La media de incidentes de ciberseguridad sufridos por las compañías españolas disminuyó notablemente a lo largo del 2022, lo que indica que las empresas amentaron tanto su tamaño como la robustez de sus medidas de seguridad aumentó y con ello alcanzaron un nivel de madurez más alto.
Esta es una de las principales conclusiones extraídas por Deloitte en la cuarta edición de "El estado de la ciberseguridad en España", un informe que recoge la opinión de más de un centenar de CISO (Chief Information Security Officer) de grandes compañías españolas y que analiza los retos y oportunidades en materia de ciberseguridad.
Según destaca, hasta el 95% de los encuestados asegura que su empresa está más preparada para hacer frente a un ciberincidente, lo que representa un incremento del 9% respecto a 2021. Es decir, cada vez más compañías sienten la necesidad de prepararse ante el riesgo de verse afectada por un incidente de seguridad y ante los efectos que podrían causar en su negocio, y que tratan de mitigar.
"En cada nueva edición de nuestro informe, comprobamos que las empresas españolas son más conscientes de los riesgos digitales y de la necesidad de contar con una estrategia de ciberseguridad alineada a la de negocio, así como reforzar sus presupuestos y la formación a los colaboradores", señala Gianluca D'Antonio, socio de Risk Advisory-Cyber de Deloitte, y advierte:
"A pesar de este avance, la sofisticación de las amenazas actuales –y la posible aparición de otras nuevas–, hace imprescindible que las compañías sigan invirtiendo recursos para estar preparadas para hacer frente y salir reforzadas de cualquier eventualidad que se les presente".
El informe muestra que el 62% de las empresas españolas aumentó su presupuesto para ciberseguridad en 2022, aunque la inversión destinada difiere mucho en función del tamaño y el sector. De media, oscila entre los 500.000 y los 5 millones de euros (54% de los encuestados). Por sectores, Banca y Energía y Recursos son los que más dinero destinan a la ciberseguridad (más de 30 millones euros), mientras que Consumo y Distribución se sitúan en el otro extremo (menos 500.000 euros). Por áreas, la cobertura de servicios externos y gastos operativos (OPEX) son las más beneficiadas.
Los ciberincidentes más comunes
Mientras que, como hemos comenzado señalando, el año pasado descendió de forma significativa la media de ciberincidentes sufridos por las empresas, el informe indica que las amenazas más comunes son el ransomware y el phishing (ambas con un porcentaje de ocurrencia de ciberamenazas del 15% en 2022), seguidas del malware (11%). No obstante, apunta una caída de las dos últimas categorías, a pesar de que siguen estando entre las más habituales. Asimismo, se observa que otras ciberamenazas cuya ocurrencia era nula en ediciones anteriores han aumentado, como los web application attacks (7%) las botnets (4%) y, en menor medida, el cryptojacking (1%).
Formación y ciberseguros
Las compañías son conscientes de que el factor humano es una de las principales 'bazas' de los ciberdelincuentes, por lo que siguen apostando por la formación de los equipos e incrementaron las horas destinadas a la concienciación tanto a nivel presencial (+6%) como online (36%).
Para prevenir que estas amenazas se materialicen, Deloitte destaca que es esencial que las empresas realicen comprobaciones periódicas de las aplicaciones críticas para asegurar la protección de la información a través de revisiones de seguridad. En este sentido, el informe refleja que en nuestro país, el 60% revisa, al menos, la mitad de estas aplicaciones y casi el 40% lo hace anualmente.
Otra herramienta importante son las simulaciones de cibercrisis e incidentes, que sirven para preparar los equipos y elaborar protocolos de respuesta diversos. En 2022, el 64% de las compañías españolas llevó a cabo este tipo de ejercicios, aunque solo el 11% lo hizo de forma continua (porcentaje similar al registrado en 2021).
El informe también incluye las cifras de contratación de ciberseguros, ya que su popularidad se ha disparado en los últimos años y se están convirtiendo en una de las medidas de seguridad más utilizadas por las compañías. Los sectores que más optan por contratarlos son Banca, Energía y Recursos, seguidos de Seguros, Hostelería y Servicios. Por el contrario, los menos partidarios a los ciberseguros son la Administración Pública, Telecomunicaciones, Media y Tecnología, y Farma y Sanidad.
Además, el estudio pone de manifiesto que cuanto mayor es el número de incidentes sufridos a lo largo del año, mayor será el presupuesto destinado por las compañías a la contratación de estos productos.
Estrategia y reporting
A medida que la ciberseguridad adquiere una mayor importancia dentro de las compañías, se incrementa la necesidad de contar con una estrategia formal y documentada. En esta línea, las empresas españolas también han sacado nota ya que nueve de cada diez asegura contar con estos planes y revisarlos de forma periódica. Además, la mayoría (86% de los encuestados) alinea sus estrategias a la del negocio.
Por otra parte, el informe deja patente la creciente importancia de la ciberseguridad en las capas directivas. Seis de cada diez altos directivos de las compañías encuestadas considera que la ciberseguridad es un tema relevante y lo aborda de forma periódica. Así, por ejemplo, aunque la mayoría de los CISO depende del CIO (Chief Information Officer), el responsable de la seguridad de la información ha incrementado su participación en el comité de dirección (+5%) y el 76% reporta a la dirección al menos una vez al año.
Talento
En cuanto al talento y los equipos, el estudio de Deloitte indica que la mitad de las organizaciones españolas tiene menos de 10 colaboradores dedicados exclusivamente a labores de ciberseguridad si bien, en la misma proporción, externalizan en torno al 50% de estas funciones, aunque también existen ciertas particularidades en relación al tamaño de la empresa. Por ejemplo, la mayoría de las compañías de entre 50 y 100 empleados no delega en terceros las tareas relativas a la ciberseguridad, mientras que las que sobrepasan los 1.000 colaboradores pueden superar el 50%. En ambos casos (tamaño del equipo y nivel de externalización), los resultados son muy similares a los de la edición anterior.
Papel del CISO
La cuarta edición de "El estado de la ciberseguridad en España" también ha concluido que durante el 2022 los CISO se han implicado aún más en los proyectos de ciberseguridad relevantes para las compañías (49% frente a un 45% en 2021). Esta fue su tarea más importante durante el año pasado, lo que le ha llevado a prestar menos atención a la evaluación y monitorización de la estrategia de Seguridad de la Información (32% frente a un 46% en 2021). En la tercera posición de sus agendas está mantener reuniones con los líderes de otras áreas de negocio (que en 2022 también descendió del 16% de 2021 al 10%).
En palabras de César Martín Lara, socio de Risk Advisory de Deloitte: "El rol del CISO está evolucionando en la medida en la que la ciberseguridad se está convirtiendo en una necesidad primordial para las compañías españolas. Tal y como se indica en la última edición del informe, está aumentando su participación de los comités y, en la mayoría de las organizaciones españolas, ya tiene establecida una línea de reporting directa con la dirección".
Finalmente, cabe resaltar que las principales áreas de responsabilidad de los CISO en 2022 fueron, en este orden, el gobierno de la ciberseguridad, las operaciones y las políticas, mientras que los riesgos que les generan una mayor preocupación son la interrupción de las operaciones (85%), el riesgo geopolítico (44%) y el fraude económico (26%).