The better the question. The better the answer. The better the world works. У вас есть вопрос? У нас есть ответ. Решая сложные задачи бизнеса, мы улучшаем мир. У вас є запитання? У нас є відповідь. Вирішуючи складні завдання бізнесу, ми змінюємо світ на краще. Meilleure la question, meilleure la réponse. Pour un monde meilleur. 問題越好。答案越好。商業世界越美好。 问题越好。答案越好。商业世界越美好。

¿Es la ciberseguridad algo más que una cuestión de protección?

EY Global Information Security Survey

La 21a edición de EY Global Information Security Survey muestra que muchas compañías están incrementando los recursos que dedican a la ciberseguridad, pero que también siguen muy preocupadas por la gravedad de la amenaza cibernética. La encuesta, realizada entre abril y julio de 2018, recoge las respuestas de más de 1.400 ejecutivos de primer nivel y directivos de seguridad informática y de Tecnologías de Ia Información (IT), que representan a muchas de las compañías globales más reconocidas.

El informe EY Global Information Security Survey (GISS) muestra que la ciberseguridad sigue incrementando su peso en la agenda de la alta dirección. Las empresas están invirtiendo cada vez más recursos en mejorar sus sistemas de defensa y en incorporar conceptos como la “seguridad desde el diseño” de los productos y servicios (security by design).

Sin embargo, casi nueve de cada diez empresas (87%) no tienen aún un presupuesto suficiente como para proporcionar los niveles de ciberseguridad y de resiliencia deseados. Todavía hay pocas empresas que hayan incorporado capacidades avanzadas de protección y los sistemas de ciberseguridad, a menudo, funcionan de forma aislada o en silos. El reto es que las compañías progresen en tres frentes: proteger a la empresa, optimizar la ciberseguridad y permitir el crecimiento.

EY Global Information Security Survey

Proteger la compañía

El estudio recoge que un porcentaje significativo de las empresas (77%) sigue operando con un sistema de ciberseguridad y resiliencia limitado. Ni siquiera tienen una idea clara de cuáles son y, dónde están tanto su información como sus activos más críticos, ni disponen de las garantías adecuadas para protegerlos.

Gobernanza

EY Global Information Security Survey

Principales amenazas

EY Global Information Security Survey

Protección

EY Global Information Security Survey

Brechas

EY Global Information Security Survey

Gobernanza

Más de la mitad de las compañías no hace de la protección una parte integral de su estrategia y de sus planes de acción. En concreto, este factor es más acusado en las grandes compañías que en las pequeñas (58%, frente al 54%).

A pesar de esto, los presupuestos en ciberseguridad van en aumento. Existe una mayor probabilidad de que las grandes empresas los incrementen este año (63%) y el próximo (67%) que las más pequeñas (50% y 66%, respectivamente).

Principales amenazas

La información financiera del cliente y los planes estratégicos conforman los datos más valiosos que protegen las empresas. La información de los miembros del Consejo y las contraseñas de los clientes ocupan la cuarta y quinta posición, respectivamente. En el último puesto de la lista se encuentra la información de los proveedores.

¿Cuáles son las mayores amenazas?

Las principales amenazas cibernéticas son el phishing y malware. Los ciberataques disruptivos figuran en el tercer puesto de la lista, seguidos de los ciberataques enfocados al robo de dinero. El temor a los ataques internos aparece en el octavo puesto, mientras que el espionaje ocupa el último lugar.

Las 10 mayores amenazas cibernéticas

  • 1. Phishing (22%)
  • 2. Malware (20%)
  • 3. Ciberataques - para dañar (13%)
  • 3. Ciberataques - robo de dinero (12%)
  • 4. Fraude (10%)
  • 6. Ciberataques -robo de IP (8%)
  • 7. Spam (6%)
  • 8. Ataques internos (5%)
  • 9. Desastres naturales (2%)
  • 10. Espionaje (2%)

17%

EY Global Information Security Survey

de las compañías dicen que su mayor miedo es perder la información de sus clientes

22%

EY Global Information Security Survey

ve el phishing como la mayor amenaza

2%

EY Global Information Security Survey

menciona el espionaje como una amenaza en el ranking

Protección

Las vulnerabilidades aumentan cuando proceden de terceras partes. Así queda de manifiesto en el informe, donde sólo el 15% de las compañías toma medidas básicas para protegerse contra terceros y el 36% conoce este riesgo a través de evaluaciones (internas o independientes), frente al 64% que afirma no tener visibilidad sobre este tema. Entre las empresas más pequeñas, el porcentaje asciende al 67%.

El 35% de las organizaciones de mayor tamaño tiene un programa actualizado de inteligencia contra amenazas, en comparación con el 25% de las más pequeñas. Así, el 58% asegura que su programa de respuesta ante incidentes está actualizado, comparado con el 41% de las compañías más pequeñas.

Brechas

Las compañías admiten que es poco probable que aumenten sus prácticas de ciberseguridad o que inviertan más capital, a no ser que sufran algún tipo de incidente que causara impactos muy negativos.

El 63% de las empresas no incrementaría su gasto ante un fallo en su sistema de seguridad que no causase daños. Entre las compañías que han sufrido un incidente en el último año, menos de una tercera parte asegura que la vulnerabilidad fue descubierta por su función de seguridad.

Optimizar la ciberseguridad

En esta edición, el informe muestra que el 77% de las compañías afirma estar tratando de dar un paso más y mejorar sus capacidades en lugar de sólo incorporar sistemas básicos de protección. Menos del 10% asegura que la función de seguridad de la información satisface plenamente sus necesidades, y a muchas les preocupa que las mejoras esenciales no estén en marcha aún.

Situación de partida

El 92% de las empresas está preocupada por determinadas áreas de la función de seguridad de la información. El 30% cita la escasez de perfiles cualificados para esta función y el 25% alude a restricciones presupuestarias. Las empresas de menor tamaño mantienen su preocupación en el hecho de que la función de seguridad de la información no satisface sus necesidades o debería mejorar, y el 56% dice tener escasez de empleados cualificados o restricciones presupuestarias.

Reporting

Solo el 15% de los directivos consultados afirma que sus informes de seguridad de la información cumplen totalmente sus expectativas. En el caso de las empresas de menor tamaño, un 23% afirma no generar informes de seguridad de la información, en comparación con el 16% de las compañías más grandes

Externalizar o desarrollar internamente

Tal y como se recoge en los siguientes gráficos, el 72% de las grandes empresas cuenta con Centro de Operaciones de Seguridad (SOC, por sus siglas en inglés), un porcentaje que desciende al 40% en el caso de las de menor tamaño.

Prioridades de Inversión

Cuando se trata de descubrir qué ha pasado y cómo, las empresas tienen claro que el área forense es clave. Uno de cada dos directivos consultados señala que esa función no funciona particularmente bien cuando han sufrido un ataque y quieren entender lo ocurrido y el impacto generado.

Permitir el crecimiento

Alrededor del 70% de las empresas asegura que su personal directivo tiene un amplio conocimiento de la seguridad o está tomando medidas para mejorar su comprensión. Las compañías de mayor tamaño han avanzado con mayor rapidez: el 73% tiene al menos una comprensión limitada, en comparación con el 68% de las más pequeñas. En cuanto a quién asume la responsabilidad de liderar las cuestiones relacionadas con la ciberseguridad, en el 40% de las organizaciones es el Director de Sistemas de Información (CIO por sus siglas en inglés).

Sólo cuatro de cada diez compañías aseguran que la persona con la responsabilidad final es un miembro del Consejo de Administración o un directivo.

Contactos

EY - Elena Maestre

Elena Maestre
Spain Risk Advisory Leader, MED
+34 91 567 40 41

EY - Xavier Ferre

Xavier Ferre
Spain Risk Partner
+34 93 362 72 77

EY - Manuel Giralt

Manuel Giralt
Spain Risk Partner
+34 91 572 74 79

EY - Ramiro Mirones

Ramiro Mirones
Spain Risk Partner
+34 91 572 50 09

EY - Juan Luis Fernández

Juan Luis Fernández
Spain IT Risk Leader, Financial Services
+34 91 749 34 29

EY - Julio San José

Julio San José
Spain Cybersecurity Leader, Financial Services
+34 91 567 40 69