El tejido empresarial español lidera el ranking de empresas que más porcentaje del presupuesto de TI dedican a ciberseguridad, una media de 14,93%, lo que significa que ha crecido 6 puntos en solo un año hasta situarse 2 puntos por encima de la media del estudio (12,95%). Esta es una de las principales conclusiones que ofrece el “Informe de Ciberpreparación de Hiscox 2020”, la cuarta edición del informe internacional anual realizado por la aseguradora especializada en seguros para empresas y profesionales. El estudio analiza la preparación cibernética del tejido empresarial mundial, así como sus planes para los próximos 12 meses.
Además, el tejido empresarial español ocupa el Top3 en intención de inversión para 2020 junto con EEUU y Gran Bretaña. Estos son los tres países cuyas entidades analizadas muestran mayor intención de incrementar su presupuesto. En el caso de las empresas españolas, el 72% aumentará su inversión en ciberseguridad general, el 42% en formación interna y el 39% en contratación de profesionales especializados.
“Estos datos son una excelente declaración de intenciones, y los próximos meses son clave. Estas semanas hemos visto como la transformación digital de las empresas, donde el comercio electrónico y el trabajo en remoto han sido protagonistas, provoca necesariamente que esta evolución sea acompañada por un aumento de recursos tanto tecnológicos como humanos, o servicios de terceros, para asegurar la actividad de la compañía en el caso de ser atacada. La difícil cuestión para las empresas será combinar esta necesidad imperante de fortalecer su estrategia de ciberseguridad, mientras se enfrentan a una posible reducción de negocio consecuencia de una hipotética caída de la economía global”, apunta Alan Abreu, responsable de riesgos cibernéticos de Hiscox.
Una inversión necesaria para aumentar el nivel de preparación
Los resultados de este año ponen de manifiesto la brecha en ciberpreparación que se está produciendo en el tejido empresarial español, y que hace que las empresas españolas se sitúen lejos de la media del estudio en recursos y disposición para detener un ataque o recuperarse del mismo. Las empresas españolas calificadas como ciberexpertas han pasado en solo un año de ser el 9% al 14% de las analizadas, pero aún se sitúan 4 puntos por debajo de la media del resto de países (18%). Además, España continúa siendo el país con más compañías calificadas como cibernovatas, más de 7 de cada 10 de las analizadas (72%).
“En los últimos 3 años las empresas españolas calificadas como cibernovatas tan solo se han reducido del 75% a 72%. Se está produciendo una brecha en nuestro tejido empresarial. Por un lado, compañías y profesionales que poco a poco van evolucionando la robustez de sus estrategias de ciberseguridad, y por otro más de 7 de cada 10 no consiguen mejorar su ciberpreparación. Esto puede deberse a un exceso de confianza en algunos casos, pero sobre todo creo que muchas de ellas no están siendo capaces de evolucionar al mismo ritmo que lo hace la sofisticación de los ciberdelincuentes. El ecosistema de ciberseguridad de nuestro país debe poner el foco en estas compañías, en su mayoría pymes y micropymes, para que nadie se quede atrás”, analiza Alan Abreu.
El número de empresas que alcanzaron el nivel de ‘experto’ en el total del informe, dentro del modelo de preparación cibernética desarrollado por el estudio, aumentó del 10% al 18%, tras dos años sin crecimiento significativo de este parámetro. Las empresas estadounidenses e irlandesas obtuvieron mejores resultados, con un 24% clasificadas como ‘ciberexpertas’. Francia fue el país que experimentó una mayor mejoría respecto al año pasado: de un 6% a un 18%.
Fallos de seguridad, exceso de confianza y altos costes
Solo el 38% de los encuestados españoles considera que su empresa está en riesgo de tener un incidente cibernético, 10 puntos menos que la media del estudio. Una realidad peligrosa si se tiene en cuenta que según el estudio de Hiscox, los costes por ciberataques en España están un 30% por encima de la media: las compañías españolas que afirman haber sufrido un fallo de seguridad estiman que el coste medio para restablecer la actividad superó los 66.800€, mientras que la media del estudio se sitúa en 50.900€.
Entre las actividades que conforman el tejido empresarial español, el sector energético e industrial lideran el ranking de incidentes, la mitad de las compañías (50%) reconocen al menos un suceso de esta naturaleza, junto con consultorías (48%) y distribución (47%). Les siguen los sectores de logística y transporte, salud y farmacia y TI & Telecom, el 42% de las compañías encuestadas dedicadas a estas industrias afirman haber sufrido algún incidente en 2019.
Algunas malas praxis continúan pero aumenta la transferencia del riesgo a una póliza aseguradora
El “Informe de Ciberpreparación de Hiscox 2020” analiza también el comportamiento de las compañías a la hora de resolver estos incidentes, y concluye que 4 de cada 10 (41%) empresas españolas reconoce no informar totalmente a las partes internas y externas implicadas cuando se ha producido un incidente cibernético que ha puesto en riesgo datos de estos. Además, casi 3 de cada 10 de las compañías españolas que han sufrido un ataque ransomware han pagado el rescate para poder recuperar el acceso a sus sistemas. Este dato significa que el 7% del total de las empresas españolas encuestadas pagó un rescate en 2019.
Respecto a la transferencia de este riesgo a un tercero, a través de una póliza aseguradora, 6 de cada 10 de las empresas españolas analizadas afirman disponer de coberturas que cubren estos riesgos, pero solo el 25% dispone de un seguro especializado en riesgos cibernéticos.
“Existe un exceso de confianza sobre la cobertura en materia de ciber riesgos que ofrecen algunos seguros tradicionales contratados por empresas y profesionales, y es muy importante que comprendan que la naturaleza de estos riesgos también requiere una especialización, de la misma manera que ellos son especialistas en su actividad. Muchos de estos seguros no son conscientes de cubrir este tipo de riesgos (lo que denominamos cobertura de cyber silencioso), por lo que en el caso de producirse un incidente cibernético, no solo no habrá colaboración del seguro para mitigarlo, sino que surgirán problemas para entender el incidente y al no aparecer en póliza, la tramitación del pago podrá tornarse complicada. Las empresas, de cualquier tamaño o sector, pueden tener acceso a un seguro especializado que sí cubrirá los riesgos reales de esa compañía, y además les ofrecerá formación a sus empleados, dispondrá de un servicio de respuesta en caso de incidente, y en la peor de las situaciones responderá financieramente a los gastos generados por el ataque facilitando la vuelta a la normalidad”, comenta Alan Abreu.
Resultados del informe ante COVID19
“Qué impacto puede tener en las conclusiones y previsiones para los próximos 12 meses que se incluyen en el informe la situación excepcional que ha provocado el COVID19 es una pregunta difícil de responder. En los últimos meses se ha generado una gran incertidumbre, el panorama empresarial se está transformando y tiene la necesidad de adaptarse rápidamente a un entorno incierto. Estimamos que esta situación creará más dudas a las empresas que ahora se sienten seguras. Además, estas compañías podrían enfrentarse a una reducción general de presupuestos que podría reducir la dimensión de recursos dedicados a ciberseguridad, con posibles consecuencias muy perjudiciales. En este sentido, esperemos que en el peor de los casos si no pueden poner en marcha las previsiones manifestadas durante las entrevistas, al menos no disminuyan los presupuestos existentes y desanden el camino ya recorrido. Por último, aquellas empresas que han aprovechado las circunstancias para poner en marcha el trabajo remoto y el ecommerce, continuaran siendo objetivo principal de ciberdelincuentes, por lo que necesitan dedicar tiempo a su ciberpreparación y a la de sus empleados”, concluye Alan Abreu.