El 70% de las compañías españolas prevé aumentar su gasto en ciberseguridad

Recomendados:  Caminando hacia Zero Trust, el modelo de seguridad que se impone en la empresa Evento El papel de la ciberinteligencia en la seguridad empresarial Webinar Identificación de ataques web Leer

2021 ha sido un año récord en el número de ataques registrados, y las empresas creen que el panorama de ciberamenazas va a seguir su escalada en 2022, según un estudio de PwC, que recoge la opinión de 3.602 responsables de seguridad, CEOs y altos directivos de 66 países, entre ellos España.

De sus respuestas se desprende que esperan un nuevo incremento de los ciberataques a empresas en 2022: más del 50% de las compañías entrevistadas cree que el próximo año se superarán los niveles históricos de 2021. Esta previsión va a tener su reflejo en los presupuestos destinados a ciberseguridad. el 69% de las compañías (el 70% en España) prevé aumentar sus inversiones en ciberseguridad, frente al 55% del año pasado. Además, tanto a escala mundial como a nivel local, un 26% los incrementará un 10% o más.

Ataques que predominarán
Según el 57% de los encuestados, los ataques que más van a crecer el próximo año son los que tienen como objetivo los servicios en la nube y los ransomware, seguidos del malware descargado a través de las actualizaciones de software y los ataque al software de la cadena de suministro y al correo corporativo (56%). Los responsables de ciberseguridad españoles coinciden en señalar a las amenazas a los servicios en la nube como las que más se van a incrementar seguidas, en este caso, por los ataques a la cadena de suministro.

La puerta de entrada que más van a utilizar estos ciberdelincuentes serán Internet de las Cosas, los móviles, los proveedores de servicios en la nube, la ingeniería social y los proveedores, Mientras que los tres principales protagonistas de estos ciberataques serán los cibercriminales, los hackers y activistas, y los Estados nación.

Este documento pone de relieve también que hay factores que están haciendo más dificil la protección: la falta de conocimiento de las brechas que pueden sufrir los proveedores con los que trabajan y terceras partes, y la complejidad tanto de las arquitecturas tecnológicas como de las infraestructuras de datos.

El informe pone un punto de atención especial sobre el conjunto de proveedores y terceras partes que intervienen en la operativa diaria de una compañía. Las empresas los podrían estar pasando por alto y que éstos estarían convirtiéndose en un punto ciego de entrada de los ciberataques. El 60% de los entrevistados reconoce no tener un conocimiento profundo de las brechas de seguridad asociadas con estas terceras partes y un 20% asegura tener poco o ninguno. En el caso de los encuestados en España, la situación es idéntica.

Además, las empresas se han vuelto demasiado complejas como para poder ser aseguradas en su totalidad como consecuencia del incremento exponencial de la conectividad y de la aceleración de la transformación digital en los últimos años. El 75% de encuestados afirma que sus empresas tienen un exceso de complejidad en su modelo operativo y en sus procesos que podría ser innecesario, lo que conlleva un incremento notable de los riesgos de ciberseguridad y de privacidad.

Las infraestructuras de datos de las empresas y las arquitecturas tecnológicas, con multitud de sistemas distintos, muchos de ellos heredados y difícilmente integrables, son algunos de los principales factores que más contribuyen a esta complejidad. Para los entrevistados, esta circunstancia se traduce en el día a día de las compañías, en pérdidas económicas, en una menor capacidad de innovación y en una menor capacidad de recuperación ante ciberataque o ante los fallos tecnológicos.

Finalmente, el estudio resalta la importancia de los datos: el activo más codiciado por los ciberdelincuentes. Un riesgo que las compañías podría minimizar protegiendo los datos contra la manipulación y el robo. Sólo el 34% del conjunto de los participantes en el estudio -el 33% en España-, afirman haber implantado procesos formales de seguridad de los datos que incluyan su cifrado y su intercambio seguro y que determine cuáles son los que deben proteger y cuáles no.