Deloitte ha publicado un estudio que alerta sobre la falta de estrategia de las pymes en materia de seguridad. Por ejemplo, las empresas revisan sus aplicaciones críticas una vez al año, frecuencia que la consultora considera insuficiente.

Como resultado, el 76,19% de las pymes ha sufrido un incidente con consecuencias significativas en los últimos seis meses. Los datos también revelan que el número de amenazas ha aumentado con el paso de los años, y por tanto, su probabilidad de impacto.

Quién sale más perjudicado

Las empresas grandes reciben más ataques, pero también están mejor preparadas, sobre todo las que son líderes en su sector (empresas con ingresos superiores a los 5.000 millones de euros). Son el blanco más deseado, con mayor retorno para el atacante, pero también tienen un sistema informático casi inexpugnable.

Los dos sectores con más incidencias son el de energía y el sector primario (41,67%), seguido de consumo y distribución (con un 16,67% del total de incidencias).

Deloitte también habla de cómo se distribuye la inversión en ciberseguridad. Excluyendo el salario de los empleados dedicados íntegramente a este aspecto, las empresas invierten más en protección (40,6%), y vigilancia (25,9%), seguido de resiliencia (18,3%) y gobierno (15,1%). Esta última cifra está por debajo de lo que recomienda la agencia. Con valores inferiores al 20%, dice el estudio, no es posible construir modelos eficaces y realistas de análisis de riesgos y amenazas, ni estrategias completas que permitan alcanzar un nivel de seguridad adecuado.

El estudio también observa una tendencia elevada a externalizar el personal dedicado a ciberseguridad. El incremento de la complejidad de los sistemas informáticos y el nivel técnico de los ataques son factores que motivan a las empresas a delegar la seguridad en manos de proveedores. Así consiguen ser más flexibles y dar respuesta de forma rápida y eficiente al entorno impredecible de las amenazas.

Si aumenta la inversión en ciberseguridad, se reduce el impacto

El estudio pone de manifiesto lo intensa que es esta correlación tan evidente, y la avala con números: las empresas que invierten más del 10% del presupuesto de IT en ciberseguridad, reportan 0,63 incidentes de seguridad al año, mientras que las que invierten menos del 10%, experimentan 3,01 incidentes en el mismo período. Esto supone cinco veces más incidentes, según la inversión en ciberseguridad.

El presupuesto medio para esta partida está por debajo de 10% y se sitúa en el 8,5%. Es necesario recalcar que este dato es poco homogéneo y, así como ocurre con otros estudios similares conducidos por Gartner, varía significativamente dependiendo de la muestra, la industria y la fuente.

Percepción interna

Una de cada 3 empresas considera que está poco o nada preparada para hacer frente a un incidente de seguridad. El resto, aquellas empresas que consideran adecuados sus defensas y procedimientos contra incidentes, dedican cinco veces más presupuesto de media.