La creciente importancia que la digitalización ha alcanzado en el ámbito empresarial ha impactado directamente en las necesidades de ciberseguridad de las organizaciones.

El 94% de las empresas españolas ha sufrido al menos un incidente grave de ciberseguridad en 2021

Noticia

Con independencia de su tipología, y en este contexto, el 94% de las empresas ha sufrido al menos un incidente grave de ciberseguridad a lo largo de 2021.

Ciberseguridad y ciberataques_imagen

La media de incidentes anuales ha aumentado un 26 por ciento con respecto al año 2020, pasando de 1,69 a 2,13 en 2021, según el informe de Deloitte 'El estado actual de la Ciberseguridad en España. Post pandemia: un camino inexplorado', en el que se ofrece una panorámica de la ciberseguridad en las organizaciones a través de las respuestas de los responsables de seguridad de la información de más de cien empresas.

Por otro lado, solo un 66 por ciento de las empresas consultadas revisa al menos la mitad de las aplicaciones del negocio que se consideran como críticas y, en cambio, solo el 21 por ciento de las aplicaciones críticas son revisadas en su totalidad.

Esta revisión refuerza la protección de la organización y de sus datos, por lo que preocupa que el 15 por ciento de las empresas consultadas no revisen ni la cuarta parte de sus aplicaciones. No obstante, año a año se aprecia una evolución en este sentido y cada vez son menos las empresas que no revisan las aplicaciones que sustentan su negocio.

Para César Martín Lara, socio de Risk Advisory responsable de la práctica de Ciberseguridad de Deloitte, "ha aumentado la concienciación de las empresas con respecto a la importancia de los riesgos digitales, lo que ha derivado en que las organizaciones destinen un mayor presupuesto a la ciberseguridad y a la sensibilización de sus empleados. A pesar de este avance, no obstante, todavía queda un largo camino por recorrer".

Hay varios sectores que se encuentran por encima de los dos incidentes de media al año. Entre estos, se encuentra el sector de seguros, TMT (telecomunicaciones, medios de comunicación y tecnología), fabricación, banca y Administración Pública.

Por otra parte, y en cuanto a la financiación, el informe de Deloitte pone de manifiesto que existe una relación entre la media de incidentes que reciben las empresas y el presupuesto que estas dedican a la ciberseguridad.

Por lo general, las organizaciones que más facturan son las que más invierten en sus departamentos de ciberseguridad. También suelen ser las más atacadas, debido al mayor impacto potencial que puede provocar el ciberatacante.

Según los resultados del informe de Deloitte, las compañías son conscientes de la necesidad de estar preparadas para hacer frente a los incidentes, por lo que realizan, cada vez más, ciberejercicios de simulación, además formación en esta materia a la totalidad de los empleados. Esta práctica está incrementándose y la llevan a cabo el 61 por ciento de las empresas.

De hecho, el 'phishing' es "el vector de entrada para un gran número de ciberatacantes", como ha apuntado el senior manager de Risk Advisory especializado en Ciberseguridad de Deloitte, Miguel Olías de Lima. Eneste sentido, las empresas consideran el 'phishing' (19%), el 'ransomware' (18%) y el 'malware' (14%) como las amenazas más preocupantes.

"En general, observamos cómo las prácticas de formación y sensibilización de las empresas se han incrementado. En este sentido, aquellas que imparten más de 20 horas de formación a sus empleados han recibido únicamente el 15% de los incidentes sufridos en el último año, lo que denota la importancia de sensibilizar a los empleados en esta materia", explica el directivo.

Alta dirección y recursos financieros

El estudio arroja un dato positivo sobre el grado de concienciación de la alta dirección respecto a la ciberseguridad. En concreto, señala que el 65 por ciento de los comités de dirección considera a la ciberseguridad un tema relevante que es tratado periódicamente. Este nivel de concienciación ha experimentado un incremento del 25 por ciento respecto al año anterior.

Este hecho se pone de manifiesto al observarse que este año la participación de los responsables de seguridad de la información en los comités de dirección ha aumentado un 12 por ciento respecto al año anterior.

Una vez superados los mayores momentos de incertidumbre fruto de la pandemia, la iniciativa privada afronta una nueva realidad de aceleración de su producción y prestación de servicios que va acompañada de un incremento de las partidas destinadas a ciberseguridad. En concreto, los recursos financieros en materia de ciberseguridad se consolidan y siguen aumentado: representan el 9,4 por ciento respecto a los de IT, un 1 por ciento más con respecto a 2020.

En este sentido, el 63 por ciento de los responsables de seguridad de la información afirma que el presupuesto se incrementará como resultado de la pandemia, mientras que un año atrás, el 57 por ciento confirmaba una disminución de su partida de presupuesto en ciberseguridad por esta misma causa.

Asimismo, del informe se desprende que casi la totalidad de los sectores está migrando a la nube, una tendencia tecnológica que es imparable. En este sentido, el 19 por ciento de las empresas que cuenta con servicios 'cloud' no dispone de una mínima estrategia definida.

No obstante, debido al incremento del uso de servicios en la nube, muchas empresas van más allá de la definición de una simple estrategia y dan el paso a la creación de un marco de controles específicos de seguridad para la nube, que les permita asegurar la protección de dichos servicios. Así, el 71 por ciento de las empresas que dispone de una estrategia de ciberseguridad también cuenta con un marco de controles específicos para la nube.

Por otro lado, el 75 por ciento de las empresas consultadas cuenta con dispositivos conectados (IoT) en el desarrollo de su negocio. De este porcentaje, el 67 por ciento los contempla en su estrategia de ciberseguridad, incrementándose en 11 puntos porcentuales con respecto al año anterior.

Por último, informe de Deloitte pone de manifiesto la situación de escasez de profesionales formados en ciberseguridad, y señala que las empresas están incrementando notablemente la cantidad de personal de dedicado a ciberseguridad.

La incorporación de personas al mercado laboral con formación en ciberseguridad aumenta más lentamente que la demanda. Por este motivo, otros profesionales con formación técnica empiezan a reorientar su carrera hacia la ciberseguridad, debido a la alta oferta.