La sensación de vulnerabilidad ha sido una constante entre las empresas españolas en los últimos meses y este año tendrán que abordar varios retos de ciberseguridad. Sin embargo, todavía hay una mayoría que no cuenta con una suficiente madurez en esta materia. Así lo pone de manifiesto el Informe sobre Madurez Digital en España 2020-2021, centrado en Ciberseguridad y elaborado por Minsait y SIA, compañías de Indra, a partir de entrevistas con responsables de un centenar de grandes empresas y organismos de España y del resto de Europa, así como con algunos de los mayores expertos ciberseguridad.
Según ha determinado, un 56% de las de las empresas carece de una estrategia de ciberseguridad bien definida y está lejos de cumplir con el modelo de Organización Digitalmente Protegida. Y advierte que esto pone en peligro su viabilidad y su futuro en la era digital, en la que el teletrabajo multiplica el riesgo y el comercio electrónico crece exponencialmente.
Adicionalmente, muestra otros datos preocupantes. Por un lado, que el 73% de las empresas no cuenta con los mecanismos de incentivos, formación y comunicación precisos para sus profesionales, que faciliten un cambio necesario en la organización en materia de ciberseguridad. Por otro, que el 90% de las compañías no ha incorporado perfiles de profesionales especializados en ciberseguridad.
"Todo ello hace imprescindible contar con el apoyo de socios especializados que ofrezcan una visión integral ante los desafíos planteados en un sector hiperespecializado y en continuo cambio", subraya Minsait.
Falta de protección de las empresas
Esta necesidad es aún más patente cuando solamente el 22% compañías ha implementado una medida tan importante como es la gestión centralizada de identidades, en un momento en el que la suplantación de la identidad digital y el robo de contraseñas es uno de los principales vectores de ataque. La falta de protección de las empresas también queda reflejada en el informe al comprobar que un 45% de las organizaciones no se apoya en un Centro de Operaciones de Ciberseguridad, imprescindible para detectar los ataques y poder reaccionar.
"Esta situación se hace más grave cuando el 90% de los ciberataques utiliza alguna técnica de ingeniería social para romper la primera línea de defensa de las empresas y, durante la pandemia, los ataques de phishing se han disparado un 6.000%. Ante estos hechos subyace un problema de falta de visión estratégica", asegura la compañía de Indra.
En este sentido, Luis Álvarez, CEO de SIA, ha declarado que "la mitad de las empresas no han incorporado aún la ciberseguridad a sus agendas y le dan un tratamiento meramente táctico, centrándose en la adquisición de herramientas y olvidando aspectos decisivos como son la cultura, los procesos y las personas".
Las compañías deben contemplar la ciberseguridad como parte de su política de buen gobierno, pero parece lejos de alcanzarse: el 68% aún no cuenta con la figura de un CISO (Chief Information Security Officer), como responsable ejecutivo de la seguridad de la información y de su alineamiento con los objetivos de negocio.
Todo ello deriva en que un 82% de las empresas no mantiene actualizados los registros de activos digitales a proteger y un 90% no emplea las técnicas más avanzadas de ciberseguridad. Estos aspectos son imprescindibles para contar con una protección completa, y ponen de relieve el margen de mejora que aún existe.
Las compañías que sí cuentan con madurez en materia de ciberseguridad
Al margen de esta tendencia, el Informe de Madurez Digital en Ciberseguridad destaca que las empresas de Banca, Telecomunicaciones y Media, Seguros y Energía sobresalen por su elevado grado de avance, inversión en nuevas tecnologías y búsqueda de respuestas innovadoras a los retos de ciberseguridad. Las empresas más evolucionadas sí han articulado una visión a largo plazo y apuestan por la ciberseguridad como pilar clave para el crecimiento y sostenibilidad de su negocio. Factor que han sabido convertir además en una palanca para mejorar los servicios que prestan digitalmente a sus clientes.
El estudio de Minsait y SIA refleja que las empresas son conscientes del desafío al que se enfrentan y han realizado un notable esfuerzo en el último año por el que hay que felicitarlas. Sin embargo, el dinamismo de las ciberamenazas y la dificultad que entraña su gestión integral a lo largo de toda la cadena de seguridad, son dos de los grandes obstáculos que frenan el avance. Del éxito que obtengan depende la protección que precisan para crecer y hacer negocios en la red en los próximos años.
En las más de 400 páginas del informe, los expertos en ciberseguridad de SIA revisan las mejores prácticas y medidas a tomar para proteger una empresa y adelantan una hoja de ruta que pasa por: identificar los riesgos, poner en marcha acciones para protegerlos, determinar una estrategia para detectar ataques, contar con especialistas para poder reaccionar eficazmente y asegurar las capacidades para recuperarse.