Las empresas españolas suspenden en ciberseguridad: solo el 7% tienen un nivel de preparación maduro

La llegada del teletrabajo y la migración de las cargas de trabajo a la nube cambiaron radicalmente el panorama de la ciberseguridad para las empresas de todo el mundo. Sin embargo, éstas no parecen haberse subido al carro de la transformación, al menos desde el punto de vista de la seguridad. Según el estudio de Cisco ‘Cybersecurity Readiness Index’, sólo el 7% de las compañías españolas tiene una ciberseguridad madura, una cifra que está por debajo de la media global del 15%.

Ángel Ortiz, director de Ciberseguridad en Cisco España, presentó los resultados del informe y afirmó que “el trabajo ya es algo que hacemos, no es un sitio al que vamos. Podemos trabajar desde la oficina, la casa o cualquier otro sitio y desde cualquier dispositivo, a través de nubes híbridas o públicas. Esto hace que las amenazas a las que nos enfrentamos cambien y las empresas deben adaptarse”.

"La red se convierte en el elemento central que articula todo, y todo lo que se conecte a esa red debe estar protegido"

 

Ángel Ortiz, director de Ciberseguridad en Cisco España

Así, añadió, “la red se convierte en el elemento central que articula todo, y todo lo que se conecte a esa red debe estar protegido, tanto los usuarios, los dispositivos, las aplicaciones y los datos que manejan esas aplicaciones”. Estos son, por tanto, los cinco pilares que Cisco define como estructurales de su estudio y que sirven para evaluar la preparación de las empresas para las nuevas ciberamenazas: los dispositivos, los datos, la red, los usuarios (verificación de identidades) y las cargas de trabajo de las aplicaciones.

En base a la revisión de las herramientas y tecnologías que las compañías implementan en sus estructuras para combatir el cibercrimen, Cisco ha definido cuatro etapas de madurez en ciberseguridad: principiante, formativa, progresiva y madura.

A nivel global, el estudio reveló que el 15% de las empresas son maduras, un 30% alcanzan el nivel de progresiva, un 47% están en la etapa formativa y un 8% son principiantes en lo que se refiere a ciberseguridad. En el caso de España, la cantidad de empresas maduras solo llega al 7%, mientras que las progresivas son un 26% del total, las formativas un mayoritario 59% y las principiantes un 8%.

España, por debajo de la media en las cinco áreas claves

En detalle, España tiene la mayor madurez en el área de la protección de los dispositivos, donde el 28% de las compañías alcanzan el nivel máximo. No obstante, el porcentaje es menor que la media global, que llega al 31%. Como punto a favor, las empresas principiantes son menos (26%) que el promedio mundial (28%).

En cuanto a la protección de datos, la segunda área clave en la que mejor puntúa España, un 15% de las organizaciones nacionales se consideran maduras según el informe, aunque la diferencia con la media global (22%) es mayor en este caso. “La normativa GDPR y otras normativas de protección de datos han ayudado a incrementar este nivel de madurez y la concienciación en cuanto a la protección de la información”, sopesó Ortíz. 

La tercera área, la seguridad en la red, muestra un nivel máximo de madurez en solo el 11% de las organizaciones, con ocho puntos de diferencia con el promedio mundial (19%). El director de Ciberseguridad de Cisco España aseveró que “no existe un nivel de madurez demasiado alto ni en España ni en el extranjero. Todos tenemos asumido que tenemos que securizar la red, pero quizás no está tan asumido el cambio de paradigma que estamos teniendo en lo que supone la protección de red en un entorno híbrido”. 

“Tenemos que asumir que el nuevo perímetro es la identidad”, agregó Ortíz, apuntando que el 11% de las empresas españolas se posicionan como maduras en el ámbito de la verificación de identidad, con una diferencia de 9 puntos porcentuales respecto al resto del mundo (20%). “Tenemos que ir a una aproximación de confinaza cero y confianza granular, darle el mínimo de acceso a los empleados y verificar de forma continua si esa confianza debe revocarse o no. El mundo híbrido ha supuesto un cambio muy importante en este ámbito”, comentó.

“Tenemos que asumir que el nuevo perímetro es la identidad”

La última área analizada por Cisco, y en la que peor resultado obtuvieron las empresas españolas, es la de la protección de la carga de aplicaciones. Solo un 5% de las compañías del país tienen un nivel maduro de ciberseguridad en este ámbito, versus el 12% a nivel global. 

“No me sorprende que este es el pilar donde menos tenemos empresas protegidas. Cuando hablamos con los clientes, nos damos cuenta que las aplicaciones se han transformado en el negocio, pero les cuesta seguir el ritmo de protección de estas cargas de trabajo. La dependencia de las TIC hacen que las aplicaciones sean mucho más críticas, que departamentos que no están necesariamente relacionados con IT desarrollen sus propias aplicaciones y muchas veces el reto de IT es tener la visibilidad de estas aplicaciones”, sostuvo Ortíz.

La concienciación va en aumento

A pesar de que aún son pocas las empresas que están preparadas para enfrentarse a las nuevas amenazas de ciberseguridad, el estudio de Cisco mostró que la concienciación va en aumento. De hecho, un 83% de las compañías españolas esperan que un incidente de ciberseguridad perturbe su negocio en los próximos 12 a 24 meses. 

“La buena noticia es que existe un buen grado de concienciación, un 80% de las empresas espera aumentar su presupuesto de ciberseguridad al menos un 10% en los próximos 12 meses”, comentó Ortíz. Así, el ejecutivo puso el foco en que hay que trabajar en la resiliencia cibernética. “Cada vez más tenemos que hablar de resiliencia en términos de ciberseguridad. No se trata de si seremos atacados, sino de cuándo seremos atacados, y cuando pase, tenemos que estar preparados para recuperarnos cuanto antes”, afirmó.

“Para ello, desde Cisco, entendemos que el enfoque de confianza cero, el dar acceso a los recursos únicamente necesarios en cada momento, el combatir esa falta de visibilidad y el automatizar tareas frente a los ataques, van a ser claves” para lograr esa resiliencia, dijo.