El 83% de las empresas españolas esperan sufrir un incidente de ciberseguridad

“No es una cuestión de si seremos atacados, sino de cuándo”. Ángel Ortiz, director de ciberseguridad de Cisco, resume así las principales conclusiones del informe Cybersecurity Readiness Index que la compañía ha realizado entre 6700 directivos de empresas de más de 26 países del mundo, entre ellos España.

Cabe señalar que, de las 200 empresas entrevistadas en nuestro país, el 48% tienen menos de 250 empleados, el 36% entre 250 y 1.000 empleados y el 16% más de mil empleados, pertenecientes a sectores tan diversos como viajes, educación, ingeniería, atención sanitaria o servicios financieros.

El informe, que pretende reflejar la capacidad de las empresas para hacer frente a los retos de ciberseguridad, concluye que el 83% de los responsables de seguridad de las organizaciones españolas (81% a nivel mundial) esperan que un incidente de ciberseguridad perturbe su negocio en los próximos 12 a 24 meses.

Un dato que, según Ortiz, refleja que las empresas “están asumiendo la realidad” dado que “es casi seguro que vamos a sufrir un ataque”. En su opinión, todos los usuarios, entre ellos los profesionales, deben “intentar identificar este posible ataque cuanto antes, para minimizarlo y recuperarnos lo más pronto posible”.

En este punto, cabe señalar que 8 de cada 10 empresas tienen previsto aumentar al menos un 10% su presupuesto en seguridad en los próximos 12 meses, según este estudio.

Para Cisco, toda estrategia de seguridad debe contemplar tres etapas: detectar, proteger y corregir. Aunque “tradicionalmente nos habíamos preocupado más de las dos primeras, ahora (y sin olvidarnos de ellas) tenemos que impulsar la última: todas las contramedidas que voy a tomar para ser capaz de recuperarme”.

El dato, lo más protegido

El informe ha analizado el grado de madurez en materia de seguridad de las empresas en cincos aspectos: usuarios, dispositivos, red, aplicaciones y datos. El reto es evaluar si para cada uno de estos pilares las empresas tienen soluciones. En base a si tenían soluciones y el grado de implantación (a veces se compran cosas y no se les saca partido) se ha otorgado una puntuación, que clasifica a las empresas en nivel principiante, formativo, progresivo o maduro.

De las cinco áreas analizadas, es en el ámbito de los datos donde más nivel de madurez hay en las empresas, tanto a nivel español (16%) como mundial (22%). Algo que Ortiz achaca en parte a normativas de protección de datos como la europea (GDPR).

En el lado opuesto se encuentra lo relativo a las aplicaciones: solo el 5% de las españolas y el 12% a nivel mundial tienen una consideración de seguridad madura. Según Ángel Ortiz, las aplicaciones se han convertido ya en el negocio de muchas compañías, con la consiguiente dificultad de estar al tanto de su seguridad. “Muchos departamentos que no están relacionados con IT o seguridad desarrollen sus propias aplicaciones de negocio y los responsables de seguridad muchas veces no tienen visibilidad e esas app ni de su seguridad”, exponía como una de las razones de estos datos.

Por último, este responsable insistía en la “necesidad” de construir una ciber resiliencia en seguridad. “Cada vez hay más amenazas, cada vez más complejas y personalizadas. El enfoque debe ser de confianza cero, de dar acceso únicamente a los recursos necesarios en cada momento, combatiendo la falta de visibilidad y simplificando las operaciones”.