El 76% de las empresas españolas sufrió un ciberataque en los últimos seis meses, según Deloitte

Los problemas de ciberseguridad se han convertido en una auténtica pesadilla para las compañías de todo el mundo, y los datos muestran por qué. En España, tres de cada cuatro empresas ha sufrido un ciberincidente en los últimos seis meses, según una encuesta de Deloitte realizada a más de 50 empresas españolas u organizaciones cuya base de operaciones de seguridad reside en España. Pese a lo abultado del dato (un 76% de las empresas), el número de ciberataque sufrido en 2018 es menor que en 2017, según el 62% de las compañías encuestadas.

El informe muestra igualmente que las empresas que facturan entre 2.000 y 5.000 millones de euros son las que experimentan un mayor número de ciberataques al año (prácticamente cuatro), ya que estas se convierten en un objetivo con mayor retorno/impacto por parte del atacante. No obstante, el número de ataques desciende en las que facturan más de 5.000 millones debido a las medidas preventivas que aplican y a una mayor inversión en ciberseguridad.

La encuesta también revela que las organizaciones más maduras y más reguladas son las que mayor inversión efectúan en el área de gobierno de ciberseguridad. Y llega a varias conclusiones. Entre ellas, que el 30% de las empresas considera que está poco o nada preparada para hacer frente a un ciberataque y que de media las empresas españolas dedican a ciberseguridad el 8,5% del presupuesto destinado a tecnologías de la información. Un 40% se destinaría a protección, un 26% a vigilancia, un 18% a resiliencia y un 15% a gobierno de ciberseguridad. Las empresas que invierten más del 10% del presupuesto de TI en ciberseguridad reportan 0,6 incidentes de seguridad al año de media, mientras que las que dedican menos del 10% experimentan tres incidentes por año.

El 71% de las empresas que se sienten poco o nada preparadas para hacer frente a estos incidentes opta por la opción del ciberseguro. El estudio, que trata de mostrar el estado de la ciberseguridad en las empresas españolas, revela, en este sentido, que el 89% de las firmas que tienen un ciberseguro no lo ha tenido que utilizar nunca.

“El informe pone de manifiesto que la figura del CISO [director de seguridad de la información y la ciberseguridad] continúa ganando relevancia. Un ejemplo lo encontramos en el sector banca, en el que el 100% de la alta dirección de las empresas encuestadas considera la ciberseguridad como clave y la abordan periódicamente. No obstante, debe seguir incrementándose la concienciación en otros sectores empresariales”, señala Gianluca D’Antonio, socio de Risk Advisory de Deloitte.

Por sectores, el trabajo de la consultora muestra ciertamente que la banca es la que se siente más preparada a la hora de afrontar un ciberataque (un 86%), un porcentaje que baja hasta el 67% en el caso del sector consumo y distribución y un 47% en el sector energético. Y ello pese a que en este último sector, "un ámbito crítico y de relevancia estratégica para nuestro país", un porcentaje alto (el 93%) considera la interrupción de las operaciones de negocio como su principal preocupación.

Otros datos relevantes del informe tienen que ver con las certificaciones y con las tecnologías. Sobre el primer punto, el 72% de los directores de seguridad de la información de las empresas afirma que su compañía no dispone ni de la certificación ISO 27001 ni de la ISO 22301, dos estándares están relacionados con la seguridad de la información y con la continuidad del negocio. Y, sobre el segundo, el estudio de Deloitte muestra cómo tecnologías como la inteligencia artificial, el machine learning y los algoritmos predictivos están plenamente implantadas en la seguridad cibernética, porque todas ellas permiten manejar enormes cantidades de datos y reconocer posibles amenazas. También el internet de las cosas está presente en la estrategia de ciberseguridad de las empresas, tal y como señala el 86% de las encuestadas.

El informe también apunta que menos del 20% de los servicios críticos para las empresas están alojados en la nube, lo que mostraría que las empresas prefieren mantenerlos en sus instalaciones (In House) y muy pocas ha recurrido a tecnologías Blockchain para la ciberseguridad de sus organizaciones.