El 86% de las empresas españolas tarda más de una hora en saber que ha sufrido un ciberataque, según se desprende del informe Cyber Readiness Report 2019 presentado hoy por Hiscox, aseguradora especializada en seguros para empresas, a nivel mundial. El estudio analiza la ciberpreparación del tejido empresarial de 7 países: España, EEUU, Gran Bretaña, Alemania, y Holanda (que ya fueron analizados en 2018) y Francia y Bélgica, que se estrenan en el informe por primera vez. Una vez detectado el incidente, la mitad de las compañías españolas (49%) tarda más de 5 horas en detenerlo, y 1 de cada 3 (34%) supera las 8 horas para volver a desarrollar su actividad con normalidad. Concluida la gestión del mismo, el 26% no toma ninguna medida tras el ataque, mientas que un 22% invierte en tecnología de prevención, el 18% en tecnología de detección y un 16% reformula sus programas de respuesta a incidentes.
“Nadie podría imaginar que casi 9 de cada 10 compañías tardaran más de una hora en saber que se ha producido un incendio en una de sus instalaciones o que han robado en su centro de almacenaje, pues esto es lo que está ocurriendo en las empresas españolas cuando hablamos de incidentes cibernéticos. Además, el informe confirma que más del 34% no recupera su actividad hasta pasadas unas 8 horas, una jornada laboral completa, con los costes económicos y de reputación que esto puede conllevar”, ha comentado Alan Abreu, responsable de cyber de Hiscox en España.
“Los datos del estudio hacen pensar que la mayoría de organizaciones difícilmente podrán dar respuesta a las nuevas exigencias en materia de comunicación de brechas de datos, según se establecen en el RGPD y la nueva LOPD. Así, muchas organizaciones españolas una vez ha pasado el plazo máximo de 72 horas para realizar la debida notificación a la AEPD no dispondrán de los datos que se les requiere, como las circunstancias que provocaron la brecha, naturaleza de los datos afectados, número de afectados, consecuencias sobre los mismos, o las medidas adoptadas para remediar y mitigar tal situación. Este contexto se complicará aún más en aquellas organizaciones que no cuenten con un programa robusto de gestión de riesgos y respuesta a incidentes. Si derivado del ciberataque se han perdido los datos de contacto de los afectados, no es posible identificar a los mismos de forma certera, o los sistemas informáticos han quedado inutilizados, la notificación de la brecha tendrá que hacerse por un canal público, con el consiguiente impacto reputacional”, comenta José Antonio Rubio Doctor Ingeniero en Ciberseguridad y Confianza Digital.
Para profundizar en el nivel de preparación de las empresas en materia de ciberseguridad, en el informe Cyber Readiness Report 2019 ha considerado 4 aspectos evaluados del 0 al 5: tecnología disponible, recursos dedicados, estrategia desarrollada y procesos implementados.
Tras realizar el análisis, el informe concluye que España tiene en su tejido empresarial con un 76% de compañías cibernovatas, un 15% intermedias y un 9% que obtienen la calificación de ciberexpertas, valores muy similares a los resultados del informe publicado en 2018. Entre el resto de países analizados destacan positivamente EEUU y Alemania con un con 11% de entidades ciberexpertas, y negativamente Francia con un 81% de compañías cibernovatas.
“Aunque cada día es más habitual encontramos con pymes y grandes empresas que desarrollan e integran la estrategia de ciberseguridad en su actividad, este esfuerzo no se ve reflejado en los resultados del estudio principalmente porque las ciberamenazas, sus consecuencias y el impacto negativo en los negocios evolucionan a mayor velocidad y cada día son mayores”, ha comentado Alan Abreu.
La gestión del talento pilar en la estrategia de ciberseguridad
El 67% de las entidades españolas encuestadas ha afirmado que prevé aumentar su presupuesto en ciberseguridad en los próximos 12 meses, 6 puntos más que en 2018 (61%). Entre los países que forman parte del estudio, solo en EEUU (72%) y Gran Bretaña 70%) se espera un crecimiento mayor.
Preguntados sobre a qué partidas se dedicarán dichas inversiones, más de la mitad de las empresas españolas (53%) prevé adquirir nuevas tecnologías, una partida que en el informe anterior formaba parte de los planes del 61% de los entrevistados. A pesar de esta la caída, España sigue siendo el país que más previsión tiene de inversión en hardware y software en comparación con los otros 5 países analizados, con una media del 50%.
Sin embargo, crece en paralelo el porcentaje previsto de inversión en personal, ya sea a través de contratación o en la formación de empleados: 4 de cada 10 (40%) desarrollarán planes de formación para sus empleados (33% en 2018), y 3 de cada 10 (31%) tiene previsto la contratación de nuevos profesionales especializados en ciberseguridad (29% en 2018).
“Tanto la inversión en formación como en contratación, vinculadas al área de ciberseguridad, ofrecen resultados muy similares en los 7 países analizados, lo que marca una tendencia: las empresas han comprendido que las personas somos el eslabón más débil en sus estrategias de ciberseguridad, y que el error humano suele estar detrás de un porcentaje muy alto de los incidentes cibernéticos que sufren estas instituciones”, afirma Alan Abreu.
¿Quién se encarga de la ciberseguridad?
Aunque la responsabilidad en el diseño e implantación de las estrategias de ciberseguridad en las empresas españolas sigue recayendo en el comité de dirección (51%) y en el área de TI (46%), comparando los datos de la anterior edición podemos decir que se ha comenzado un proceso de transversalidad.
Así, se reduce el número de empresas que involucran a comité de dirección y departamento de TI en la ciberseguridad (58% en ambos casos en 2018), y crece la implicación de otras áreas: Finanzas experimenta la mayor subida, del 16% al 26%, RRHH del 14% al 18%, y Operaciones del 15% al 20%. Además, dos nuevos departamentos comienzan a jugar un papel relevante: eCommerce y Ventas, donde más de 2 de cada 10 empresas afirman que involucrarán estas dos áreas en su estrategia de ciberseguridad.
“Las entidades analizadas comienzan a ser conscientes de que la ciberseguridad es un aspecto transversal en el que debe participar toda la compañía. La transformación digital de nuestras empresas conlleva un sinfín de posibilidades pero a su vez trae consigo nuevas amenazas que todos y cada uno de los trabajadores deben conocer, para en el mejor de los casos poder evitarlas, y en el peor poder dar la voz de alarma cuando algo ocurra”, comenta Abreu.
Aumentan las demandas de servicios complementarios en la solución de ciberpólizas
Preguntando a los directivos y responsables de ciberseguridad españoles que sí prevén contratar este seguro, las razones principales por las que forman parte de su plan de negocio a corto plazo: el 36% valora el conocimiento especializado de las aseguradoras, el 32% afirma que será obligatorio por ley o un requerimiento para poder ser firmar acuerdos con otras compañías, y también el mismo porcentaje (32%) valora de manera positiva la experiencia que las aseguradoras aportan al haber gestionado ciberataques con anterioridad. Por último, entre las razones este año aparece una nueva, mencionada ya por el 9% de los entrevistados y es la entrada en vigor del RGPD.
“Otro factor importante a considerar es el creciente coste asociado a los incidentes de seguridad, debiendo tener en cuenta cuestiones como la contratación de servicios legales, realización de análisis forense, procesos de notificación a los afectados, o la puesta en marcha de servicios de call center para atender las solicitudes de información por parte de los clientes. Una situación que de no gestionarse oportunamente puede desembocar en importantes pérdidas económicas, por lo que las ciberpólizas se consolidan como un activo necesario para nuestro plan y cartera de gestión de riesgos”, apunta José Antonio Rubio.
Por otro lado, los servicios complementarios a la póliza que más valora el tejido empresarial español son: la formación para empleados, nombrado casi por 6 de cada 10 empresas (57%) y la asesoría de riesgos (56%), ambas con 13 puntos de crecimiento respecto a 2018; además se demanda software de prevención (48%), simulacros o test de vulnerabilidad (34%), consultoría (33%), asesoramiento sobre amenazas (28%) e información actualizada del universo de la ciberseguridad (11%).
“Hay que tener muy en cuenta que la cobertura financiera, o sea que la aseguradora responda con una indemnización económica ante un siniestro, baja de ser la segunda razón en 2018 a la cuarta posición este año. Este aspecto refleja cómo una póliza de ciberseguridad va más allá de lo que entendemos normalmente por un seguro. En este ramo no basta que alguien te compense económicamente si se produce un incidente, los directivos españoles lo que valoran es un verdadero socio capaz de aportar experiencia y conocimiento a la hora de evitar el incidente, gestionar los ataques o mitigar sus efectos en el negocio”, concluye Alan Abreu.
