramiento de figuras específicas para la realización de dichas tareas.
Tecnología