Las empresas no se aclaran con su estrategia de ciberseguridad

La ciberseguridad se ha convertido en un asunto de primera magnitud para las empresas. Si ya era unos de los temas que más preocupaba a las compañías antes de la pandemia, la situación generada por la COVID-19 ha puesto de manifiesto que la ciberseguridad es un factor clave, que no puede desligarse del área de negocio y que marca el devenir de la mayoría de las organizaciones.

Sin embargo, aun siendo conscientes de su importancia, la mitad de las empresas no están haciendo las cosas demasiado bien en este terreno. Según el informe ‘Madurez Digital en Ciberseguridad’, elaborado por Minsait y SIA, el 56% de las compañías no cuenta todavía con una estrategia de ciberseguridad bien definida y está lejos de cumplir con el modelo de Organización Digitalmente Protegida.

Esta situación es especialmente grave desde el arranque de la pandemia, puesto que la mayoría de las empresas se han visto obligadas a implantar el teletrabajo y muchas han potenciado sus canales de venta online, multiplicando el riesgo de sufrir un ciberataque que ponga en peligro su viabilidad y su futuro en la era digital.

Por ejemplo, el informe alerta de que apenas un 22% de las empresas consultadas ha implementado una medida tan importante como la gestión centralizada de identidades. En un momento como el actual, en el que la suplantación de la identidad digital y el robo de contraseñas es uno de los principales vectores de ataque, este dato es muy preocupante.

De hecho, el estudio precisa que el 90% de los ciberataques emplea técnicas de ingeniería social para quebrar la seguridad de las empresas. Además, recalca que los ataques de phishing se han disparado un 6.000% durante la pandemia.

Pese a ello, todavía no existe una estrategia bien definida. “La mitad de las empresas no han incorporado aún la ciberseguridad a sus agendas y le dan un tratamiento meramente táctico, centrándose en la adquisición de herramientas y olvidando aspectos decisivos como son la cultura, los procesos y las personas”, afirma Luis Álvarez, CEO de SIA.

Así pues, un 73% de las organizaciones no cuenta con mecanismos de incentivos, formación y comunicación adecuados para sus profesionales, dificultando un cambio en la organización en materia de ciberseguridad. Además, el 90% de las compañías no dispone todavía de perfiles profesionales especializados en ciberseguridad.

Las compañías también muestran graves carencias en su política de gobierno. El 68% de las organizaciones encuestadas aún no dispone de un Chief Information Security Officer (CISO), responsable de la seguridad de la información y de su alineamiento con los objetivos de negocio. Asimismo, un 82% de las compañías no mantiene actualizados los registros de activos digitales a proteger. Además, un 90% de las consultadas no emplea técnicas avanzadas de ciberseguridad. Y sólo el 55% de las empresas cuenta con los servicios de un Centro de Operaciones de Ciberseguridad.

No obstante, hay sectores que sobresalen por su buen hacer en este campo. El informe indica que las empresas de banca, telecomunicaciones y media, seguros y energía destacan por su elevado grado de avance, inversión en nuevas tecnologías y búsqueda de respuestas innovadoras a los retos de ciberseguridad.