Las empresas españolas gastan un 30% más para recuperarse de un incidente ciber

22 Junio 2020

 

  • En los últimos 12 meses, el coste medio para restablecer la actividad tras un incidente o brecha de seguridad superó los 66.800€, la media del estudio se sitúa en 50.900€

  • España continúa siendo el país con más compañías calificadas como cibernovatas: el 72% de las empresas analizadas

  • El tejido empresarial español está dispuesto a revertir la situación a través de la inversión: lidera el ranking de presupuesto TI dedicado a ciberseguridad (14,93%)

  • Impacto del COVID19 en los próximos 12 meses: descenso de la confianza de las empresas que ahora se sienten seguras, impacto en los recursos de ciberseguridad ante una reducción del presupuestos general, y trabajo remoto e ecommerce continuaran siendo objetivo principal de ciberdelincuentes

Madrid, 22 de junio de 2020. La menor preparación del tejido empresarial español provoca que empresas y profesionales tengan que asumir un 30% más de gasto para recuperar su actividad tras un incidente ciber o brecha de seguridad, según se desprende del “Informe de Ciberpreparación de Hiscox 2020”, la cuarta edición del informe internacional anual realizado por la aseguradora especializada en seguros para empresas y profesionales. El estudio analiza la preparación cibernética del tejido empresarial de ocho países, así como sus planes para los próximos 12 meses.

 

Un escenario peligroso: costes más altos, exceso de confianza y menos preparación

 

Las compañías españolas que afirman haber sufrido un incidente ciber o brecha de seguridad estiman que el coste medio para recuperar la actividad con normalidad superó los 66.800, la media del estudio se sitúa en 50.900€. Sin embargo, solo el 38% de los encuestados españoles considera que su empresa está en riesgo de tener un incidente cibernético, 10 puntos menos que la media del estudio, y España sigue siendo el país, de los 8 analizados, menos preparado para detectar, resolver y recuperarse de un incidente cibernético o brecha de seguridad.

“Los resultados de este año ponen de manifiesto la brecha que se está produciendo entre el tejido empresarial español y el resto de países, y dentro del mismo mercado español donde detectamos una evolución a dos velocidades que hace que la mayor parte de las empresas españolas, sobre todo pymes, se sitúen lejos de la media del estudio en recursos y disposición para detener un ataque o recuperarse del mismo”, afirma Alan Abreu, responsable de riesgos cibernéticos de Hiscox. 

Las empresas españolas calificadas como ciberexpertas han pasado en un año de ser el 9% al 14% de las analizadas, pero aún se sitúan 4 puntos por debajo de la media del resto de países (18%), y esto es debido principalmente a que España continúa siendo el país con más compañías calificadas como cibernovatas, más de 7 de cada 10 de las analizadas (72%).

Si se desglosan los datos en el mercado español por número de trabajadores, la ciberpreparación disminuye junto con la dimensión de las compañías. Así, son calificadas como cibernovatas el 82% de las micropymes, el 76% de las compañías entre 10 y 250 empleados, y el 61% de las grandes empresas analizadas en el estudio. Por otro lado, el 21% de las compañías de más de 250 empleados, el 13% de las pymes y el 5% de las micropymes obtienen la máxima calificación.

“En los últimos 3 años las empresas españolas calificadas como cibernovatas tan solo se han reducido del 75% a 72%. Por un lado tenemos compañías y profesionales que poco a poco van evolucionando la robustez de sus estrategias de ciberseguridad, este año hemos alcanzado la cifra del 14% en ciberexpertas y también del 14% en ciberintermedias, pero por otro lado, más de 7 de cada 10 no consiguen mejorar su ciberpreparación. Esto puede deberse a un exceso de confianza en algunos casos, pero sobre todo creo que muchas de ellas no están siendo capaces de evolucionar al mismo ritmo que lo hace la sofisticación de los ciberdelincuentes. El ecosistema de ciberseguridad de nuestro país debe poner el foco en estas compañías, en su mayoría pymes y micropymes, para que nadie se quede atrás”, analiza Alan Abreu.

 

España quiere liderar la inversión para revertir esta situación

Como aspecto positivo, en las empresas españolas analizadas se ha producido una evolución radical en el porcentaje del presupuesto de TI dedicado a ciberseguridad, pasando de estar entre las que menos cuota de inversión realizaban en este área (8,80% en 2019), a liderar el ranking: hoy la media que estas compañías reservan a ciberseguridad es del 14,93%. El porcentaje del área de TI dedicado a protegerse de riesgos cibernéticos ha crecido 6 puntos en solo un año hasta situarse 2 puntos por encima de la media del estudio de este año (12,95%).

Además, el tejido empresarial español no se detiene y ocupa el Top3 en intención de inversión para los próximos 12 meses, junto con EEUU y Gran Bretaña. Estos son los tres países cuyas entidades analizadas muestran mayor intención de incrementar su presupuesto. En el caso de las empresas españolas, el 72% aumentará su inversión en ciberseguridad general, el 42% en  formación interna y el 39% en contratación de profesionales especializados.

“Estos datos son una excelente declaración de intenciones, y los próximos meses son clave. Estas semanas hemos visto cómo la transformación digital de las empresas, donde el comercio electrónico y el trabajo en remoto han sido protagonistas, provoca necesariamente que esta evolución sea acompañada por un aumento de recursos tanto tecnológicos como humanos, o servicios de terceros, para asegurar la actividad de la compañía en el caso de ser atacada. La difícil cuestión para las empresas será combinar esta necesidad imperante de fortalecer su estrategia de ciberseguridad, mientras se enfrentan a una posible reducción de negocio consecuencia de una hipotética caída de la economía global”, apunta Alan Abreu.

 

Continúan algunas malas praxis pero aumenta la transferencia del riesgo a una póliza

El “Informe de Ciberpreparación de Hiscox 2020” analiza también el comportamiento de las compañías a la hora de resolver incidentes de naturaleza cibernética, concluyendo que 4 de cada 10 (41%) empresas españolas reconoce no informar totalmente a las partes internas y externas implicadas cuando se ha producido un incidente cibernético que ha puesto en riesgo datos de estos. O que casi 3 de cada 10 de las compañías españolas que han sufrido un ataque ransomware han pagado el rescate para poder recuperar el acceso a sus sistemas. Este dato significa que el 7% del total de las empresas españolas encuestadas pagó un rescate en 2019.

Respecto a la transferencia de este riesgo a un tercero, a través de una póliza aseguradora, 6 de cada 10 de las empresas españolas analizadas afirman disponer de coberturas que cubren estos riesgos (41% en 2019), pero solo el 25% tiene contratado un seguro especializado en riesgos cibernéticos.

“Existe un exceso de confianza sobre la cobertura en materia de ciber riesgos que ofrecen algunos seguros tradicionales contratados por empresas y profesionales, y es muy importante que comprendan que la naturaleza de estos riesgos también requiere una especialización, de la misma manera que ellos son especialistas en su actividad. Muchos de estos seguros no son conscientes de cubrir este tipo de riesgos (lo que denominamos cobertura de cyber silencioso), por lo que en el caso de producirse un incidente cibernético, no solo no habrá colaboración del seguro para mitigarlo, sino que surgirán problemas para entender el incidente y al no aparecer en póliza, la tramitación del pago podrá tornarse complicada. Las empresas, de cualquier tamaño o sector, pueden tener acceso a un seguro especializado que sí cubrirá los riesgos reales de esa compañía, y además les ofrecerá formación a sus empleados, dispondrá de un servicio de respuesta en caso de incidente, y en la peor de las situaciones responderá financieramente a los gastos generados por el ataque facilitando la vuelta a la normalidad”, comenta Alan Abreu.

Resultados del informe ante COVID19

“Qué impacto puede tener en las conclusiones y previsiones para los próximos 12 meses que se incluyen en el informe la situación excepcional que ha provocado el COVID19 es una pregunta difícil de responder. En los últimos meses se ha generado una gran incertidumbre, el panorama empresarial se está transformando y tiene la necesidad de adaptarse rápidamente a un entorno incierto. Estimamos que esta situación creará más dudas a las empresas que ahora se sienten seguras. Además, estas compañías podrían enfrentarse a una reducción general de presupuestos que podría reducir la dimensión de recursos dedicados a ciberseguridad, con posibles consecuencias muy perjudiciales. En este sentido, esperemos que en el peor de los casos si no pueden poner en marcha las previsiones manifestadas durante las entrevistas, al menos no disminuyan los presupuestos existentes y desanden el camino ya recorrido. Por último, aquellas empresas que han aprovechado las circunstancias para poner en marcha el trabajo remoto y el ecommerce, continuaran siendo objetivo principal de ciberdelincuentes, por lo que necesitan dedicar tiempo a su ciberpreparación y a la de sus empleados”, concluye Alan Abreu.

 

Informe de Ciberpreparación de Hiscox 2020

Los datos han sido extraídos de entrevistas, realizadas hasta el mes de febrero de 2020, a directores, jefes de departamento, CIOs y otros profesionales clave de 5.569 entidades representativas por tamaño y sector de actividad de ocho países (Alemania, Bélgica, España, Estados Unidos, Francia, Gran Bretaña, Irlanda, y Países Bajos)

 

Accede al informe completo

 

 

 

 

 

 


All prensa