A pesar de ello, y aunque el número de ciberamenazas ha aumentado progresivamente, así como su probabilidad e impacto, las empresas afirman haber sufrido menos ciberincidentes en el año 2018 que en 2017, según afirma el 62% de las empresas.

Para Gianluca D’Antonio, socio de Risk Advisory de Deloitte, el informe pone de manifiesto que la ciberseguridad y la figura del director de seguridad de información "continúan ganando relevancia en el entorno empresarial español".

"Un ejemplo de ello lo encontramos en el sector banca, en el que el 100% de la alta dirección de las empresas encuestadas considera la ciberseguridad como clave y la abordan periódicamente. No obstante, debe seguir incrementándose la concienciación en otros sectores empresariales”, señala D'Antonio.

Existe una relación directa entre el aumento progresivo de los ingresos de las empresas y el incremento en el número de ciberataques que sufren, ya que estas se convierten en un objetivo con mayor retorno/impacto por parte del atacante. En este sentido, las empresas que facturan entre 2.000 y 5.000 millones de euros son las que experimentan un mayor número de incidentes al año, prácticamente cuatro.

No obstante, a partir de un punto elevado de ingresos –más de 5.000 millones de euros- el número de ataques desciende, debido a las medidas preventivas y a una mayor inversión en ciberseguridad.

Entre las principales conclusiones de la encuesta, se destaca también que el 89% de las empresas que tienen un ciberseguro no lo ha tenido que utilizar nunca.

El informe de Deloitte pone de manifiesto que, todavía, existe un porcentaje de empresas españolas que carece de confianza a la hora de enfrentarse a un ciberataque. En este sentido, el 30% de las empresas considera que está poco o nada preparada para hacer frente a un incidente de seguridad.

El sector de la banca, según afirma el 86%, es el que se siente más preparado a la hora de enfrentarse a un ciberataque. Asimismo, el 83% de las empresas del sector banca alinea su estrategia de ciberseguridad con el negocio, liderando esta coordinación.

En el sector energético, un ámbito crítico y de relevancia estratégica para nuestro país, menos de la mitad, concretamente el 47%, de las empresas se sienten preparadas para afrontar un incidente de seguridad.

Este sector, en un porcentaje alto –el 93%-, considera la interrupción de las operaciones de negocio como su principal preocupación.

Por su parte, dentro del sector consumo y distribución, el 67% de las empresas afirma estar preparada para recibir un ciberataque.

Por otro lado, el 71% de las empresas que se sienten poco o nada preparadas para hacer frente a un incidente de seguridad opta por la opción del ciberseguro.

Las empresas españolas dedican a ciberseguridad una media del 8,5% del presupuesto destinado a IT/OT. Dentro de esta partida, deciden invertir mayor cantidad en Protección (40%); Vigilancia (26%); y, por último, en Resiliencia (18%) y Gobierno (15%).

IMPACTOS MINIMIZADOS

Las empresas que invierten más del 10% del presupuesto de IT/OT en ciberseguridad reportan 0,6 incidentes de seguridad al año de media, mientras que las que dedican menos del 10% experimentan tres incidentes por año.

Para Miguel Olías, gerente de Risk Advisory de Deloitte, “la diferencia entre ambos rangos es bastante notable, llegando a cuadriplicar el número de incidentes, lo que recalca la importancia de establecer un presupuesto adecuado para minimizar los impactos en caso de un ciberincidente o ataque”.

El 72% de los directores de ciberseguridad que han participado en la encuesta afirma que su empresa no dispone ni de la certificación ISO 27001 ni de la ISO 22301. Ambos estándares están relacionados con la seguridad de la información y con la continuidad del negocio, ya que facilitan la preparación ante posibles ataques cibernéticos.

A pesar de ello, la mitad de los responsables de seguridad de la información cuyas empresas no están certificadas en ciberseguridad afirma que su organización está preparada o bastante preparada ante incidentes de este tipo.

Por otro lado, el 66% de las empresas que poseen la ISO 22301 está certificada también en la ISO 27001, lo que podría demostrar que, cuando una organización entra en procesos de certificación, tiende a optar a varias certificaciones en materia de Seguridad de la Información.