Más o menos, el 75% de las empresas españolas ha tenido un ciberincidente con consecuencias en los últimos 6 meses. A pesar de ellos, y aunque las ciberamenazas han aumentado muchísimo, así como su probabilidad e impacto, las corporaciones afirman haber sufrido menos incidentes en el año 2018 que en el año 2017.

Todos estos datos los hemos sacado de estudiar minuciosamente el informe de Deloitte “Las preocupaciones del CISO”. Este informe se ha desarrollado entrevistando a unas 50 empresas cuya base de operaciones de seguridad reside en España.

El informe pone de manifiesto a la figura del CISO o director de Ciberseguridad en todas las empresas, ya que la ciberseguridad continúa ganado relevancia en el entorno corporativo español. La banca española ya le ha visto las orejas al lobo, y el 100% de la alta dirección encuestada por Deloitte, considera la ciberseguridad como clave y la abordan periódicamente. No obstante, en otros sectores, como los que nos movemos desde INVACI, debe seguir incrementándose la concienciación. Labor ardua, pero con mucha pasión, que realizamos desde nuestro despacho profesional, tanto Oscar Padial como Javier Marqués.

Os dejamos a continuación información sacada de la web de Deloitte, con detalles resumidos de lo que podéis encontrar en el informe, así como el informe para su descarga.


Headcount y SOC

Se aprecia una tendencia clara a la externalización y concentración de funciones por terceros. La mayoría de la plantilla de ciberseguridad en las empresas es personal externo, siendo este el 100% en algunos casos. Solo el 33% de las empresas cuenta con la totalidad de su personal crítico como empleado interno. Esto genera una alta dependencia de proveedores clave.

Las empresas pequeñas-medianas son las que más se decantan por el ciberseguro. Cuando estas cuentan con menos de 10 empleados en ciberseguridad contratan en la mayoría de casos un ciberseguro.

Menos dependencia de personal crítico en los sectores más regulados. En los sectores más regulados se han hecho mayores esfuerzos en ciberseguridad y se ha sabido diversificar el riesgo de forma más efectiva.

Aproximadamente la mitad de las empresas disponen de un SOC/CSIRT de forma externalizada. El 53% de las organizaciones opta por externalizar este servicio en proveedores especializados. Solo hay consenso sobre qué funciones quedan dentro de la responsabilidad de un SOC/CSIRT en el caso del análisis de malware y análisis forense. El 51% de las empresas sí que incluyen la función de análisis de malware y análisis forense dentro de las funciones de su SOC/CSIRT.


Presupuestos y servicios

El presupuesto medio en ciberseguridad es el 8,5% del presupuesto de IT/OT. Este dato es poco homogéneo porque hay empresas que disponen de un presupuesto mucho menor y otras que su presupuesto se eleva bastante por encima de esta media, al mismo tiempo, se observan importantes diferencias a nivel sectorial.

Existe una relación directa muy pronunciada que muestra como a mayor inversión en ciberseguridad menos ciberincidentes. Las empresas que invierten más del 10% del presupuesto de IT/OT en ciberseguridad reportan 0,63 incidentes de seguridad al año de media, mientras que las que dedican menos del 10% experimentan 3,01 incidentes por año.

Presupuestos elevados para la externalización de servicios y porcentaje elevado del presupuesto dedicado a la operación/mantenimiento, frente a los dedicados a la inversión. El presupuesto que se dedica de media a los servicios internos es del 27%, frente a los 73% de los externalizados. Se considera una buena práctica seguir estos porcentajes.

Las empresas deciden invertir mayor cantidad de ingresos en Protección (40,6%), después en Vigilancia (25,9%), y por último en Resiliencia (18,3%) y Gobierno (15,1%). Este dato va variando según las empresas alcanzan niveles más altos de madurez en ciberseguridad y también en los sectores más regulados.


Modelo operativo y políticas

La mayoría de los CISOs quiere reportar a la dirección, pero en casi todos los casos reportan al CIO. El estudio de Deloitte muestra que casi el 60% reportan al CIO. Esto refleja una gran disparidad entre el árbol de dependencia actual y el deseado.

Aproximadamente en la mitad de las multinacionales existe la función de Local information Security Officer.

La mayoría de las empresas opta por la centralización de su cuerpo normativo de seguridad. En el 77% de los casos existen políticas globales Corporativas de Ciberseguridad; en el caso de empresas más pequeñas (el 33% restante) dichas políticas son de carácter local.

La función holding/global de seguridad sigue sin estar financiada por cada país en la mayoría de los casos. En el 70% de los casos se ha observado que el resto de países del grupo empresarial no financian las funciones holding.

La mayoría de las empresas opta por internalizar la función del DPO. De tal forma, se puede deducir que se le otorga la importancia necesaria a las políticas de gobierno del dato de carácter personal.

El Comité de Dirección sigue estando fuera del alcance competencial de muchos CISOs. Y es que solo 1 de cada 5 empresas encuestadas dispone de un comité específico para dar respuesta a incidentes de ciberseguridad.


Certificaciones, framework y formación

El 72,50% de los CISOs aseguró que sus empresas siguen sin estar certificadas en la ISO 27001 y la ISO 22301. Dentro del 72,50% cuya empresa no posee ninguna certificación de ciberseguridad más del 50% de los CISOs afirma que su organización está preparada o bastante preparada ante incidentes de seguridad.

Es habitual que las empresas estén certificadas al mismo tiempo en la ISO 27001 y en la ISO 22301. Gran parte de las empresas que entran en procesos de certificación, tienden a optar a varias certificaciones en materia de Seguridad de la Información.

La mayoría de los CISOs tienen al menos una certificación de seguridad y suelen optar por CISA, CISM y CISSP. El 75,00% de los CISOs encuestados posee al menos una certificación.

La ISO 27001 se usa el doble de lo que se usa la NIST CSF como marco de referencia en ciberseguridad, mientras que el Deloitte CSF alcanza una cuota del 18% del mercado. Cerca del 18% de las empresas utiliza el CSF (Cyber Strategy Framework) de Deloitte, el cual engloba los controles y requisitos establecidos por el resto de marcos (ISO, SANS, NIST, etc.).

La formación en ciberseguridad a los empleados de la compañía sigue siendo una asignatura pendiente en la mitad de las compañías. El 50% de los encuestados no proporciona formación presencial a sus empleados y los que sí lo hacen el 65% apuesta por la formación online, puesto que permite mayor flexibilidad horaria a los empleados y puede abaratar los costes.


Descarga el informe desde aquí:

https://www2.deloitte.com/content/dam/Deloitte/es/Documents/riesgos/Deloitte-ES-informe%20CISOS-ciberseguridad.pdf


Fuente:

https://www2.deloitte.com/es/es/pages/risk/articles/preocupaciones-ciso-estado-ciberseguridad.html