La ciberseguridad es la asignatura pendiente de tu empresa (y estos bochornosos datos lo demuestran)

El 80 % de las empresas europeas se vio golpeado en 2016 por al menos un incidente de ciberseguridad, según los datos de la Comisión Europea. En España, de acuerdo con el Instituto Nacional de Ciberseguridad (INCIBE), se registraron 115.000 incidentes a lo largo de ese mismo año, y solo en los diez primeros meses de 2017 ya se había alcanzado esa cifra y casi se había duplicado el número de grandes empresas estratégicas afectadas (de 400 a 700). El incremento es aún más alarmante en relación con 2015 (más de 50.000 incidentes, 120 asociados a empresas estratégicas) y 2014 (unos 18.000 incidentes, 60 con empresas estratégicas.

El peligro es cada vez mayor, pero lo estamos infravalorando

A pesar del negro panorama que dibujan los datos, lo cierto es que son pocas las empresas que se están preparando para combatir la creciente amenaza. Según la más reciente edición de la CIO Survey que publican las consultoras Harvey Nash y KPMG, solo 1 de cada 5 responsables de TI (el 21 %) afirma estar “muy bien” preparado para responder a estos ataques.

Además, y aunque el 94 % de los expertos en ciberseguridad espera que la frecuencia de las ofensivas contra smartphones y tabletas aumente de manera drástica a lo largo de 2018, un 64 % de los profesionales duda que su empresa pueda defenderse contra un asalto a estos dispositivos móviles. La falta de presupuesto y personal son, según un informe de Check Point, las principales razones de esta indefensión.

En España, según el Observatorio Nacional de las Telecomunicaciones y Sociedad de la Información (ONTSI), menos del 50 % de las microempresas (diez trabajadores o menos) han implementado medidas de ciberseguridad. En el caso de las pymes o las grandes empresas, este porcentaje se incrementa hasta el 88,1 %.

La efectividad de esas supuestas medidas, sin embargo, está en tela de juicio. Casi el 40 % de las empresas españolas reconoce no saber cuál es la estrategia más efectiva para responder a una brecha de seguridad, una incertidumbre que se eleva al 63 % cuando se pregunta a los expertos en ciberseguridad de las compañías, más familiarizados con la problemática.

Además, el 54 % de los firmas españolas consultadas por Kaspersky admite dificultades para distinguir las brechas importantes de las que no lo son. De hecho, en 2017, menos del 25 % de las compañías descubrieron su incidente de seguridad más grave durante el primer día, algo imprescindible para reaccionar antes de que se haga público, afecte a los clientes o se convierta en una auténtica hemorragia de dinero.

Gastamos más en curar que en prevenir

Precisamente porque no están prestando la atención debida y les cuesta reaccionar, las empresas se están dejando más dinero en pérdidas y reparar los daños causados por las brechas de seguridad que en evitar que se produzcan. Según la Comisión Europea, el impacto económico de la ciberdelincuencia se ha multiplicado por cinco en los últimos cuatro años.

Aunque se espera que el gasto en seguridad informática de las empresas aumente alrededor de un 8 % anual hasta alcanzar casi los 135.000 millones de dólares (más de 110.000 millones de euros) en 2022, la consultora Juniper estima que no será suficiente para mantener a raya a las ciberamenazas, que crecerán a un ritmo del 30 %. Durante el próximo lustro, las fugas de datos habrán costado a las corporaciones un total acumulado de 8.000 millones de dólares (más de 6.600 millones de euros) entre multas, pérdida de negocio y costes de remediación.

Según el Instituto Nacional de Seguridad (Incibe), el coste económico de un incidente de ciberseguridad en España oscila entre 20.000 y 50.000 euros, suficiente para llevar a muchas de ellas a la quiebra. Sin embargo, según Juniper, las pequeñas y medianas empresas (que en España fueron objetivo del 70 % de los ciberataques), gastaron menos de 4.000 dólares (unos 3.300 euros) de media en ciberseguridad el pasado año.

La foto no cambia demasiado si también salen las grandes. Un estudio de la consultora PwC revela que las compañías españolas pierden más de 1 millón de euros de media al año a causa de incidentes de seguridad. Sin embargo, en términos de inversión, han pasado de poco más de 2,5 millones a casi 3,25 de media, un aumento tibio en comparación con las corporaciones a nivel global, cuyo presupuesto medio en ciberseguridad casi se ha duplicado.

Los informáticos de las empresas no saben de seguridad

Tan solo 1 de cada 5 profesionales de los departamentos TI de las empresas estadounidenses y europeas (concretamente, un 19 %) dicen tener conocimientos de seguridad informática avanzados. Y lo peor es que, según un informe de la red profesional Spiceworks, los más jóvenes son los que menos parecen desenvolverse en este ámbito: solo el 15 % de los millennials afirma poseer esas competencias, frente a un 22 % de los miembros de la generación X y un 26 % de los baby boomers.

Crisis de talento

Si los informáticos de las empresas confiesan estar limitados en este terreno, a los equipos específicos que se hacen cargo de la ciberseguridad lo que les falta es personal cualificado. El 54 % de las empresas es consciente de que necesita contratar a más especialistas, pero los perfiles con experiencia escasean (el 73 % de las compañías tienen dificultades para contratar) y se está perdiendo la oportunidad de involucrar a dos colectivos necesarios para resolver la crisis de talento: los jóvenes (solo 1 de cada 4 ha considerado siquiera dedicarse a ello) y las mujeres (que solo ocupan el 11 % de los puestos del sector).

Los empleados son el eslabón más débil

Por si los problemas en los departamentos tecnológicos fueran pocos, las compañías tienen su mayor caballo de batalla en el resto de sus áreas, donde los trabajadores se han convertido en la mayor vulnerabilidad. Casi la mitad de los incidentes de seguridad son causados por los empleados, que en el 40 % de las empresas españolas deciden, además, ocultar lo sucedido.

El phising y la ingeniería social son dos de las vías más comunes que utilizan los atacantes para acceder a las empresas, pues es relativamente fácil engañar a un empleado incauto para que abra un documento infectado o desvele información confidencial pensando que la entrega a alguien legítimo. O, lo que es peor, podría convertirse en un traidor y hacerlo por dinero: según un estudio, un porcentaje alarmante de los trabajadores estaría dispuesto a vender las contraseñas de su empresa por 200 euros o menos.

Se desperdicia más de un día de trabajo a la semana

Por utilizar herramientas de software anticuadas, los profesionales de la ciberseguridad de las empresas pierden 40 horas de trabajo al mes. Toda una semana a la basura. O, lo que es lo mismo, 10 horas cada semana, que es más de una jornada de trabajo que se desperdicia porque los programas de los que disponen los empleados son un sumidero de productividad.

Nos va a pillar el toro de la GDPR

El Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés) aprobado por la Comisión Europea, que entrará en vigor el 25 de mayo de 2018, obligará a todas las empresas que quieran operar en el territorio comunitario a afrontar cambios importantes en materia de seguridad.

Sin embargo, la consultora Gartner predice que a finales de 2018, meses después de la fecha clave, más del 50 % de las compañías afectadas por la GDPR aún no habrán tomado todas las medidas necesarias para satisfacer las exigencias normativas. Al menos en el caso de España, parece que no están equivocados: solo el 32% de nuestras empresas dispone, a día de hoy, de un plan específico para seguir las nuevas reglas del juego. Lo más preocupante, a la luz de los datos que ha publicado Compuware, es que casi un tercio de las compañías admite no poder garantizar la localización de los datos de un cliente, requisito indispensable para el cumplimiento de la GDPR.

Por estas y otras muchas razones, la ciberseguridad es la gran asignatura pendiente de las empresas, en España y a nivel global. Mientras los cibercriminales siguen avanzando puestos, las empresas no consiguen ganar la carrera de la seguridad. ¿Será que no están poniendo suficiente empeño?

El equipo de NTS.

Imágenes de Pixabay