El 87% de las empresas no tiene presupuesto suficiente para ciberseguridad

El 87% de las empresas no tiene presupuesto suficiente para ciberseguridad

El presupuesto con que cuenta la mayoría de las empresas no es suficiente para hacer frente a las amenazas de ciberseguridad.

Ésta es una de las principales conclusiones del estudio realizado por la firma consultora Ernst & Young para el período 2018-2019.

Dicho estudio corresponde al “Global Information Security Survey 2018-19”, es decir, a la Encuesta Global de Seguridad de la Información de este período y entrega varios otros datos interesantes que mostraremos más abajo.

Alcance del estudio

La encuesta consideró un universo de más de 1.400 directivos de empresas medianas y grandes de diversos sectores económicos, de Europa, Japón, Asia Pacífico y América (incluido Chile).

Algunas cifras arrojadas por el estudio

El 87% de los encuestados asegura no contar con el presupuesto necesario para disponer de sistemas efectivos de ciberseguridad. Esta cifra mejoró sólo en un 2% en comparación con el estudio efectuado durante el año anterior.

El 77% de los directivos cree que su compañía posee sistemas de seguridad limitados.

El 55% de los encuestados no cree que la ciberseguridad es una parte fundamental dentro de la estrategia de su negocio. Además, solo un 8% cree que sus procedimientos de protección están íntegramente adaptados a las necesidades de su empresa.

El estudio también arrojó que  las grandes empresas están aumentando su presupuesto para ciberseguridad en un 63%. Las empresas medianas también lo hacen, pero en menor medida (50%).

En cuanto a las organizaciones que sufrieron ciberataques durante el último año, el 76% declaró que aumentará su presupuesto para ciberseguridad para este año.

Principales vulnerabilidades de ciberseguridad

Los directivos encuestados señalaron que  las principales vulnerabilidades de ciberseguridad identificadas son:  falta de cuidado por parte de los empleados (34%), controles de seguridad poco oportunos (26%), accesos externos no autorizados (13%) y nuevos riesgos debidos al uso de información en la nube (10%).

Por otra parte, es interesante notar que el estudio reveló que sólo un 31% de las organizaciones afectadas por ciberataques durante el año pasado detectaron los incidentes gracias a su función de ciberseguridad. Esto es preocupante, porque muestra que dicha función carece de la efectividad requerida, ya sea por estar mal definida o mal implementada.

Riesgos, temores y consecuencias

Para los ejecutivos encuestados el principal riesgo de ciberseguridad es el phising (o suplantación de identidad digital), alcanzando un 22% de las menciones. Le siguen el malware, con un 20%; los ciberataques cuyo objetivo es afectar la operación diaria (un 13%) y el robo de dinero (un 12%).

De acuerdo al estudio,  la pérdida de información de clientes (17%), la pérdida de datos financieros (12%) y la fuga de planes estratégicos (12%) son las consecuencias más temidas de un ciberataque.

Por otra parte, el estudio arrojó también que el 38% de las empresas no posee la capacidad de identificar oportunamente un ataque de seguridad informática sofisticado.

Otras conclusiones y recomendaciones del estudio

Además de poner énfasis en que las empresas deben aumentar su presupuesto para la ciberseguridad ahora y no despúes de sufrir un ataque, el estudio propone algunas otras conclusiones, consideraciones y recomendaciones que son importantes de tener en cuenta y que se aplican para empresas de todos los tamaños. La síntesis es la siguiente:

1.- Distribuir equilibradamente la inversión en servicios de ciberseguridad internos y externos, para aprovechar de la mejor manera posible las capacidades que entregan los proveedores externos.

2.- Dejar la investigación forense en manos de un partner externo especializado.

3.- Considerar la posibilidad de invertir en capacidades analíticas para mejorar la detección de ciberamenazas.

4.- Distribuir adecuadamente el presupuesto para asegurar la detección temprana de amenazas de ciberseguridad y la respuesta oportuna frente a dichas amenazas. Esto reducirá significativamente los riesgos.

5.- Poner la ciberseguridad como una parte fundamental (corazón) de la estrategia corporativa.

6.- Focalizar la ciberseguridad como parte de la estrategia de transformación digital, ya que el éxito de muchos proyectos digitales dependerá del establecimiento de relaciones de confianza con los clientes.

7.- Seguir centrándose en las tecnologías emergentes. Los ciberdelincuentes también están invirtiendo aquí, por ejemplo, en inteligencia artificial. El consejo es resistirse a la tentación de reducir la inversión en estas áreas tecnológicas claves.