Este estudio es el resultado del trabajo realizado por el equipo de Cyber Strategy, Transformation and Assessment (CSTA) de Deloitte en colaboración con los CISOs de las empresas que han participado en él.
En este artículo te traemos las principales conclusiones del estudio en materias de Headcount y SOC, presupuestos y servicios, modelo operativo y políticas, certificaciones, framework y formación, revisiones se seguridad, entornos cloud y tendencias tecnológicas, incidentes de seguridad y, por último, la percepción del CISO.
Se aprecia una tendencia clara a la externalización y concentración de funciones por terceros. La mayoría de la plantilla de ciberseguridad en las empresas es personal externo, siendo este el 100% en algunos casos. Solo el 33% de las empresas cuenta con la totalidad de su personal crítico como empleado interno. Esto genera una alta dependencia de proveedores clave.
Las empresas pequeñas-medianas son las que más se decantan por el ciberseguro. Cuando estas cuentan con menos de 10 empleados en ciberseguridad contratan en la mayoría de casos un ciberseguro.
Menos dependencia de personal crítico en los sectores más regulados. En los sectores más regulados se han hecho mayores esfuerzos en ciberseguridad y se ha sabido diversificar el riesgo de forma más efectiva.
Aproximadamente la mitad de las empresas disponen de un SOC/CSIRT de forma externalizada. El 53% de las organizaciones opta por externalizar este servicio en proveedores especializados. Solo hay consenso sobre qué funciones quedan dentro de la responsabilidad de un SOC/CSIRT en el caso del análisis de malware y análisis forense. El 51% de las empresas sí que incluyen la función de análisis de malware y análisis forense dentro de las funciones de su SOC/CSIRT.
El presupuesto medio en ciberseguridad es el 8,5% del presupuesto de IT/OT. Este dato es poco homogéneo porque hay empresas que disponen de un presupuesto mucho menor y otras que su presupuesto se eleva bastante por encima de esta media, al mismo tiempo, se observan importantes diferencias a nivel sectorial.
Existe una relación directa muy pronunciada que muestra como a mayor inversión en ciberseguridad menos ciberincidentes. Las empresas que invierten más del 10% del presupuesto de IT/OT en ciberseguridad reportan 0,63 incidentes de seguridad al año de media, mientras que las que dedican menos del 10% experimentan 3,01 incidentes por año.
Presupuestos elevados para la externalización de servicios y porcentaje elevado del presupuesto dedicado a la operación/mantenimiento, frente a los dedicados a la inversión. El presupuesto que se dedica de media a los servicios internos es del 27%, frente a los 73% de los externalizados. Se considera una buena práctica seguir estos porcentajes.
Las empresas deciden invertir mayor cantidad de ingresos en Protección (40,6%), después en Vigilancia (25,9%), y por último en Resiliencia (18,3%) y Gobierno (15,1%). Este dato va variando según las empresas alcanzan niveles más altos de madurez en ciberseguridad y también en los sectores más regulados.
La mayoría de los CISOs quiere reportar a la dirección, pero en casi todos los casos reportan al CIO. El estudio de Deloitte muestra que casi el 60% reportan al CIO. Esto refleja una gran disparidad entre el árbol de dependencia actual y el deseado.
Aproximadamente en la mitad de las multinacionales existe la función de Local information Security Officer.
La mayoría de las empresas opta por la centralización de su cuerpo normativo de seguridad. En el 77% de los casos existen políticas globales Corporativas de Ciberseguridad; en el caso de empresas más pequeñas (el 33% restante) dichas políticas son de carácter local.
La función holding/global de seguridad sigue sin estar financiada por cada país en la mayoría de los casos. En el 70% de los casos se ha observado que el resto de países del grupo empresarial no financian las funciones holding.
La mayoría de las empresas opta por internalizar la función del DPO. De tal forma, se puede deducir que se le otorga la importancia necesaria a las políticas de gobierno del dato de carácter personal.
El Comité de Dirección sigue estando fuera del alcance competencial de muchos CISOs. Y es que solo 1 de cada 5 empresas encuestadas dispone de un comité específico para dar respuesta a incidentes de ciberseguridad.
El 72,50% de los CISOs aseguró que sus empresas siguen sin estar certificadas en la ISO 27001 y la ISO 22301. Dentro del 72,50% cuya empresa no posee ninguna certificación de ciberseguridad más del 50% de los CISOs afirma que su organización está preparada o bastante preparada ante incidentes de seguridad.
Es habitual que las empresas estén certificadas al mismo tiempo en la ISO 27001 y en la ISO 22301. Gran parte de las empresas que entran en procesos de certificación, tienden a optar a varias certificaciones en materia de Seguridad de la Información.
La mayoría de los CISOs tienen al menos una certificación de seguridad y suelen optar por CISA, CISM y CISSP. El 75,00% de los CISOs encuestados posee al menos una certificación.
La ISO 27001 se usa el doble de lo que se usa la NIST CSF como marco de referencia en ciberseguridad, mientras que el Deloitte CSF alcanza una cuota del 18% del mercado. Cerca del 18% de las empresas utiliza el CSF (Cyber Strategy Framework) de Deloitte, el cual engloba los controles y requisitos establecidos por el resto de marcos (ISO, SANS, NIST, etc.).
La formación en ciberseguridad a los empleados de la compañía sigue siendo una asignatura pendiente en la mitad de las compañías. El 50% de los encuestados no proporciona formación presencial a sus empleados y los que sí lo hacen el 65% apuesta por la formación online, puesto que permite mayor flexibilidad horaria a los empleados y puede abaratar los costes.
Las aplicaciones críticas son revisadas, al menos, anualmente, aunque sigue siendo insuficiente. Los sectores que realizan más revisiones periódicas son el sector de las Telecomunicaciones, Media y Tecnología, Infraestructuras y el sector de Fabricación.
Blockchain sigue siendo un ausente en casi todos los departamentos de ciberseguridad de las empresas. Se ha verificado que el 95% de los sectores tienen poca o ninguna implicación de la tecnología Blockchain en la ciberseguridad en su empresa.
Solo el 30% de los sectores está apostando por la IA para potenciar su ciberseguridad. El 70% de los sectores cuenta con una implicación baja o muy baja de las tecnologías como Inteligencia Artificial, Machine Learning y Algoritmos Predictivos en la ciberseguridad.
IoT, la tendencia tecnológica más implantada en las empresas. A diferencia de otras tecnologías más disruptivas, IoT sí que está presente en la estrategia de ciberseguridad de las empresas.
El cloud computing, a pesar de su clara tendencia, aun no representa la opción prioritaria para las empresas para alojar su infraestructura e información, especialmente la crítica. Sólo el 10% de las empresas tiene más del 80% de su infraestructura en cloud, solo un 5% tiene entre el 60% y el 80% y un 20% de las empresas mantiene entre el 40% y el 60%.
Las grandes empresas son las que más ciberincidentes sufren, excepto las que son líderes en su sector, que son capaces de gestionar los ciberataques evitando que estos se transformen en ciberincidentes o crisis. A partir de un punto elevado de ingresos (más de 5.000 millones de euros) los ciberincidentes descienden gracias a las medidas preventivas y una mayor inversión en ciberseguridad.
Las empresas con entornos OT son la que más ciberincidentes reciben. Los dos sectores con más incidencias son el de energía y recursos, y el de consumo y distribución.
Si tu empresa no cumple con la ISO 27001 y la ISO 22301 es probable que sufras un ciberincidente. Las empresas que no tienen ninguna certificación tienen un 72,22% de incidentes mientras que las que tienen la ISO 27001 tienen un 13,89%.
La gran mayoría de las empresas sufrieron un ciberincidente hace menos de seis meses. El 76,19% de las empresas han tenido un incidente con consecuencias significativas en los últimos seis meses, frente al 23,81% que han registrado el último incidente hace más de 6 meses.
Muy pocas empresas han hecho uso del ciberseguro, a pesar de la alta tasa de ciberincidentes. Solamente el 10,71% de las empresas que tienen un ciberseguro han tenido que hacer uso del él en algún momento.
Los CISO siguen percibiendo que sus empresas están muy poco preparadas para hacer frente a un ciberincidente.
Las empresas energéticas y recursos están muy preocupadas ante incidentes que supongan una interrupción de sus operaciones.
Cuando la fuga de información es la principal preocupación de los CISOs suele haber un DPO interno.
Los CISOs consideran que lo más importante es estar involucrados en los proyectos más importantes. Al mismo tiempo se preocupan mucho por la estrategia y el negocio.
La alta dirección en el sector bancario está altamente concienciada en la ciberseguridad, mientras que el sector energético aún tiene un largo recorrido en este campo.