Miguel Olías de Lima, gerente de Cyber Risk Advisory de Deloitte

Los ciberataques se han convertido en una seria amenaza para las empresas españolas, tal como demuestra que 3 de cada 4 organizaciones de nuestro país han sufrido, con consecuencias significativas, un incidente de este tipo en los últimos seis meses. El estudio de Deloitte “Las preocupaciones del CISO”, que se fundamenta en un sondeo a más de 50 compañías nacionales, arroja más luz sobre este asunto. 

A pesar de que este problema no es nuevo, entre las conclusiones de este informe se determina que los ciberincidentes afectan en mayor medida a las empresas que facturan entre 2.000 y 5.000 millones de euros, ya que estas organizaciones se convierten en un objetivo con mayor retorno/impacto por parte del atacante. Y no es de sorprenderse, puesto que las empresas de esta tipología destinan menor parte de su presupuesto a ciberseguridad, quedando más expuestas a este tipo de ataques. Por su parte, aquellas compañías que facturan más de 5.000 millones de euros, optan por mayores medidas preventivas, disminuyendo considerablemente los riesgos y ciberincidentes. No obstante, también se debe tener en cuenta que las grandes empresas son las que más ciberataques reciben debido a que estas acaban convirtiéndose en un objetivo más prioritario para los atacantes.

Si vemos los números, las empresas que invierten más del 10% del presupuesto de IT/OT en ciberseguridad reportan 0,6 incidentes de seguridad al año de media, mientras que las que dedican menos del 10% experimentan tres incidentes por año. Esta diferencia, que es bastante notable, llega a cuadruplicar el número de ataques, evidenciando la importancia de establecer un presupuesto adecuado en ciberseguridad. 

Otro aspecto importante a considerar, y que se extrae del estudio, es que un 30% de las compañías españolas afirma estar poco o nada preparada para hacer frente a un ciberataque, un porcentaje elevado que pone de manifiesto una carencia importante en la confianza y planificación estratégica de las organizaciones de nuestro país ante este tipo de amenazas. En este sentido, un 71% de ellas opta por la contratación de un ciberseguro, para transferir el impacto económico de un ciberataque.

Por el contrario, en el sector energético, un ámbito crítico y de relevancia estratégica para nuestro país, menos de la mitad, concretamente el 47%, de las empresas se sienten preparadas para afrontar un incidente de seguridad. Las empresas energéticas, en un porcentaje alto –93%-, considera la interrupción de las operaciones de negocio como su principal preocupación.

La noticia más positiva que se puede extraer del estudio es que algunos sectores sí afirman estar preparados ante un incidente que pueda dañar su ciberseguridad. La banca, por ejemplo, según señala el 86% de las organizaciones, se siente preparada a la hora de enfrentar un ciberataque. Asimismo, el 83% de estas empresas alinea su estrategia de ciberseguridad con el negocio, liderando esta coordinación.

A la hora de definir una estrategia de ciberseguridad en una organización, es necesario analizar el uso que se hace de las tendencias digitales. En este sentido, la Inteligencia Artificial, el Machine Learning o los Algoritmos Predictivos, utilizados como herramientas avanzadas para examinar grandes cantidades de información, son clave para reconocer posibles amenazas. Sin embargo, aún queda mucho camino por recorrer, ya que un 70% de los sectores cuenta con una aplicación baja o muy baja de estas tecnologías. Hay incluso algunas de ellas, como Blockchain, que a pesar de estar presente en la mayoría de foros de innovación y transformación, la gran mayoría de las empresas no hace uso de esta desde la perspectiva de ciberseguridad. Por tanto, queda un amplio espectro para avanzar en este ámbito.

Ante este escenario, la figura del CISO (Director de Seguridad de la Información y la Ciberseguridad) continúa ganando relevancia, siendo clave en la medición del ciberriesgo y lideranzo la estrategia y las iniciativas de ciberseguridad, definiendo su TOM (Target Operating Model) e involucrando al negocio, para que toda la compañía sea una pieza relevante en materia de ciberseguridad.