Los ciberataques mantienen una tendencia al alza, pero más de la mitad de las grandes empresas (el 55%) no se defiende eficazmente ante ellos detectando y solucionando los fallos rápidamente o reduciendo su impacto. Así se desprende del informe "Estado de la ciberresiliencia 2021" ("State of Cyber Resilience"), elaborado por Accenture a partir de una encuesta a más de 4.700 ejecutivos de países de todo el mundo, entre los que se encuentra España.
El estudio muestra que a lo largo del año pasado hubo una media de 270 ataques por empresa, lo que supone un aumento del 31% respecto al 2020. Si se observan los resultados de la muestra efectuada en España, el incremento de los ciberataques fue de un 260% respecto a 2020. En cuanto al resto de porcentajes, la media en España se encuentra dentro del rango de resultados que muestra la encuesta global.
El informe también pone de manifiesto que el 81% de todos los encuestados cree que "adelantarse a los atacantes es una batalla constante y el coste es insostenible", frente al 69% que tenía esa creencia en el 2020, un aumento del 12%.
En cuanto al gasto en ciberseguridad, el 82% de los encuestados aumentó su inversión en ciberseguridad tanto a nivel global como en España. Este porcentaje se debe al aumento de infracciones – incluidas el acceso no autorizado a datos, aplicaciones, servicios, redes o dispositivos – que se disparó un 31% a nivel mundial con respecto al año anterior, llegando a 270 de media por empresa. En España el aumento de ciberataques es significativamente mayor, con un 236% respecto al 2020 (160 ataques frente a 48).
"Desde los ciberdelincuentes corrientes hasta los profesionales más sofisticados, los ciber-adversarios son cada vez más ingeniosos a la hora de encontrar nuevas formas de llevar a cabo sus ataques", ha afirmado Kelly Bissell, quien dirige Accenture Security a nivel mundial.
"Nuestro análisis revela que las organizaciones se centran con demasiada frecuencia únicamente en los resultados empresariales a costa de la ciberseguridad, lo que genera un mayor riesgo. Aunque conseguir el equilibrio adecuado no es fácil, aquellos que tienen una visión clara del panorama de las amenazas y una fuerte alineación entre los profesionales y los resultados del negocio, consiguen mayores niveles de ciber-resiliencia".
El riesgo de terceros sigue predominando y es necesario extender los esfuerzos de ciberseguridad
El informe destaca la necesidad de extender los esfuerzos de ciberseguridad más allá de los propios límites de la empresa a todo su ecosistema, advirtiendo que siguen creciendo los ataques indirectos – es decir, aquellos dirigidos a una organización a través de la cadena de suministro.
Por ejemplo, a pesar de que dos tercios (67%) de las organizaciones consideran que su ecosistema es seguro, los ataques indirectos representan el 61% de todos los ciberataques del año pasado, frente al 44% del 2020. Con respecto a la migración a la nube del sistema de seguridad, el 38% de la muestra española asegura que la nube todavía no forma parte de la discusión en torno a la seguridad, seis puntos por encima del resultado arrojado en la encuesta global (32%).
Cómo ser un "ciberdefensor"
Además, la investigación identifica cuatro niveles de ciberresiliencia entre los que se encuentra un pequeño grupo de empresas denominadas "ciberdefensores": organizaciones que sobresalen en ciberresiliencia, pero que también se alinean con la estrategia empresarial para lograr mejores resultados de negocio. Según Accenture, si se comparan con otras empresas los "ciberdefensores" son mucho más propensas a:
- Conseguir un equilibrio entre la ciberseguridad y los objetivos empresariales.
- Informar al director general y al consejo de administración y demostrar una relación mucho más estrecha con la empresa y el director financiero.
- Consultar a menudo con los directores generales y los directores financieros cuando desarrollan la estrategia de ciberseguridad de su organización.
- Proteger a su organización de la pérdida de datos.
- Integrar la seguridad en sus iniciativas en la nube.
- Medir la madurez de su programa de ciberseguridad por lo menos anualmente
"Invertir más en ciberseguridad sin estar estrechamente alineados con el negocio no hace que una organización sea más segura", ha asegurado Xabier Mitxelena, managing director de Accenture Security en España, Portugal e Israel. "Cuando se trata de gestionar los riesgos, las organizaciones no pueden permitirse dudar. Para lograr una ciber-resiliencia sostenible y medible, los directores de seguridad de la información deben alejarse de los silos solo centrados en la seguridad para colaborar con los ejecutivos adecuados en la organización y obtener así una visión de 360 grados de los riesgos y prioridades del negocio".