Ya sabemos que España es un país que, en general, lo hace bastante bien para protegerse de ciberataques. ¿Es la ciberseguridad de las empresas españolas igual de fiable? ¿Qué tal lo hacen en materia de ciberseguridad?
Una encuesta realizada por el Observatorio de Ciberseguridad de ISMS Forum arroja luz sobre este asunto. Se trata del «Estudio del nivel de madurez en ciberseguridad de la empresa española», cuyos resultados se presentaron en el pasado IX Foro de la Ciberseguridad de ISMS Forum.
El objetivo de este trabajo es evaluar qué grado de madurez tiene la ciberseguridad en ciberseguridad de las compañías de nuestro país tras analizar su grado de cumplimiento de una serie de requisitos. Para ello, se ha entrevistado a 100 empresas españolas, de diferentes tamaños y de 15 sectores diferentes.
¿Cómo es la ciberseguridad de las empresas?
Los resultados del estudio muestran que el nivel de protección de las compañías de nuestro país todavía debe mejorar.
El 53% de las empresas encuestadas muestra un nivel de madurez en ciberseguridad básico. El 8% de ellas incluso reconoce que es inexistente. Por el contrario, un 38% de compañías presentan un grado de madurez suficiente. Incluso un 1% lo tiene optimizado.
A esos resultados se ha llegado mediante el análisis de diferentes indicadores.
«Más del 60% de las empresas cuentan con una política donde se definen los roles y responsabilidades, junto con los requerimientos legales y regulatorios, dentro del marco de los procesos de gobierno y gestión del riesgo de ciberseguridad. Cerca del 50% de las compañías identifican y comunican las dependencias y los requisitos de los servicios y funciones críticas, asociadas a la misión, visión y objetivos de la organización. Sin embargo, el inventario de dispositivos, sistemas, aplicaciones y recursos de información solo es completo en un tercio de la muestra», comentó Santiago Minguito, BISO Europe en PepsiCo y miembro de la Junta Directiva de ISMS Forum, durante el citado Foro de la Ciberseguridad.
Minguito añadió que «hasta un 50% de las empresas mantienen identificadas y documentadas las vulnerabilidades y amenazas de ciberseguridad, analizando el riesgo en base a la probabilidad e impacto en el negocio». Sin embargo, añade que «solo el 30% de la muestra manifiesta que los procesos de gestión del riesgo, así como el nivel de tolerancia, están establecidos, acordados e informados con las partes interesadas».
Por su parte, el 40% de las compañías tiene un proceso de gestión del riesgo de sus proveedores y establecen las medidas en los contratos, pero no se auditan. En cuanto a la protección de los sistemas y activos de información, más del 40% de las empresas manifiesta documentar los procesos y procedimientos, y más del 50% identifican los datos, pero los protegen de manera parcial.
«Casi la mitad de las empresas encuestadas manifiesta la existencia de una gestión de identidades y accesos en base al principio de menor privilegio y segregación de funciones. Sin embargo, en lo que se refiere a la gestión del cambio, aunque la mitad de los encuestados afirma realizar mantenimiento de los sistemas de información de forma controlada, los accesos no se auditan», declaró el ponente.
Esta encuesta se convertirá en un informe que se presentará próximamente.
