Las pequeñas empresas integran protección en la estrategia de negocio más que las grandes
Sin embargo, incrementan menos sus presupuestos para ciberseguridad.
¿Cuál es el nivel de protección actual de las empresas? De acuerdo con un informe de EY que recaba las opiniones de directivos que trabajan para organizaciones de diferentes tamaños, cerca de 9 de cada 10 compañías (87 %) no tienen el presupuesto que necesitarían para establecer unos sistemas de ciberseguridad efectivos.
El estudio, titulado Global Information Security Survey 2018-19, también revela que un 77 % de los directivos considera que sus empresas cuentan con sistemas limitados de seguridad. Únicamente el 8 % cree disponer de procedimientos de protección adaptados por completo a sus necesidades.
Además, un 55 % no está teniendo en cuenta la ciberseguridad como una parte clave de la estrategia empresarial. Las compañías de mayor tamaño tienen planes de protección integrados en su estrategia en menor medida que las pequeñas, con porcentajes del 54 % y el 58 % respectivamente. El 82 % de los Consejos de Administración no dispone de agenda estratégica de ciberseguridad y únicamente un 18 % de los directivos dice que su organización planifica contando con la seguridad.
Donde sí destacan las grandes empresas frente a las pequeñas es en el incremento de sus presupuestos para ciberseguridad, en este caso con porcentajes del 63 % y el 50 %. Aquellas organizaciones que han sido víctimas de algún ataque en el último año aumentarán dicho presupuesto en un 76 % de los casos. Además, un 77 % de las empresas quiere más sofisticación, dirigiendo inversiones hacia espacios como la nube, la analítica y mobile computing.
Cabe señalar que son minoría (31 %) las víctimas de ciberataques que han conseguido detectarlos con su función de ciberseguridad. Cerca de 4 de cada 10 (38 %) empresas no son capaces de descubrir ataques sofisticados.
Los directivos señalan como vulnerabilidades más importantes la falta de cuidado de sus empleados (34 %), unos controles de seguridad que están desfasados (26 %), accesos externos no autorizados (13 %) y los peligros de la nube (10 %). El principal riesgo sería el phishing (22 %), seguido de malware (20 %), ataques que influyen en la actividad diaria (13 %) y sustracción de capital (12 %). En cuanto a las consecuencias más temidas, despuntan la pérdida de información de los clientes (17 %), la pérdida de datos financieros (12 %) y la pérdida de planes estratégicos (12 %).
Una problemática extendida es la poca representación de la ciberseguridad en los altos escalafones. Un 60 % de los líderes encuestados admite que el responsable de ciberseguridad de su compañía no es miembro del Comité de Dirección.