El tejido empresarial español ha experimentado un crecimiento tanto en las organizaciones que han sido víctimas de un ciberataque como de la frecuencia de estos, en un contexto en el que solo el 9 por ciento de ellas puede calificarse como ciberexpertas.
La quinta edición del Informe de Ciberpreparación de la aseguradora Hiscox, analiza el estado de la ciberseguridad en más de 6.000 empresas de siete países (Bélgica, Francia, Alemania, Países Bajos, España, el Reino Unido y Estados Unidos), a partir de las entrevistas realizadas entre noviembre de 2020 y enero de 2021 a responsables clave dentro de las organizaciones.
La asegurado ha presentado este martes el informe en un evento con prensa, en el que también ha compartido su modelo de madurez, que mide las fortalezas de una empresa en seis áreas clave de ciberseguridad para los ámbitos personas, procesos y tecnología, y nueva herramienta rápida digital para la evaluación de la ciberpreparación.
El informe muestra un aumento en el número de empresas españolas que notifican haber sufrido un incidente (53%, diez puntos por encima de la media del estudio), y un crecimiento también de la frecuencia: el 42% de ellas sufrió más de tres ataques.
Y por otro lado, se señala que el tejido español es el menos preparado: solo un 9 por ciento de compañías obtienen la calificación de «expertas» en ciberseguridad, y entre los países tenidos en cuenta en el análisis, España es el segundo con más empresas que puntúan como novatas (35%).
El responsable de Riesgos Ciber de Hiscox, Alan Abreu, asegura que se trata de «una mezcla muy peligrosa» con una consecuencia directa: «ser los menos preparados nos hace más atractivos para ser atacados, y por lo tanto, penaliza los planes y capacidad de las empresas españolas para reducir esta brecha».
El fraude por desvío de pagos y denegación de servicio se presentan como las consecuencias más repetidas en los ciberataques producidos en empresas españolas, mientras que los servidores de la compañía, servidores en la nube y webs son los puntos de acceso más habituales.
Por otro lado, el informa también analiza la influencia de las personas que forman parte de las organizaciones en la ciberseguridad de las mismas. En este sentido, la compañía señala que los datos son «preocupantes»: el 28 por ciento de los ataques se producen a través de ingeniera social, cuya víctima es un empleado, y el 19 por ciento en los dispositivos móviles personales de las plantillas.
Abreu apunta que el coste medio anual asumido por las empresas españolas que han sufrido un incidente está en torno a los 10.000 euros, ligeramente por debajo de la media que muestran el resto de países tenidos en cuenta en el informe (11.150 euros).
Preguntadas por el impacto directo en la actividad tras haber sufrido un ataque, las organizaciones españolas indican la mala publicidad, la pérdida de clientes y el aumento del gasto en gestión de crisis, como los aspectos más negativos provocados por los incidentes ciber en 2020.
Y evaluando la exposición para 2021, el 48 por ciento cree que su organización está expuesta al riesgo de sufrir un incidente de ciberseguridad, y en torno a siete de cada diez es consciente del riesgo reputacional de un incidente que exponga datos de terceros, además de considerar que la ciberseguridad debe ser una prioridad para el comité directivo y que esta es un factor determinante para la competitividad en el mercado.
Por otro lado, analizando la inversión de las organizaciones, el gasto general en TI disminuye drásticamente (-19,8%) en 2020, pero el porcentaje dedicado a ciberseguridad aumenta siete puntos. En la actualidad las empresas españolas dedican el 22 por ciento del presupuesto de TI a ciberseguridad (15% en informe de 2020), y una de cada dos empresas asegura que aumentará el presupuesto en ciberseguridad: tecnología, auditorias y programas de prevención y formación de empleados son las áreas donde más se incrementará al presupuesto.
RANSOMWARE
Entre las organizaciones españolas que confirman haber sido objetivo de un ataque de tipo ‘ransomware’, seis de cada seis señalan como origen un ataque de ‘phishing’ a través del correo electrónico.
El 22 por ciento de los ataques de ‘ransomware’ fueron resueltos en menos de 72 horas, lo que significa que casi ocho de cada diez (78%) casos superó los tres días, y más de una de cada diez (12%) superó el mes.
Respecto al método utilizado para solucionar la situación, cuatro de cada diez empresas españolas (40%) reconocen haber pagado el rescate para recuperar los datos y un 34 por ciento para evitar su publicación.
En el análisis de esta variable, el único dato «positivo» que arroja el informe es que las empresas españolas han asumido un menor coste para recuperarse de estos ataques (incluido el pago del rescate y resto de gastos): 29.535 euros frente a los 46.136 euros del resto de países analizados.
IMPACTO DE LA COVID-19
El informe de este año dedica una sección al análisis de la influencia de la pandemia en las organizaciones, desde el punto de vista de su transformación digital. Así, casi la mitad de las empresas españolas afirma que esta crisis ha generado una mayor vulnerabilidad frente a incidentes ciber.
También señalan un aumento del trabajo en remoto, del uso tecnología colaborativas, una aceleración de la transformación digital y una expansión de los pagos ‘online’. De hecho, debido a esta crisis, el porcentaje de empleados con acceso a trabajo en remoto en España ha pasado del 13 por ciento al 57 por ciento.
El informe recoge también que seis de cada diez empresas españolas disponen de algún tipo de cobertura o póliza especializada en riesgos ciber (63%). El 15 por ciento tiene previsto adquirir una póliza específica (frente al 12% del resto de países), mientras que el número de las que dicen que no tienen cobertura y que no tienen previsto adquirirla ha descendido (un 10% frente al 18% del año anterior).
Los programas de formación de empleados, la evaluación del riesgo y el acceso a tecnología preventiva son los tres servicios adicionales en seguros más demandados.
Entre las conclusiones generales comunes a los ocho países se destaca que el modelo de ciberpreparación muestra que las puntuaciones en el ámbito de las personas son más bajas que las obtenidas en las áreas de procesos y tecnología; que la proporción de empresas atacadas ha aumentado del 38 al 43 por ciento, en muchos casos estas sufrieron múltiples ataques y una de cada seis afirma que su supervivencia estuvo amenazada; y que las empresa dedican una quinta parte (21%) de su presupuesto de TI a la ciberseguridad, lo que supone un aumento porcentual del 63 por ciento.