Retina para Minsait

En las empresas, la brecha digital es de ciberseguridad

Falta inversión o reflejos, y a veces ambos. La mayor parte de las empresas no ha reaccionado a las mayores exigencias en ciberseguridad. Pero algunos sectores, especialmente la banca, señalan el camino

El crecimiento del comercio electrónico y del teletrabajo, dos de las grandes consecuencias de la pandemia, han traído consigo el aumento de las amenazas de ciberseguridad. Sin embargo, muchas compañías, por falta de reflejos o de recursos, todavía no han reaccionado ante esta nueva situación.

Esa es una de las principales conclusiones del tercer informe sobre Madurez Digital en Ciberseguridad, elaborado por Minsait y SIA, compañías pertenecientes a Indra. El informe señala el 90% de las compañías no tiene profesionales especializados en ciberseguridad, un 82% no mantiene actualizados los registros de activos digitales a proteger, un 73% no ha implementado mecanismos de concienciación para empleados y solo el 55% cuenta con un Centro de Operaciones de Ciberseguridad para detectar y responder a un ciberataque.

La banca gana (en ciberseguridad)

Pero no todo son malas noticias. En líneas generales, las empresas de Banca, Telecomunicaciones y Media, Seguros y Energía destacan por compromiso por la ciberseguridad. Concretamente, Banca, un sector especialmente regulado, es el sector con mayor grado de madurez digital en ciberseguridad, mientras que dos sectores básicos de la economía española -Turismo y Consumo y Retail- destacan por su bajo desempeño.

El estudio, basado en entrevistas personales con responsables de un centenar de grandes empresas y organismos de España y el resto de Europa, así como con algunos de los mayores expertos enciberseguridad, señala así una brecha digital del mundo corporativo.

El informe fue presentado este jueves 22 por Luis Álvarez Satorre, CEO de SIA y Carlos Beldarrain Santos, Director de Desarrollo de Servicios en Minsait. En su intervención, Álvarez echó en falta más estrategia en la ciberseguridad de las empresas: “La mitad de las empresas le dan un tratamiento meramente táctico”, aseguró, “centrándose en la adquisición de herramientas y olvidando aspectos decisivos como son la cultura, los procesos y las personas”. La identificación de los riesgos, y su completa comprensión al más alto nivel directivo de la empresa es fundamental, señalaron los expertos.

El factor humano

El factor humano tiene un importante peso en el estudio de Minsait y SIA. Su análisis se estructura en torno a cuatro fuerzas ligadas con la digitalización y que plantean problemas de ciberseguridad: la regulación, las Tecnologías de la Información, el desarrollo de la conectividad (especialmente el Internet de las Cosas)y la interacción digital de las personas, que cada vez afecta a sus compañías en la medida en la que la pandemia ha difuminado las barreras entre lo profesional y lo personal. “Solo el 37% de las compañías tiene programas y herramientas para concienciar a su plantilla de la importancia de la ciberseguridad”, recalcó Beldarrain.

Las personas pueden ser el punto débil de la ciberseguridad de las empresas, pero también han de ser las encargadas de protegerlas frente a ataques e intrusos. El problema es que existe una importante escasez de formación especializada y talento ya formado para cubrir la creciente demanda de expertos en ciberseguridad. Lo recalcan algunos datos del informe, como que solo el 10% de las empresas cuenten con los profesionales que necesitan para sus políticas de ciberseguridad y el 68% aún no disponga de la figura de un CISO (Chief Information Security Officer). Además, solo en 32% de las empresas los roles y el liderazgo de la transformación en ciberseguridad están claramente definidos, y los responsables cuentan con estructuras organizativas y mecanismos de gobierno adecuados para desarrollar su labor. “Esto no va a de comprar mucha tecnología para protegerse”, comentó Álvarez Satorre; “es llamativo que pocas empresas utilicen la ciberseguridad como un elemento de diferenciación”

En la mesa redonda posterior a la presentación del informe, los ponentes - Roberto Baratta, Executive Vicepresident Loss Prevention, Continuity and Security de Abanca; Santiago Rodríguez, CISO Global de la Gerencia de Informática de la Seguridad Social; Daniel Zapico, Global Chief Information Security Officer de Globalia y Rosa Kariger, Global Chief Information Security Officer de Iberdrola- centraron gran parte de sus intervenciones en la escasez de talento especializado para responder a estas crecientes necesidades en materia de ciberseguridad. El que lo expresó con más crudeza fue Baratta: “Hay una inflación tremenda de un talento muy joven, y la consecuencia es que en ocasiones pagamos mucho por un talento justito. Tenemos que desarrollar ese talento, también desde las compañías”. El 37% de las empresas entrevistadas cuenta con los mecanismos estructurados necesarios para formar, concienciar e incentivar a sus empleados en materia de ciberseguridad, y el 46% aspira a lograrlo a medio plazo.

“Precisamente porque el talento es escaso necesitamos socios. Pero hay algo que no puedes subcontratar: la comprensión de los riesgos para poder traducirlos en términos de impacto en tu negocio”, argumentó Kariger. Esa comprensión es muy importante, explicó, para desencadenar las inversiones que el área de Ciberseguridad necesita en este nuevo entorno. Según el informe, solo el 36% de las empresas dedica expresamente inversiones a partidas de ciberseguridad con independencia de sus necesidades operativas.

Para la ejecutiva de Iberdrola, el despegue del teletrabajo “ha puesto en valor todas las inversiones y medidas de ciberseguridad que pusimos en marcha antes de la pandemia, que en ocasiones eran vistas como un engorro”. Pero los riesgos siempre están ahí, y no siempre son técnicamente sofisticados. Zapico explicó que percibe como “los ciberdelincuentes están explotando la falta de interacción de las personas en el centro del trabajo, una interacción que supone una especie de vigilancia de grupo”. “La forma de trabajar ha cambiado. Ya existía la conexión remota, pero ahora se ha masificado, con los riesgos añadidos que eso supone”, concluyó Santiago Rodríguez.

 

Normas