Nivel de madurez en Ciberseguridad de la empresa española presentado por el CISO de Grupo Sanitas donde vemos cómo está el panorama actual

El avance de la ciberseguridad a nivel empresarial

La ciberseguridad se está convirtiendo en un concepto que más y más empresas están adoptando entre su jerga diaria. El crecimiento de la ciberdelincuencia y los ciberataques son cada vez más numerosos, al igual que graves y peligrosos, y están causando perjuicios a las empresas; empresas las cuales, en un alto porcentaje, no están preparadas para enfrentarse a ello y acaban con sus actividades. Por suerte, la concienciación y la formación de los trabajadores aumentan con el tiempo. La cuestión es: “¿aumenta al ritmo adecuado?”. En el Madrid Tech Show hemos tenido la oportunidad de ver cómo se encuentra el estado de la ciberseguridad a nivel empresarial. Nivel de madurez en Ciberseguridad de la empresa española.

Para conocer el nivel de madurez en ciberseguridad que existe en España, el Madrid Tech Show ha contado con la presencia de Iván Sánchez, CISO de Grupo Sanitas, quien durante la ponencia ha revelado detalles interesantes. Uno de los primeros temas tratados ha sido un estudio sobre la madurez en ciberseguridad  en el que hemos visto el grado de despliegue del control. En él, las métricas nos muestran diversos puntos relacionados con los controles de seguridad (29 preguntas realizadas): Inexistente, con un resulto menor del 25%; Básico, entre un 25% y 49%; Maduro, entre un 50% y un 74%; Optimizado, 75%.

Más del 50% cuentan con un grado de madurez “Básico”

Los resultados finales del estudio es que un 53% cuenta con un grado de madurez “Básico”, siendo conscientes de lo que supone la ciberseguridad para sus empresas y de los peligros que pueden correr a nivel informático si no se cuenta con una buena estructura defensiva. El 38% de los encuestados posee un grado de madurez “Maduro” (valga la redundancia), dando a entender que poseen un conocimiento bastante amplio del concepto y que están más que al tanto de los ciberriesgos y ciberamenazas que se llevan a cabo cada día. Por desgracia, siempre hay empresas que dan una nota discordante en los datos, y en este caso en ese 8% de los encuestados cuyo nivel de madurez es “Inexistente”.

La cifra es preocupante ya que, en el caso de convertirse en objetivos de los ciberdelincuentes, sus empresas podrían ser las primeras en ser ciberatacadas; independientemente del tipo de compañía que se tenga (micro, pequeña, mediana o grande), los ciberdelincuentes no distinguen entre ellas ya que todas poseen información valiosa. Si el dato anterior es preocupante, más lo es el que representa a las compañías cuyo nivel de madurez está “Optimizado”, ya que hablamos solo de un 1%. El porcentaje de empresas preparadas en ciberseguridad es sumamente bajo, demostrando que hace falta mucho más trabajo e inversión en este aspecto de cara a alcanzar un porcentaje más destacable.

Los dominios más destacados y los que necesitan mejorar

El segundo tema tratado estuvo relacionado con una serie de diversos sectores empresariales y el grado de dominio que tienen en aspectos como: Identify, Protect, Detect, Respond y Recover. A nivel general, tal y como podemos ver en la imagen adjunta, los dominios “Identify, Protect y Detect” son los que mejor trato tienen entre las empresas encuestadas (financiero, construcción, salud, telecomunicaciones, servicios, etc.); el resultado de los tres está por encima del 60%, por lo que nos encontramos ante un panorama bastante positivo, aunque con margen de mejora por supuesto. Las empresas Financieras, de la Construcción, Energía y Utilities, y Aseguradoras son las que más destacan; su nivel de madurez supera el 60% en los cuatro casos.

Los dominios que peor resultado presentan son “Respond y Recover”, con un 55% y 53% respectivamente. En comparación con los tres anteriores, vemos que es necesario mejorar lo antes posible. Si las cuatro empresas que hemos tratado antes son las que mayor nivel grado de madurez presentan, por desgracia existe cierta parte que cuenta con un porcentaje digno de preocupación. Distribución, Turismo, y Bienes de Consumo presentan una media muy baja del 52%, 51% y 51% respectivamente. Ninguna de ellas destaca en los dominios citados, lo cual obliga a los sectores mencionados a estudiar qué está fallando en las medidas que toman a nivel de ciberseguridad.

Conclusiones derivadas del estudio de Sanitas

Identify: Más del 60% de organizaciones cuenta con una política que define roles y responsabilidades; el 30% revela que los procesos de gestión del riesgo y el nivel de tolerancia están establecidos por las partes interesadas. El 50% identifican y comunican las dependencias y requisitos de los servicios y funciones críticas; solo un 30% considera que su inventario está completo. En cuanto al porcentaje de empresas que identifican y documentan las vulnerabilidades/amenazas, este asciende al 50%.

Protect: En este dominio, más del 40% documenta procesos y procedimientos, aunque no los implementan. En relación al porcentaje de empresas que disponen de medidas de seguridad asociadas a la política y procedimientos, la cifra asciende al 50%. A nivel de concienciación y formación, el grupo mayoritario presenta una formación que llega a todos los empleados, aunque se realiza de forma anual.

Detect: A nivel general, las empresas cuentan con sistemas para la recolección de eventos para sistemas y redes clave del negocio. Más del 40% de las empresas lleva a cabo un análisis de comportamiento para la detección de actividades anómalas. En el 50% de las empresas, los procedimientos de detección están definidos, pero no todas las responsabilidades se encuentran asignadas.

Las empresas no destacan en los ámbitos principales

Respond: En este dominio, las empresas más destacables son Energía y Utilities, y Construcción. Eso sí, su porcentaje no es tan alto como cabría desear. Turismo es el que se lleva peor parte. En el 50% de las empresas, los procedimientos de respuesta ante los ciberataques quedan documentados y se actualizan para ser probados cada año. El grueso de las empresas que han participado en el estudio alega investigar las alertas más relevantes que generan sus sistemas de detección.

Recover: Por último, los planes de recuperación de los sistemas clave de negocio están formalizados, aunque por desgracia no se revisan paso a paso por la organización en cuestión y en muchos casos se revisan ad hoc (para un problema preciso). Más de un 50% de las empresas aseguran que los planes y estrategias de recuperación se actualizan, como poco, una vez al año y se incorporan lecciones aprendidas. Además, revelan que los roles y actividades en comunicación están definidas en el proceso de recuperación; la mitad manifiesta que existen canales informales para la comunicación. Nivel de madurez en Ciberseguridad de la empresa española.

Los pasos a seguir para mejorar la madurez en ciberseguridad

Vistos los resultados del estudio, la conclusión a sacar es que hace falta mucha más involucración de la dirección empresarial para la toma de decisiones relacionadas con los programas de seguridad. Los datos no son todo lo halagüeños que deberían ser si tenemos en cuenta que los ciberataque son cada vez más numerosos (crecimiento en  2020 superior al 40% respecto al año anterior), y de consecuencias muy graves para las empresas. (Oleoducto de Colonial, cuyo ciberataque acabó siendo pagado por la empresa). Así pues, ¿Qué podemos hacer para mejorar?

• Regulación de la ciberseguridad.
• Suprimir las restricciones presupuestarias.
• Mejorar las capacidades de ciberseguridad de la Administración Pública.
• Poseer una mayor resiliencia.
• Colaborar con terceros organismos.
• Interlocución con autoridades de control y reguladores.
• Desarrollo de benchmarking.
• Elaborar un indicador anual para analizar la evolución de madurez.