Estudio "La seguridad como servicio 2023" - Una autoevaluación engañosa marca la pauta

Viena/Múnich, 22 de agosto de 2023 - Los expertos en digitalización A1 Digital publican un estudio sobre el estado de la seguridad informática en la región DACH en 2023(i) en colaboración con Foundry (CIO, CSO y COMPUTERWOCHE). Más del 70 por ciento de las empresas de Alemania, Austria y Suiza se sienten adecuadamente preparadas para los ataques a su empresa, datos e infraestructuras. Por el contrario, el 48% de las personas encargadas de las secuelas de los ciberataques informan de daños significativos. Según su propia evaluación, el 62% de las empresas encuestadas consideraron que el proceso desde el reconocimiento hasta la evaluación de una emergencia y el desencadenamiento final de la acción de gestión de crisis consumía horas o incluso días. En los peores casos, los afectados fueron incapaces de juzgar adecuadamente la situación. La desastrosa conclusión: en estas empresas no existe un concepto global de disuasión.

La autoevaluación como factor de riesgo

En la encuesta, las empresas hacen una autoevaluación positiva de sus conocimientos en materia de seguridad. En general, el 73% de las empresas califican sus capacidades de detección de ciberriesgos y ciberataques como "buenas" o "muy buenas". Los denominados operadores CRITIS, es decir, las empresas que gestionan infraestructuras críticas, se muestran especialmente seguros de sí mismos: El 79% califica sus capacidades como nada menos que "buenas", frente a alrededor del 60% de las empresas no CRITIS. Existen diferencias aún mayores en la autoevaluación dentro de los distintos departamentos de una empresa. El 81 por ciento de los responsables del área de TI se sienten capaces de detectar adecuadamente los ciberataques. Los departamentos especializados (50 por ciento) y la dirección (66 por ciento) muestran menos confianza. Sin embargo, incluso después de incidentes graves, el 80 por ciento de las empresas afectadas califica su defensa de "buena" o "muy buena". Las empresas ven su mayor reto técnico en la creciente amenaza de ciberataques cada vez más complejos y en la falta de información sobre el valor de los datos y procesos afectados (45 por ciento cada uno). "Como muestra el estudio, la autoconciencia en el mundo de la ciberseguridad es a menudo engañosa y puede conducir a una falsa sensación de seguridad", explica Thomas Snor, Director de Ciberseguridad de A1 Digital. "Las empresas deben reconocer la complejidad y la naturaleza multicapa de las amenazas. No basta con confiar en los éxitos del pasado. En su lugar, es fundamental ser proactivo, ajustar las estrategias con regularidad y adaptarse al panorama siempre cambiante de las ciberamenazas."

¿CISO o TI?

Sorprendentemente, los CIO, con un 22%, y no los CISO (11,5%), son los que más influyen en las decisiones de seguridad. El poder de decisión de los CIO sobre los servicios de seguridad aumenta proporcionalmente al tamaño de la empresa. "Sólo el 12 por ciento de los CISO toman realmente decisiones sobre seguridad; la mayoría las toma el CIO", afirma Snor. "En mi opinión, el CISO estaría mejor situado dentro de la organización del CFO, donde se asientan la gestión y la evaluación de riesgos. Allí, la cuestión candente del valor de los datos en el contexto del riesgo global para la empresa puede responderse de forma más competente."

El factor humano como debilidad y recurso escaso

Algo menos del 37% de los encuestados citan a los empleados negligentes como la razón del éxito de los ataques. Por el contrario, la formación de los empleados y la falta de experiencia en seguridad informática figuran entre los tres mayores retos, lo que demuestra un cierto nivel de autorreflexión crítica. Casi uno de cada cinco encuestados se queja de la escasez de profesionales de seguridad informática en relación con los retos organizativos futuros.

Cuestión de organización

El 44% de las empresas ve su mayor reto organizativo en el ámbito de la seguridad informática en la implantación de normas de seguridad, el 39% en la supervisión del cumplimiento. Sólo una cuarta parte de las empresas citan los presupuestos como principales obstáculos. El tamaño de la empresa influye en la percepción: de las grandes empresas con más de 1.000 empleados, algo menos del 50 por ciento ve la implantación de normas como un reto, frente al 44 por ciento de las empresas con menos de 500 empleados. Las organizaciones CRITIS valoran el reto de mantener las normas en un 43% menos que los operadores no CRITIS (48%). Desde una perspectiva técnica, los ciberataques complejos (45 por ciento de los encuestados), la falta de información sobre amenazas (45 por ciento) y la copia de seguridad de los datos en la nube (43 por ciento) se citan como los tres mayores retos. También cabe destacar que sólo el tres por ciento de las empresas no utiliza un proveedor de servicios para su seguridad informática. El 28% confía en al menos uno, y más de la mitad de las empresas cuenta con el apoyo de entre dos y cinco proveedores de servicios. En general, las empresas subcontratan cada vez más tareas de seguridad informática. Casi el 40% confía en proveedores de servicios para supervisar las políticas de seguridad e implantar procesos de seguridad, así como sistemas técnicos. La fiabilidad del proveedor de servicios es esencial en este contexto, y el 47% de los encuestados espera que el servicio externalizado tenga su sede en Alemania.