Las novatadas se pagan. Y, normalmente, salen caras. La brecha en materia de seguridad que tienen las empresas españolas, más aún pymes, y sobre todo micropymes, viene a rondar de media los 50.900 euros por incidente; un importe que asciende hasta los 66.800,si se contempla el esfuerzo completo para volver a la normalidad.
Así queda dicho en el Informe de Ciberpreparación de Hiscox 2020, que analiza la preparación cibernética del tejido empresarial de ocho países (Alemania, Bélgica, España, Estados Unidos, Francia, Gran Bretaña, Irlanda, y Países Bajos), así como sus planes para los próximos doce meses. Las entrevistas hechas se han dirigido a directores, jefes de departamento, CIOs y otros profesionales clave de 5.569 entidades representativas, tanto por tamaño como por sector de actividad.
Sin embargo, paradojas de la vida, tan solo el 38% de los encuestados españoles es consciente de que este riesgo acecha diez puntos menos que la media del estudio. Los resultados de este estudio pone de manifiesto la brecha que se está produciendo entre las empresas españolas y las del resto de países, así como dentro del propio mercado español, donde Hiscox detecta "una evolución a dos velocidades que hace que la mayor parte de las empresas españolas, sobre todo pymes, se sitúen lejos de la media del estudio en recursos y disposición para detener un ataque o recuperarse del mismo", afirma Alan Abreu, responsable de Riesgos Cibernéticos de Hiscox.
Gráficamente, han recurrido a dos denominaciones que las diferencian: las 'ciberexpertas', que han pasado en un año de ser del 9 al 14% de las analizadas, pero aún se sitúan cuatro puntos por debajo de la media del resto de países (18%) y las 'cibernovatas', en cuyo caso se han detectado más de siete de cada diez de las analizadas (72%).
Si se desglosan los datos en el mercado español por número de trabajadores, la ciberpreparación disminuye junto con la dimensión de las compañías. Así, son calificadas como 'cibernovatas' el 82% de las micropymes, el 76% de las compañías entre 10 y 250 empleados, y el 61% de las grandes empresas analizadas en el estudio. Por otro lado, el 21% de las compañías de más de 250 empleados, el 13% de las pymes y el 5% de las micropymes obtienen la máxima calificación.
Las empresas españolas, en conjunto, destinan ya un 30% más a subsanar problemas relacionados con la ciberseguridad
Desde Hiscox destacan que en los últimos tres años las empresas españolas calificadas como 'cibernovatas' se han reducido solo del 75 a 72%. "Por un lado tenemos compañías y profesionales que poco a poco van evolucionando la robustez de sus estrategias de ciberseguridad, este año hemos alcanzado la cifra del 14% en ciberexpertas y también del 14% en ciberintermedias, pero por otro lado, más de siete de cada diez no consiguen mejorar su ciberpreparación", fruto de un exceso de confianza "en algunos casos", pero sobre todo debido a que "muchas de ellas no están siendo capaces de evolucionar al mismo ritmo que lo hace la sofisticación de los ciberdelincuentes", considera Abreu.
Como aspecto positivo, en las empresas españolas analizadas se ha producido una evolución en el porcentaje del presupuesto de TI dedicado a ciberseguridad, pasando de estar entre las que menos cuota de inversión realizaban en este área (8,80% en 2019), a liderar el ranking: hoy la media que estas compañías reservan a ciberseguridad es del 14,93%.
El porcentaje del área de TI dedicado a protegerse de riesgos cibernéticos ha crecido seis puntos en solo un año, hasta situarse dos puntos por encima de la media del estudio de este año (12,95%). Parece que el tejido empresarial español no se detiene y ocupa el Top3 en intención de inversión para los próximos doce meses, junto con Estados Unidos y Gran Bretaña. En el caso de las empresas españolas, el 72% aumentará su inversión en ciberseguridad general, el 42% en formación interna y el 39% en contratación de profesionales especializados.
El 'Informe de Ciberpreparación de Hiscox 2020' analiza también el comportamiento de las compañías a la hora de resolver incidentes de naturaleza cibernética. Concluye que cuatro de cada diez (41%) empresas españolas reconoce no informar totalmente a las partes internas y externas implicadas cuando se ha producido un incidente cibernético que ha puesto en riesgo datos de sus compañías. De cada diez empresas españolas que han sufrido un ataque 'ransomware', tres han pagado el rescate para poder recuperar el acceso a sus sistemas.
El 7% del total de las compañías encuestadas pagó un rescate en 2019, pero solo un 25% tiene un seguro especial
Respecto a la transferencia de este riesgo a un tercero, a través de una póliza aseguradora, seis de cada diez negocios afirman disponer de coberturas que cubren estos riesgos (41% en 2019), pero solo el 25% tiene contratado un seguro especializado. Abreu señala que "muchos de estos seguros no son conscientes de cubrir este tipo de riesgos (lo que denominamos cobertura de cibersilencioso), por lo que en el caso de producirse un incidente cibernético, no solo no habrá colaboración del seguro para mitigarlo, sino que surgirán problemas para entender el incidente y, al no aparecer en póliza, la tramitación del pago podrá tornarse complicada".
Comoaprendizaje, parece que España sigue dejando de estar rezagada en la gestiónempresarial de la ciberseguridad. Un problema que va más allá de nuestrasfronteras, tal y como refleja en informe. Eso sí, el ritmo al que crecen lasamenazas cibernéticas y la cadencia en darles respuestas, cada vez se muestranmenos desacompasadas; aún no hay motivo para tirar cohetes, pero la tendenciaes muy buena señal.