• 30/06/2019

Deloitte: análisis de las funciones del CSIO en España

Ciberseguridad

Deloitte ha publicado en junio su informe “Las preocupaciones del CISO” (Chief Information Security Officer, o director de seguridad de la información), fruto de una encuesta realizada a más de medio centenar de grandes empresas españolas u organizaciones cuya base de operaciones de seguridad reside en España, para analizar el estado de la ciberseguridad en España.

Según recoge Cuadernos de Ciberseguridad en una entrevista a Gianluca D’Antonio, socio de Risk Advisory de Deloitte, “el informe pone de manifiesto que la figura del CISO y la ciberseguridad continúa ganando relevancia en el entorno empresarial español.”

Principales conclusiones del informe

Externalización de funciones de seguridad

  • La mayoría de la plantilla de ciberseguridad en las empresas es personal externo para ser más flexibles al afrontar cambios sin asumir costes fijos de personal y dar respuesta al entorno impredecible del mercado.
  • Las empresas pequeñas-medianas son las que más se decantan por el ciberseguro, como medida para paliar las consecuencias de un incidente.

Presupuestos y servicios

  • El presupuesto medio en ciberseguridad es el 8,5% del presupuesto de IT (aunque no es un dato muy significativo por su poca homogeneidad entre empresas y grandes diferencias a nivel sectorial). 
  • A mayor inversión en ciberseguridad menos ciberincidentes (llega a verse variaciones de 5 veces más incidentes en unas empresas según la inversión en ciberseguridad).
  • Mayor gasto en Protección (40,6%), después en Vigilancia (25,9%), y por último en Resiliencia (18,3%) y Gobierno (15,1%). Según las empresas alcanzan niveles más altos de madurez en ciberseguridad y también en los sectores más regulados se ve un incremento de las partidas presupuestarias para el área de gobierno.

Modelo operativo y políticas

  • En el 77% de los casos existen políticas globales Corporativas de Ciberseguridad que han de ser cumplidas por todo el grupo. En el caso de empresas más pequeñas (el 33% restante) dichas políticas son de carácter local.
  • En el 75% de los casos la figura del DPO es interna, por lo que se puede deducir que se le otorga la importancia necesaria a las políticas de gobierno del dato de carácter personal, frente al 15% que manifiesta disponer de un DPO externo.
  • Solo 1 de cada 5 empresas encuestadas dispone de un comité específico para dar respuesta a incidentes de ciberseguridad.

Certificaciones, framework y formación

  • El 72,50% de las empresas no estan certificadas ni en la ISO 27001 ni en la ISO 22301, ambos estándares relacionados con la seguridad de la información y la continuidad del negocio. 
  • La formación en ciberseguridad a los empleados de la compañía sigue siendo una asignatura pendiente en la mitad de las compañías. El 50% de los encuestados no proporciona formación a sus empleados y, de los que sí lo hacen, el 65,00% apuesta por la formación online, puesto que permite mayor flexibilidad horaria a los empleados y puede abaratar los costes.

Revisiones de seguridad, entornos cloud y tendencias tecnológicas

  • Las aplicaciones críticas se revisan anualmente, aunque sigue siendo insuficiente. Los sectores que más realizan revisiones son el sector de las Telecomunicaciones, Media y Tecnología, Infraestructuras y el sector de Fabricación.
  • El 95% de los sectores tienen poca o ninguna implicación de la tecnología Blockchain en la ciberseguridad en su empresa.
  • Solo el 30% de los sectores está apostando por la IA para potenciar su ciberseguridad.
  • El 70% de los sectores cuenta con una implicación baja o muy baja de las tecnologías como Inteligencia Artificial, Machine Learning y Algoritmos Predictivos en la ciberseguridad.

IoT, la tendencia tecnológica más implantada en las empresas.

  • IoT sí que está presente en la estrategia de ciberseguridad de las empresas.
  • El cloud computing, a pesar de su clara tendencia, aun no representa la opción prioritaria para las empresas para alojar su infraestructura e información. Menos del 20% de los servicios que son imprescindibles/críticos para la empresa están alojados en la nube.

Incidentes de seguridad

  • Las grandes empresas son las que más ciberincidentes sufren, excepto las que son líderes en su sector, que son capaces de gestionar los ciberataques evitando que estos se transformen en ciberincidentes o crisis.
  • Según las empresas van disponiendo de mayores ingresos, estas sufren mayores ciberataques, al ser un objetivo con mayor retorno/impacto.
  • Los dos sectores con más incidencias son el de energía y recursos con un 41,67% y el de consumo y distribución con un 16,67% respecto al total de incidencias.
  • Las empresas que no tienen ninguna certificación tienen un 72,22% de incidentes mientras que las que tienen la ISO 27001 tienen un 13,89%. Las certificaciones asientan las buenas prácticas que facilitan la obtención de niveles de madurez en ciberseguridad superiores.
  • El 62,50% de las empresas han tenido menos incidencias en 2018 que en 2017, debido a la gran afectación de los ataques masivos lanzados ese año.
  • Sólo ell 10,71% de las empresas que tienen un ciberseguro han tenido que hacer uso del él en algún momento.

Percepción del CISO

  • 1 de cada 3 empresas se consideran poco o nada preparadas para hacer frente a un incidente de seguridad.
  • El 50% de las empresas energéticas y recursos se siente preparadas para afrontar un incidente de estas características. Por otro lado, el 86% del sector financiero sí se siente preparado ante un incidente. 
  • El 93% de las energéticas y recursos consideran la interrupción de las operaciones de negocio como su principal preocupación.

¿Y la ciberseguridad en la empresa mediana y pequeña?

El estudio de Deloitte apenas se centra en el perfil de gestión de la ciberseguridad de la gran masa de empresas españolas, pero extrapolando los resultados del estudio para la gran empresa al resto de dimensiones empresariales, la situación se puede calificar de muy preocupante:

  • la inversión en concienciación y formación de los empleados continua siendo un capítulo pendiente.
  • Si se considera que la práctica totalidad de los ciberataques dependen para su éxito de que una persona abra un archivo anexo o haga clic en un enlace de email, la mayoría de las empresas españolas están en riesgo de sufrir ataques de ciberdelincuentes.
  • La preparación acostumbra a no ir más allá de la contratación de un seguro para riesgo ciber que cubra las potenciales consecuencias del ciberataque.

En Efika somos sensibles a las necesidades de ciberseguridad de las pymes y promovemos activamente entre nuestros clientes la concienciación y educación en ciberseguridad de sus empleados.

Para evitar que los ciberataques afecten a su organización, cualquiera que sea su dimensión, nuestro servicio de Simulador de Ciberataques Efika Attack Simulator ayuda a concienciar a sus empleados sobre la importancia de una buena prevención que proteja contra los ciberataques. Gracias a Efika Attack Simulator sue empleados aprenderán cómo evitar los ciberataques y su organización estará más segura. Contacte con Efika. Sabemos cómo ayudarle.

Informe de Deloitte


Tags: ciberataque, ciberseguridad, empleado, Deloitte, gran empresa, pymes

Categorías

Tags