Tras un 2021 negro, con la mayor cifra de incidentes de la historia, las empresas prevén destinar más recursos para afrontar un 2022 en el que se espera que sigan creciendo los ataques.
Si 2021 fue un año récord en términos del número de ciberataques registrados, la previsión para 2022 no es mucho más halagüeña. Las grandes corporaciones españoles anticipan un ejercicio muy complicado desde el punto de vista de la ciberseguridad, según las conclusiones del informe Digital Trust Survey 2022, elaborado por la consultora PwC.
Más de la mitad de las empresas consultadas esperan que aumenten los incidentes por encima de los niveles récord de este año. Una amenaza que ya se ve reflejada en sus presupuestos: el 69% de las compañías -el 70% en España- prevé aumentar sus inversiones en ciberseguridad, frente al 55% del año pasado, y un 26% -el mismo porcentaje en nuestro país-, espera que este incremento sea del 10% o superior.
El estudio, elaborado a partir de una encuesta a 3.602 responsables de ciberseguridad (CISOs), CEOs, y altos directivos de compañías de 66 países -141 españoles-, apunta también a cuáles serán los incidentes más frecuentes y las principales vías de entrada de los atacantes.
En este sentido, los ataques que más van a crecer el próximo año, a juicio de los responsables de ciberseguridad consultados, son los que tienen como objetivo los servicios en la nube y el ransomware -malware que bloquea el ordenador y exige un rescate para recuperar la información-.
Terceras partes
El informe pone el foco también en los proveedores y las terceras partes que intervienen en la operativa diaria de las empresas. El 60% de los entrevistados reconoce no tener un conocimiento profundo de las brechas de seguridad asociadas con estas terceras partes y un 20% asegura tener poco o ninguno.
"La cadena de proveedores es tan fuerte como seguro es su eslabón más débil", apunta Jesús Romero, socio responsable de Soluciones de Seguridad de Negocio de PwC. En su opinión, el papel de las personas es clave en este tipo de incidentes. "En la inmensa mayoría de los ataques siempre hay un factor humano, ya sea en el inicio o en alguno de los pasos que llevan a cabo los ciberdelincuentes para conseguir sus objetivos", señala.
De hecho, entre las principales vías de entrada están, según el estudio, los ataques de ingeniería social a través de phising, que buscan robar datos sensibles del usuario como credenciales de acceso, y los dispositivos móviles y portátiles, cuyo uso se ha generalizado por la pandemia.
La migración de las cargas de trabajo a plataformas en la nube públicas, como las de Amazon, Microsoft y Google, es otro factor de riesgo. Seis de cada diez encuestados señala a estos proveedores como uno de las principales puertas de entrada para los hackers.
Demasiada complejidad
Una de las conclusiones que destaca el informe es que a medida que las compañías han ido adaptando tecnologías y avanzado en su digitalización, se han convertido en demasiado complejas para poder ser aseguradas por completo.
Las infraestructuras de datos de las empresas y las arquitecturas tecnológicas, con multitud de sistemas distintos, muchos de ellos heredados y difícilmente integrables, son algunos de los principales factores que más contribuyen a esta complejidad.
El 75% de encuestados afirma que sus empresas tienen un exceso de complejidad en su modelo operativo, lo que conlleva un incremento notable de los riesgos de ciberseguridad y de privacidad.
Juan Cobo, responsable de Ciberseguridad en Ferrovial, lo ilustra con un ejemplo. "Si estás conectado eres vulnerable. El crimen organizado necesita encontrar sólo una puerta para entrar en la organización, nosotros necesitamos defender miles de puertas", subraya.
"No me vale con tener puertas muy bien guardadas y otras no", prosigue el CISO de Cepsa, Rafael Hernández. "Si tengo un eslabón débil por ahí van a entrar. Y como es imposible cubrir todas las puertas la labor de concienciación es clave", concluye.
"El objetivo no es evitarlos, es recuperarnos rápido"
Juan Cobo, CISO de Ferrovial, y Rafael Hernández, CISO de Cepsa.
En un contexto en el que los ciberataques están a la orden del día y ninguna empresa está a salvo de sufrir uno, las grandes corporaciones españolas prefieren centrar sus esfuerzos en mejorar sus capacidades de respuesta y recuperación.
"Los incidentes van a seguir produciéndose. Las empresas tenemos que estar preparadas no tanto para no recibir ataques como para recuperarnos lo más rápidamente posible", opina Rafael Hernández, CISO (chief information security officer) de la petrolera Cepsa.
Una opinión compartida por el responsable de Ciberseguridad de Ferrovial, Juan Cobo: "Cada vez somos más digitales y el crimen organizado se mueve también hasta este mundo. Esto va a ir a más porque es lucrativo y es lucrativo porque dependemos más de la tecnología. ", opina. "Nuestra mentalidad no es prevenir ataques, nos va a tocar tarde o temprano, en lo que estamos muy centrados es en mejorar nuestras capacidades de respuesta y recuperación", agrega.
Esta creciente preocupación por los riesgos de los incidentes cibernéticos se reflejan en el papel cada vez más relevante y central que tienen los responsables de ciberseguridad dentro de las compañías.
"La ciberseguridad tiene cada vez más protagonismo y está más presente en los comités de dirección y en los consejos de administración. De manera natural está adquiriendo importancia porque es una pieza fundamental para que la tecnología siga generando valor", señala el CISO de Ferrovial.
Ejemplos recientes del alcance de algunos ciberataques, que han provocado escasez de combustible o de carne en algunos países, al atacar infraestructuras especialmente sensibles, también ayudan a que los mandos tomen conciencia de su relevancia.
"Los comités de dirección están cada vez más concienciados porque ven que un incidente puede poner en riesgo su compañía", apunta Hernández, de Cepsa.
El informe de PwC señala, sin embargo, que todavía queda mucho camino por recorrer: un 21% de los CISO consultados sitúa al consejero delegado entre los tres roles con los que menos s e relaciona.
Comentarios