Ciberseguridad nacional en tiempos de pandemia
La consultora Deloitte recoge los últimos datos e impresiones sobre ciberseguridad en 2020: más servicios externalizados, más ataques, pero menos presupuesto destinado a la seguridad informática
Como ocurre con muchos aspectos de la vida cotidiana, la covid ha acelerado tendencias en alza. En el entorno profesional, a medida que el lugar de trabajo se vuelve digital y las empresas apuestan cada vez más por entornos en la nube para almacenar datos y aplicaciones críticas, el perímetro de la infraestructura tradicional se difumina. Al mismo ritmo, las amenazas cibernéticas evolucionan para aprovechar nuevas vulnerabilidades. Deloitte nos cuenta cómo avanzan las empresas españolas en el terreno de la ciberseguridad.
Índice de contenido
Externalización
La mayoría de las empresas encuestadas por Deloitte (por encima del 75 %) afirma delegar algunas cuestiones en materia de ciberseguridad a terceros. Estas cuestiones podrían incluir:
- Gobierno: se trata de planificar la estratégica, las políticas y procesos que determinan cómo las organizaciones detectan, previenen y responden a los incidentes cibernéticos.
- Seguridad preventiva: la práctica de proteger infraestructuras, redes y programas de ataques digitales mediante sistemas preventivos, como un firewall o un antivirus. Si bien la seguridad preventiva puede detectar amenazas conocidas, es necesario supervisar la infraestructura informática con regularidad para identificar amenazas más sofisticadas o emergentes.
- Vigilancia: describe el proceso proactivo de monitorización periódica de la infraestructura informática. Es una parte crucial de la gestión del riesgo porque permite detectar ataques en estado embrionario y responder antes de que causen ningún daño.
- Resiliencia: se refiere a los mecanismos que permiten responder y recuperarse frente a un ciberataque.
Otras materias ligadas a la ciberseguridad y que típicamente se externalizan, según el mismo estudio, son las cuestiones de privacidad y seguridad física.
Inversión
Cuanto más invierten las empresas en ciberseguridad, menos incidentes graves sufren. Esto que parece una obviedad, lo corrobora Deloitte con su encuesta, según la cual las empresas que destinan menos del 3 % de su presupuesto de IT en ciberseguridad pueden llegar a sufrir hasta dos ataques con consecuencias graves de media al año, frente a la media de menos de un ataque sufrido por empresas que destinan . El estudio de 2019 de la misma firma, del que también nos hicimos eco en DAIRA, reflejaba la misma conclusión. El pasado estudio también hablaba de que en 2018 las empresas invirtieron un 8,5 % en ciberseguridad sobre su presupuesto total en IT. Al año siguiente, esta inversión aumentó un 0,5 %. Sin embargo, la covid ha desbaratado la tendencia al alza y ahora las empresas afirman que la pandemia ha supuesto la disminución de sus presupuestos en ciberseguridad. Así lo afirma el 57 % de los encuestados por Deloitte. Sin embargo, los ataques han aumentado con la covid. El 62 % de las empresas que participaron en el estudio afirma que su infraestructura ha sufrido más ataques desde el inicio de la pandemia.Concienciación y formación
Lo decíamos en un artículo sobre cómo prevenir correos de impostores (phishing): en ciberseguridad, el eslabón más débil es el factor humano. Así pues, es vital informar a los usuarios de los riesgos inherentes a su actividad diaria. Con este fin, según Deloitte, las empresas emplean unas 155 horas por usuario al año en formación y concienciación. El tema más recurrente sería la gestión del correo electrónico. El modo de impartir la formación, según el mismo estudio, es principalmente en línea o mixto, con el formato en línea adquiriendo cada vez más protagonismo debido a la pandemia. Por otro lado, Deloitte arroja un dato preocupante: en España, una de cada cuatro empresas pequeñas no realiza ningún tipo de actividad de formación ni concienciación.Auditoría de aplicaciones críticas
Como mínimo, es recomendable evaluar la seguridad de las aplicaciones críticas después de su despliegue inicial, una vez al año y cuando estas se sometan a cambios significativos. Deloitte divide la ocurrencia de las revisiones anuales por sectores y concluye que los sectores restauración y servicios son los más propensos a usar esta frecuencia anual (80 %), seguido de fabricación y producción alimentaria (75 %). A la cola, están los sectores distribución y retail (40 %). En conclusión, los ciberataques ocurren con más frecuencia y, como contábamos en otro artículo, podrían tener consecuencias devastadoras. Ahora más que nunca, es necesario entender el entorno de amenazas, evaluar e implementar medidas de seguridad y asegurar su cumplimiento. Si tu empresa no tiene los recursos para acometer estas tareas, nosotros podemos ayudarte.RESOLVEMOS TUS DUDAS
Te ayudamos a auditar tus aplicaciones críticas, desarrollar tu capacidad de gobierno, seguridad preventiva, vigilancia y resiliencia en materia de ciberseguridad.
Fuente: este artículo refleja, en parte, las conclusiones extraídas en un estudio de la consultoría Deloitte sobre el estado de la ciberseguridad en 2020.
