9 de cada 10 empresas no cuentan con un presupuesto de ciberseguridad adecuado
- Seguridad
Solo un 31% de las compañías que sufrió un ciberataque el pasado año detectó el problema a través de su función de ciberseguridad. Las grandes compañías están incrementado el presupuesto de ciberseguridad en mayor medida que las pequeñas, aunque éstas últimas cuentan con planes de protección más integrados en su estrategia de negocio.
Tras un año en el que las organizaciones han tenido que enfrentarse a numerosos ciberataques a gran escala, el 87% siguen sin contar con el presupuesto necesario para poner en marcha sistemas efectivos de ciberseguridad. Esta es la principal conclusión del informe Global Information Security Survey 2018-19 elaborado por EY, de acuerdo con el cual, el 77% de los directivos considera que su compañía opera con sistemas de seguridad limitados y el 55% de la muestra no toma en cuenta la ciberseguridad como una parte fundamental de la estrategia de su negocio. Además, solo un 8% considera que sus procedimientos de protección están adaptados a las necesidades de la empresa.
Los ejecutivos son optimistas respecto a un aumento del presupuesto dedicado a la ciberseguridad en sus compañías. En este sentido, las grandes empresas están incrementado la dotación presupuestaria un 63%, frente al 50% de las pequeñas, aunque éstas últimas cuentan planes de protección integrados en la estrategia de negocio en mayor medida que las empresas de mayor facturación (58% frente al 54%). En lo que respecta a las organizaciones que han sufrido ataques durante el último año, el 76% elevará el presupuesto destinado a ciberseguridad.
Entre las principales vulnerabilidades que señalan los líderes empresariales destacan la falta de cuidado por parte de los empleados (34%), controles de seguridad desfasados (26%), accesos externos desautorizados (13%) y riesgos asociados al uso de información en la nube (10%). Cabe resaltar que solo un 31% de las organizaciones que sufrieron un ciberataque el pasado año detectaron el problema a través de su función de ciberseguridad.
El phishing es el principal riesgo para los directivos, según un 22% de los encuestados. Le siguen el malware, con un 20%; los ciberataques cuyo objetivo es influir en la actividad diaria, un 13%; y la sustracción de capital, un 12%. Del estudio también se desprende que el 38% de las empresas no tienen la capacidad de detectar un ataque sofisticado. Las consecuencias de un ataque que más temen los directivos son la pérdida de información de clientes (17%), de datos financieros (12%) y de planes estratégicos (12%).
El estudio pone de manifiesto que los líderes empresariales están repensando su estrategia de ciberseguridad para mejorar la protección de su negocio ante la creciente complejidad de los ataques. El 77% de las compañías está en la actualidad buscando una mayor sofisticación en sus medidas de ciberseguridad, empleando técnicas como la inteligencia artificial, la robótica o la automatización. El informe revela que las principales inversiones se van a realizan en los ámbitos de cloud computing (52%), analytics (38%) y mobile computing (33%).
Otra problemática que influye en las deficiencias de ciberseguridad es la falta de influencia de ésta en los planes estratégicos de las compañías. Así, un 82% de los Consejos de Administración no tiene diseñada una agenda estratégica de ciberseguridad y solo un 18% de los directivos considera que su organización toma en cuenta los aspectos de ciberseguridad a la hora de planificar y poner en marcha los planes de negocio. Además, el 60% reconoce que el responsable de los aspectos de ciberseguridad no forma parte del Comité de Dirección de la empresa.