Las estadísticas en ciberseguridad son un insumo de gran importancia para tomar decisiones estratégicas en las organizaciones y para la implementación y seguimiento de políticas públicas. NIVEL4 realizó el tercer estudio de opinión -a través de su laboratorio de investigación HackLab- con el apoyo de un panel experto que representa a diferentes industrias que prestan servicios esenciales en Chile (salud, bancos, empresas tecnológicas, retail y gobierno).
PUBLICIDAD
El objetivo es analizar los presupuestos que las organizaciones chilenas destinan a la ciberseguridad y los eventuales cambios que éstos podrían tener ante la nueva legislación y los nuevos desafíos en esta materia. Muchos de los cambios en ciberseguridad dependen de inversiones adecuadas en un ámbito que, además, está en permanente transformación. Las organizaciones cuentan con presupuestos que no siempre son suficientes para absorber las demandas de ciberseguridad, especialmente cuando ocurren incidentes.
Cifras generales
Según el estudio, el 24% de las organizaciones dependen de proveedores externos para la respuesta de incidentes y que el 57% cuenta con un equipo interno compuesto entre 2 y 5 especialistas técnicos. Ante la pregunta ¿cómo se distribuye el horario de trabajo de tu equipo de respuesta ante incidentes?, el 71% de las organizaciones señala que están disponibles las 24 horas del día.
71% de las organizaciones realiza frecuentemente registro de los ciberataques, eventos e incidentes. No obstante, apenas un 18% dice tener un conocimiento amplio de los procedimientos que se deben seguir ante la ocurrencia de un evento. Con respecto a los vectores iniciales de ataque más recurrentes, el 71% de las organizaciones señala que son los correos electrónicos.
“Un sistema vulnerable es como dejar una puerta o ventana abierta o mal cerrada. Eso es suficiente para que los intrusos puedan acceder a una organización y realizar cualquier tipo de ciberataque. Por eso tiene mucho sentido que la mayoría de los especialistas coincidan en que una de las prácticas más efectivas para enfrentar un incidente de ciberseguridad contemple la existencia de mejores procesos de gestión de vulnerabilidades, lo que es un desafío muy grande dado que las organizaciones administran muchos sistemas diferentes, los que deben ser actualizados a versiones más robustas de forma permanente”, explica Katherina Canales, CEO de NIVEL4.
Tal vez eso explica que el 24% de los equipos detecta un ciberataque cuando ya es un incidente.
Presupuesto para ciberseguridad
Sin duda, uno de los datos más llamativos es que el 65% de las organizaciones destina 5% o menos de su presupuesto a ciberseguridad (el 22% destina menos del 1%). De todas formas, parece existir un grado de preocupación al respecto, ya que el 54% de los especialistas considera como insuficiente el presupuesto de ciberseguridad para su organización (el 25,0% lo considera “bueno” y el 20,8% “suficiente”).
Además, el 78% de los expertos considera que las organizaciones invierten “bien o muy bien” su presupuesto. Le sigue un 17,3% que cree que está “mal invertido” y un 4,4% que piensa que está “muy mal invertido”.
Otro aspecto relevante es que el 42% de las organizaciones prioriza sus inversiones en función del cumplimiento normativo; el 33,3% en base a la evaluación de riesgos 33,3%; el 6,7% orientado a las tecnologías 16,7% y el 8,3% en base a los incidentes.
“Los presupuestos de ciberseguridad de las empresas siempre son escasos en relación con los problemas que deben enfrentar. El desafío es lograr distribuir esos recursos para todas las necesidades existentes. Las cifras no sorprenden. Es muy probable que quienes invierten un poco más ya enfrentaron un incidente más serio y comprendieron que es necesario darle al tema la importancia que requiere”, señala Katherina Canales, CEO de NIVEL4.
En ese sentido, el estudio revela que el 42% de las organizaciones ha sufrido pérdidas financieras como consecuencia de un ciber incidente. Además, 29% de los especialistas cree que la aprobación de la ley impulsará un importante aumento en sus presupuestos de ciberseguridad.