- El 82% de los Consejos de Administración no tiene diseñada una agenda estratégica de ciberseguridad
- Las grandes compañías están incrementado el presupuesto dedicado a ciberseguridad en mayor medida que las pequeñas, aunque éstas últimas cuentan con planes de protección más integrados en la estrategia de negocio
- Solo un 8% de las empresas considera que su sistema de seguridad de la información está totalmente adaptado a las necesidades del negocio
- Solo un 31% de las compañías que sufrió un ciberataque el pasado año detectó el problema a través de su función de ciberseguridad
Tras un año en el que las organizaciones han tenido que enfrentarse a numerosos ciberataques a gran escala, casi 9 de cada diez compañías – el 87% de la muestra- siguen sin contar con el presupuesto necesario para poner en marcha sistemas efectivos de ciberseguridad, cifra que apenas varía con respecto a la edición anterior del estudio (89%). Esta es la principal conclusión del informe Global Information Security Survey 2018-19 elaborado por EY, en el que se ha consultado a más de 1.400 directivos de pequeñas, grandes y medianas empresas de diferentes sectores económicos.
De acuerdo con el estudio, el 77% de los directivos considera que su compañía opera con sistemas de seguridad limitados y el 55% de la muestra no toma en cuenta la ciberseguridad como una parte fundamental de la estrategia de su negocio. Además, solo un 8% considera que sus procedimientos de protección están totalmente adaptados a las necesidades de la empresa.
Pese a ello, según se desprende del informe, los ejecutivos son optimistas respecto a un aumento del presupuesto dedicado a la ciberseguridad en sus compañías. En este sentido, las grandes empresas están incrementado la dotación presupuestaria en mayor medida que las pequeñas (63% versus 50%), aunque éstas últimas cuentan planes de protección integrados en la estrategia de negocio en mayor medida que las empresas de mayor facturación (58% versus 54%). En lo que respecta a las organizaciones que han sufrido ataques durante el último año, el 76% elevará el presupuesto destinado a ciberseguridad.
Elena Maestre, Socia responsable de Consultoría de Riesgos de EY, explica que “dada la creciente sofisticación de los ataques y su carácter global, el riesgo al que están expuestas las organizaciones es más amplio e incierto. Por ello, deberán repensar su marco de control de seguridad y establecer unas líneas básicas que sean fácilmente adaptables a los constantes cambios y avances tecnológicos” y, añade, “va a ser necesario que estos planes de protección sean concebidos de forma integrada los planes de innovación y digitalización que la compañía desarrolle”.
Entre las principales vulnerabilidades que señalan los líderes empresariales destacan la falta de cuidado por parte de los empleados (34%), controles de seguridad desfasados (26%), accesos externos desautorizados (13%) y riesgos asociados al uso de información en la nube (10%). Cabe resaltar que solo un 31% de las organizaciones que sufrieron un ciberataque el pasado año detectaron el problema a través de su función de ciberseguridad.
Las consecuencias de un ataque que más temen los directivos son la pérdida de información de clientes (17%), de datos financieros (12%) y de planes estratégicos (12%). El phising (suplantación de identidad) es el principal riesgo para los directivos, según un 22% de los encuestados. Le siguen el malware (programa informático cuyo objetivo es dañar el sistema, como por ejemplo los virus) con un 20%, los ciberataques cuyo objetivo es influir en la actividad diaria (un 13%), y la sustracción de capital (un 12%). Del estudio también se desprende que el 38% de las empresas no tienen la capacidad de detectar un ataque sofisticado.
Repensar el marco de ciberseguridad
El estudio pone de manifiesto que los líderes empresariales están repensando su estrategia de ciberseguridad para mejorar la protección de su negocio ante la creciente complejidad de los ataques informáticos a escala global. De esta manera, el 77% de las compañías está en la actualidad buscando una mayor sofisticación en sus medidas de ciberseguridad, empleando técnicas como la inteligencia artificial, la robótica o la automatización.
Así, el aumento del gasto en nuevas tecnologías de seguridad es generalizado entre las empresas consultadas. El informe revela que las principales inversiones se van a realizan en los ámbitos de cloud computing (52%), analytics (38%) y mobile computing (33%).
Del estudio también se puede inferir otra problemática que influye en las deficiencias de ciberseguridad: la falta de influencia de ésta en los planes estratégicos de las compañías. Así, un 82% de los Consejos de Administración no tiene diseñada una agenda estratégica de ciberseguridad y solo un 18% de los directivos considera que su organización toma en cuenta los aspectos de ciberseguridad a la hora de planificar y poner en marcha los planes de negocio. Además, el 60% reconoce que el responsable de los aspectos de ciberseguridad no forma parte del Comité de Dirección de la empresa.