El estado de la ciberseguridad en España

Publicaciones

El estado de la ciberseguridad en España

Cyber Strategy, Transformation and Assessments

Más del 60% de las empresas españolas han incrementado sus presupuestos de ciberseguridad en 2022.

La ciberseguridad se afianza como una de las prioridades de las empresas en España, muestra de ello es el incremento en inversión y la participación del CISO (Chief Information Security Officer) en el comité de dirección.

La ciberseguridad en las empresas españolas es un aspecto cada vez más relevante. Los nuevos modelos de trabajo y las crecientes amenazas cibernéticas han hecho que las compañías dediquen más personal y capital a mitigar este tipo de riesgos.

El análisis realizado por Deloitte en El Estado de la Ciberseguridad en España para 2022 busca conocer la realidad de estas prácticas a través de la visión de los responsables de esta área y de los CISO.

El documento, se compone de diez capítulos que analizan, desde el talento, a la inversión dedicada por las empresas, como las preocupaciones de los responsables de ciberseguridad.

El estado de la ciberseguridad en España

PRINCIPALES CONCLUSIONES

Personal, recursos y SOC

El aumento de las amenazas cibernéticas ha hecho que las empresas incrementen el número de personas asignadas a los equipos de ciberseguridad, ya sea interna o externamente.

A pesar de esto, las empresas externalizan en torno al 50% de estas funciones, aunque existen ciertas particularidades también en relación al tamaño de la empresa. Por ejemplo, la mayoría de las compañías de entre 50 y 100 empleados, no delega en terceros las tareas relativas a la ciberseguridad, mientras que las que sobrepasan los 1.000 colaboradores pueden superar el 50%. En ambos casos (tamaño del equipo y nivel de externalización), los resultados son muy similares a los de la edición anterior del estudio.

En cuanto a los Centros de Operaciones de Seguridad (SOC por sus siglas en inglés), aún hay un 21% de compañías en España que no disponen de este recurso para procesar incidentes.

Presupuesto y servicios

La inversión en ciberseguridad es uno de los principales indicadores de la relevancia de este aspecto para las organizaciones. En 2022, el análisis de Deloitte destaca que mayoría de las empresas españolas (62%) incrementó su presupuesto, aunque la inversión destinada difiere bastante: el 25% de las organizaciones españolas tiene un presupuesto menor a 500.000 euros en ciberseguridad y un 36% alcanza una cifra entre los 500.000 y los 2 millones de euros.

Por sectores, Banca y Energía y Recursos son quienes más recursos destinan a la ciberseguridad (más de 30 millones euros), mientras que Consumo y Distribución se sitúan en el otro extremo (menos 500.000 euros). Por áreas, la cobertura de servicios externos y gastos operativos (OPEX) son las más beneficiadas.

Estrategia y modelo operativo

La ciberseguridad sigue tomando fuerza en las prioridades de los consejos de administración y casi un 90% de los encuestados en España confirmó que dispone de una estrategia de ciberseguridad y que es revisada de manera periódica. Solo un 5% no tiene un plan establecido.

Más de la mitad de la muestra aseguró que su empresa ha alineado sus estrategias de ciberseguridad y negocio, lo que demuestra la madurez del sector en el país. Pero hay un 14% que aún no lo ha hecho y que sigue expuesto a riesgos.

Ahora bien, hay un avance en la participación del CISO en el comité de dirección y, en 2022, acudió un 5% más a reuniones con los altos directivos de la compañía, en comparación con los datos de 2021.

Certificaciones, frameworks y formación

El modelo de certificaciones estandariza la madurez de la ciberseguridad en las compañías y es un valor determinante para evaluar a las organizaciones.

En España, casi el 50% no cuenta con ninguna certificación en ciberseguridad, lo que supone un claro reto a futuro. A pesar de esto, en 2022 aumentaron las horas de formación online en ciberseguridad para los empleados de las organizaciones analizadas en casi un 30% frente a los datos de 2021.

Revisiones de seguridad

Uno de los elementos claves en la ciberseguridad de una compañía es la identificación de dispositivos, recursos o equipos que pueden considerarse críticos para la operación y, en consecuencia, que se exponen a mayores riesgos.

En España para 2022, seis de cada diez empresas consultadas aseguraron revisar al menos la mitad del total de sus aplicaciones / dispositivos críticos, lo que deja ver que aún hay un 40% que continúa sin hacer estas auditorías.

Entornos Cloud y Tendencias tecnológicas

Entornos Cloud y Tendencias tecnológicas En los últimos años se ha visto un aumento en el uso de servicios Cloud. En España, el 97% de las compañías consultadas aseguró utilizar este tipo de herramientas y un 75% indicó que las estructuras dentro de una estrategia de Cloud Computing.

Asimismo, despunta el uso de dispositivos IoT, ya que un 71% de los analizados registró disponer de ellos e implementarlos en la operación de su compañía.

Incidentes de seguridad

Otro de los indicadores claves para conocer la madurez de la ciberseguridad en una compañía son el número y la relevancia de los incidentes sufridos. En 2022, la media de percances en las organizaciones españolas analizadas disminuyó significativamente.

Los sectores con mayor número de incidentes fueron seguros y hostelería, con más de cinco incidentes cada uno. Sobre la tipología de los ciberataques, el top 3 de amenazas habituales sigue liderado por el ransomware, el malware y el phishing.

Simulación de cibercrisis

Para corroborar que la estrategia de ciberseguridad es fiable hace falta crear escenarios de simulación de crisis. Un 64% de las empresas españolas consultadas indicó hacer este tipo de pruebas, dato que supone un retroceso frente a 2021, cuando más de un 67% de compañías las realizaban.

Un 33% de las simulaciones realizadas en 2022 fueron destinadas a la alta dirección y un porcentaje similar al personal técnico.

Percepción del CISO

En 2022, el perfil del responsable de ciberseguridad en las empresas españolas se ha dedicado más a crear y desarrollar los proyectos más relevantes de ciberseguridad de la empresa que a evaluar la estrategia de seguridad de la información, esta última era la tarea más relevante en anteriores análisis, como el de 2021.
 

“El rol del CISO está evolucionando en la media en la que la ciberseguridad se está convirtiendo en una necesidad primordial para las compañías españolas. Tal y como se indica en la última edición del informe, está aumentando su participación de los comités y, en la mayoría de las organizaciones españolas, ya tiene establecida una línea de reporting directa con la dirección”.

César Martín Lara, socio de Risk Advisory responsable de la práctica de Ciberseguridad.

El teletrabajo, una de las preocupaciones del CISO

El teletrabajo es uno de los mayores generadores de riesgos cibernéticos para las empresas. A pesar de esto, un 100% de las compañías españolas consultadas indicó sentirse preparada ante los riesgos de ciberseguridad que esto conlleva.

Esa confianza se traduce en más presupuesto en ciberseguridad. Un 62% de las compañías aseguró que, en 2022, incrementó la inversión en esta materia.
 

Contenido relacionado

Future of Cyber 2023

Un informe que recoge la opinión de cerca de 1.000 responsables de seguridad de empresas de todo el mundo y que confirma que la ciberseguridad se ha convertido en uno de los focos principales a la hora de tomar decisiones relacionadas con las estrategias de más alto nivel

Descargar informe >

Conoce a nuestros expertos

expert-1
Carmen Sánchez Tenorio
Socia Responsable Risk Advisory
csancheztenorio@deloitte.es
expert-1
César Martín Lara
Socio Risk Advisory – Cyber
cmartinlara@deloitte.es
expert-1
Gianluca D'Antonio
Socio Risk Advisory – Cyber
gdantonio@deloitte.es
expert-1
Alejandro Viana
Delivery Manager Risk Advisory – Cyber
aviana@deloitte.es
expert-1
Susana Mejido Castro
Delivery Lead Risk Advisory - Cyber
smejido@deloitte.es