La ciberseguridad es una preocupación cada vez mayor en las empresas, sin embargo, las organizaciones españolas no están lo suficientemente preparadas -a día de hoy-, para hacer frente al creciente número de amenazas mucho más sofisticadas que vienen encabezadas por el ransomware y el phishing. Lo preocupante, no obstante, no es su falta de madurez sino su exceso de confianza. Es decir, que confían bastante en su capacidad para enfrentarse a este entorno. Un entorno hiperconectado que se ha complicado sobremanera como consecuencia del avance de la digitalización.
No en vano, a los responsables de ciberseguridad de las compañías les piden proteger todo (todos los recursos de computación, a todos los usuarios, en todo lugar y bajo cualquier dispositivo), y, en muchos casos, sin conocer quién se está conectando y de qué forma. “Esto es un caldo de cultivo perfecto para los ciberatacantes en un contexto más complejo y con responsables de ciberseguridad no preparados”, ha indicado Ángel Ortiz, director de Ciberseguridad en Cisco España, durante la presentación de la segunda edición anual del estudio Cisco Cybersecurity Readiness Index.
El informe afirma que en nuestro país las organizaciones tienen una visión de las redes fragmentada y cada vez resulta más importante la verificación de identidades. Según la encuesta el 41% confiesa haber experimentado un incidente de ciberseguridad, el 28% reconoce que tuvieron un impacto financiero superior a los 280.000 euros y el 45% -que es lo más alarmante- ni saben que tuvieron ese suceso. Además, un 77% consideran que es probable o muy probable que un episodio de este calado les afecte en los próximos meses.
Para resolver estos problemas, las empresas recurren a parches. Concretamente, un 9% utilizan 30 o más soluciones puntuales, mientras que el 51% emplean 10 o más. A esta situación también se añade la escasez de recursos y talento: el 87% de las empresas admiten que es un problema. Y el 67% tienen más de 5 puestos vacantes.
Índice de temas
Falta de madurez en ciberseguridad
La encuesta de Cisco, realizada a más de 8.100 responsables de ciberseguridad a nivel mundial, ha evaluado el despliegue de estas propuestas atendiendo a 5 pilares: la identidad, el dispositivo, la red, la nube y la IA.
Atendiendo a todos estos parámetros en conjunto, sólo un 2% de las empresas españolas está madura, frente a un 3% global. Y en fase progresiva de preparación se encuentra un 18% frente al 26% mundial. El año pasado el índice era del 7%, o sea, que la madurez ha sido inferior en 2023 y ha sido porque la complejidad del entorno ha hecho que sea más difícil estar preparado. “Las empresas van a mejor, pero no van al ritmo al que los atacantes sofistican sus ataques y al que la complejidad aumenta. Para responder al panorama de amenazas estamos comparativamente peor”, ha destacado Ángel Ortiz. ¿Y por qué ocurre esto? Según el directivo “no se puede identificar un problema que no sabes que tienes. Las empresas han invertido en soluciones de ciberseguridad, pero no tienen un enfoque de plataforma”, ha explicado.
Valorando los cinco pilares de manera individual, el estudio sostiene que respecto a la inteligencia de identidades sólo un 3% de las empresas están maduras y un 48% se encuentran en la fase de principiante.
En confiabilidad en los dispositivos hay un mayor nivel de adopción, pero se queda en un 7% (igual que al nivel global). Sobre este particular hay que decir que ha proliferado el número de dispositivos desde los que se conectan.
Si hablamos de resiliencia de red, “se produce un fenómeno que contribuye a la complejidad y es que la mayoría del tráfico a día de hoy va cifrado, lo que implica que los responsables tienen que identificar esos ataques”, ha matizado Ortiz. En España la madurez respecto a este concepto está en un 4%, es decir, un grado de adopción bajo que todavía tiene mucho recorrido, y en fase progresiva se encuentran un 24%. Las empresas deben aplicar microsegmentación.
En refuerzo de la nube de nuevo es un índice realmente bajo de adopción del 2% y del 11% en progresión. Sobre este aspecto, el directivo ha subrayado que hay que tener una postura de seguridad consistente en la nube y también on premise. “Es el gran reto al que se enfrentan las empresas que deben afrontar los entornos nativos cloud y muchas veces las soluciones que tienen no son suficientes”.
Finamente, en lo que respecta a la fortificación de la IA el porcentaje es del 3% en madurez y del 32% en progresivo. Estos datos ponen de manifiesto que se está prestando atención a esta tecnología pues sólo un 7% de las empresas españolas están en fase principiante.
Sin embargo, pecan de autoconfianza
Estos resultados contrastan con que, a pesar de esta falta de preparación, las empresas están demasiados confiadas. El 74% se sienten muy seguras de su capacidad para mantenerse resilientes. Lo que no encaja con el grado de adopción de soluciones de ciberseguridad.
Aunque la inversión en seguridad aumenta
La buena noticia es que la inversión en seguridad está aumentando. El 97% de las empresas esperan incrementar su presupuesto en este concepto este año y el 80% hacerlo por encima del 10%. Es más, un 64% actualizarán sus soluciones, un 57% implementarán nuevos recursos y un 56% herramientas de IA.
Recomendaciones de Cisco
A tenor de los resultados del estudio, Cisco ofrece las siguientes recomendaciones:
- Acelerar las inversiones, incluyendo la adopción de un enfoque de plataforma. No cometer errores del pasado como poner parches. Y plantearse cómo encaja esa herramienta en nuestra plataforma.
- Cerrar las brechas de vulnerabilidad por dispositivos no gestionados y redes Wi-Fi no seguras.
- Aprovechar las tecnologías de la IA para mejorar la seguridad y la resiliencia de datos. Estas herramientas pueden usarse para analizar grandes cantidades de datos y para facilitar la gestión. Es como “darle anabolizantes a la labor del analista”.
- Incrementar la contratación de profesionales internos o externos.
- Ser conscientes de la preparación, supervisarla y actuar cuando sea necesario.
