La creciente importancia que la digitalización ha alcanzado en el ámbito empresarial ha impactado directamente en las necesidades de ciberseguridad de las organizaciones. Según un estudio llevado a cabo por la consultora Deloitte, el 94% de las empresas ha sufrido al menos un incidente grave de ciberseguridad a lo largo de 2021.
La consultora Deloitte ha lanzado la tercera edición de su estudio “El estado de la Ciberseguridad en España”, informe que se realiza con el objetivo de analizar cuál es el estado real de la ciberseguridad en nuestro país con el fin de poder ayudar a las empresas en la toma de decisiones estratégicas en materia de ciberseguridad.
Para llevar a cabo este informe, Deloitte cuenta con la colaboración directa de más de 120 CISOs (Chief Information Security Officer, por sus siglas en inglés) y responsables de seguridad.
Este informe permite a las empresas compararse entre ellas y saber cómo se encuentra su sector en diferentes dominios: ciberincidentes, personal de seguridad, presupuestos, medidas clave de proteccion, preocupaciones del CISO, retos tecnológicos, tendencias de amenaza…
A pesar de que los datos del informe revelan que este año se ha visto una gran evolución en el nivel de madurez de las organizaciones en esta materia, 2021 ha sido el año con más ciberincidentes hasta la fecha, habiendo estos aumentado en un 26% con respecto a 2020. Por ello, la ciberseguridad se ha vuelto una preocupación prioritaria entre las compañías.
De hecho, el informe revela que los CISOs participan ahora un 12% más en los comités de dirección de las empresas que hace un año.
“En el momento actual, la ciberseguridad es más que nunca una necesidad para las organizaciones. Esto se aprecia en que ha aumentado la concienciación de las empresas con respecto a la importancia de los riesgos digitales, lo que ha derivado en que las organizaciones destinen un mayor presupuesto a la ciberseguridad y a la sensibilización de sus empleados. A pesar de este avance, no obstante, todavía queda un largo camino por recorrer”, declara César Martín Lara, socio de Risk Advisory responsable de la práctica de Ciberseguridad.
Incidentes de seguridad
En el último año se ha experimentado un más que notable aumento del número de ciberataques y sofisticación de las amenazas conocidas. En este sentido, casi el 69% de las empresas afirma que ha sufrido entre 1 y 2 ciberincidentes de gravedad durante este último año, agravándose la situación para el 25% de las empresas que afirma haber sufrido más de 2 ciberataques en 2021.
Además, según la comparativa del año 2020 con respecto a este último año, se observa cómo el número de empresas que ha recibido 1 o 2 ataques se ha reducido. En cambio, las empresas que han sufrido al menos 1 ciberincidente han aumentado casi un 7%. Es un dato significativo y que tiene su explicación en el hecho de que tras las medidas de teletrabajo masivo fruto de la pandemia, los ciberatacantes intensificaron sus ofensivas, siendo al mismo tiempo la superficie de ataque expuesta en la red mayor para estos.
La media de incidentes entre 2020 y 2021 ha aumentado considerablemente, de 1,69 incidentes de media en 2020, a 2,13 incidentes este último año; es decir, un 26% más de ciberincidentes
Incidentes por sector
Hay varios sectores que se encuentran por encima de los dos incidentes de media al año. Entre estos, se encuentran el sector de Seguros, TMT (Telecomunicaciones, Medios de comunicación y Tecnología), Fabricación, Banca y Administración Pública. Cabe destacar que ciertos sectores como el de la banca y seguros se encuentran fuertemente regulados y cuentan con nivel de madurez en ciberseguridad razonablemente elevado, motivo por el cual el número de incidentes que sufren se debe más a que son un objetivo prioritario para los cibercriminales, más que al hecho de una falta de ciberresiliencia por su parte.
Amenazas más habituales
Las máximas preocupaciones entre los CISOS a nivel general son el malware, el phishing y el ransomware. Cada vez son más los ataques de ransomware que sufren las empresas y la sofisticación de estos como, por ejemplo, el ransomware de triple extorsión.
El caso del phishing también es bastante preocupante, por este motivo, el entrenamiento de los empleados en la identificación y reporte del phishing es crucial.
Muchas de las amenazas pueden combinarse en un mismo ataque, donde destaca el phishing, que es el vector de entrada por el que se decantan mayoritariamente los atacantes.
