Según datos del informe “CiberseguridadLas soluciones de ciberseguridad son esenciales en la era di...: protegiendo el valor de los datos”, elaborado por la consultora Grant Thornton, los empresarios españoles son los más concienciados respecto a la importancia de la ciberseguridad y la gestión de datos críticos. Este estudio se ha llevado a cabo a partir de una encuesta a casi 3.000 altos directivos y empresarios de 36 países.
En el estudio podemos observar como el 98% de los responsables de las empresas españolas afirman tener identificados y localizados los datos de su organización. Este porcentaje es el más alto de todos los países que ha participado en el informe, siendo muy superior a la media global., que se sitúa en un 80%. Aquí podemos destacar a Francia como el país donde las empresas menos identifican la ubicación de sus datos, con un 57%.
Otra muestra de la concienciación de las empresas españolas en relación con la seguridad de sus datos es que no solo ubican esa información clave para el negocio, sino que la práctica totalidad (86,7%) afirma tenerlos clasificados y categorizados por tipo de datos (financieros, de clientes, etc.). De nuevo los directivos españoles encuestados destacan por encima de la media de la UE (73,1%) y de sus homólogos de Holanda (74,6%), Reino Unido (73,7%), Irlanda (63,8%) o Alemania (54%), entre otros.
Bajo conocimiento de los datos y de su perfil de riesgo
El estudio de Grant Thornton ofrece una imagen más pesimista a nivel global. Una proporción elevada de directivos en los 36 países analizados no conoce los datos de los que dispone o no consigue gestionar los riesgos asociados. Solo el 65% de los encuestados toma medidas para conocer de forma clara los datos y la información relevante que poseen en sus organizaciones. Y, más preocupante aún, solo el 56% asigna un perfil de riesgo a este activo de negocio tan crítico.
Se dan también sensibles diferencias en los enfoques de seguridad adoptados en diferentes partes del mundo y en diferentes sectores de actividad. En este sentido, resulta llamativo que sean las empresas de las economías occidentales las que muestran una mayor vulnerabilidad que las de regiones como África o Asia, debido a la escasa propensión a asignar perfiles de riesgos a sus datos. Poco más de la mitad de las empresas de la UE (53%) y de Estados Unidos (54%) asigna perfiles de riesgos, al contrario que países como Tailandia (78%) o Malasia (70%). De nuevo España es la excepción, ya que el 70% de las empresas afirma asignar perfiles de riesgo a la información.
Por sectores, a nivel mundial, las empresas del sector de la salud son las más propensas a asignar un perfil de riesgos a sus datos (76%), muy por encima de la proporción de empresas de sectores como los servicios financieros (50%) o los servicios profesionales (53%).
Medidas de protección mal asignadas
Grant Thornton alerta del peligro para las organizaciones de la ausencia de una asignación de controles específicos y rigurosos para los datos más valiosos, aquellos cuya seguridad resulta absolutamente esencial y cuya pérdida puede comportar el mayor nivel de riesgo.
“De las conclusiones de nuestro estudio se desprende que cuatro de cada cinco empresas (78%) asignan sus medidas de seguridad y protección de manera uniforme entre todos sus activos de información sin tener en cuenta la especificidad de cada dato y su valor. Esto puede dar lugar a sistemas ineficientes y a pérdidas de dinero y tiempo ya que se puede estar protegiendo información de escaso valor, mientras que activos críticos pueden encontrarse expuestos a riesgos de seguridad”, apunta Luis Pastor, socio de Consultoría Tecnológica e Innovación de Grant Thornton. “La información crítica de un hotel o un hospital es muy diferente de la de un banco, y la de un ayuntamiento de la de una empresa logística” concluye Pastor.
Proteger las “joyas de la corona”
A la hora de adoptar un planteamiento eficaz de protección de datos y de gestión de ciberamenazas, el informe de Grant Thornton destaca la importancia de que las organizaciones asuman que la cantidad de datos de los que pueden disponer es demasiado abultada y muy diversa. Por ello resulta razonable ser pragmáticos y aplicar modelos estructurados y dinámicos que evalúen y categoricen datos y riesgos, y permitan identificar “las joyas de la corona”, esto es, los datos cuya seguridad hay que garantizar a toda costa en caso de un ataque que logre acceder a los sistemas de la empresa (datos referidos a I+D, patentes o secretos comerciales, planos, datos personales de clientes, historiales de pacientes, claves de seguridad, informes confidenciales, etc.).
No obstante, a pesar de que los altos directivos reconocen que existen los riesgos de ciberataques, todavía no hacen lo suficiente para promover acciones que lo impidan o lo mitiguen llegado el caso. En este sentido, el informe revela que son pocas las organizaciones que creen que van a sufrir un ataque. Solo un 20% de los encuestados considera que será víctima de un ciberataque y por ello han realizado inversiones en sistemas de seguridad para prevenirlo. Un 30% “probablemente” esté bien preparado y el resto (50%) considera que “nunca” sufrirán un ciberataque.
La “ventaja” de sufrir un ciberataque
En este sentido, varios expertos y directivos consultados afirmaron que sufrir un ataque puede resultar una experiencia positiva, porque no solo pone de relieve las posibles deficiencias de los sistemas de seguridad ‑y las mejoras a adoptar— sino que puede alertar a las empresas y sus consejos de dirección de la gravedad del problema y elevar así su nivel de prioridad y, por tanto, los recursos asignados a desarrollar procesos y sistemas más seguros y programas de sensibilización en materia de seguridad.
