Los empresarios españoles son los más concienciados de la Unión Europea respecto a la importancia de la gestión de sus datos críticos ante las distintas amenazas que se pueden sufrir en el ámbito de la empresa. Así se desprende de los datos del informe “Ciberseguridad: protegiendo el valor de los datos”, elaborado por la consultora Grant Thornton a partir de una encuesta a casi 3.000 altos directivos y empresarios de 36 países, entre ellos España, realizada entre enero y marzo de 2018.
El 98% de los responsables de las empresas españolas entrevistados por la Firma afirma tener identificados y localizados los datos de su organización. Se trata del porcentaje más alto de todos los países analizados en el estudio, y muy superior a la media global (80%), y de la UE (83,4%), donde destaca Francia como el país donde las empresas menos identifican la ubicación de sus datos (57%).
Otra muestra de la concienciación de las empresas españolas en relación con la seguridad de sus datos es que no solo ubican esa información clave para el negocio, sino que la práctica totalidad (86,7%) afirma tenerlos clasificados y categorizados por tipo de datos (financieros, de clientes, etc.). De nuevo los directivos españoles encuestados destacan por encima de la media de la UE (73,1%) y de sus homólogos de Holanda (74,6%), Reino Unido (73,7%), Irlanda (63,8%) o Alemania (54%), entre otros.
“Este es un aspecto realmente importante a la hora de establecer un modelo de seguridad eficaz, es necesario tener una imagen clara y fiable de los datos de que se dispone, pero también valorarlos y categorizarlos para poder diferenciar los datos más críticos y relevantes para el negocio o más susceptibles de ataques. No todos los datos tienen el mismo valor y es importante centrarse en proteger los activos más valiosos o vulnerables”, afirma Jaime Morales, consultor de Ciberseguridad de Grant Thornton.
El estudio de Grant Thornton ofrece una imagen más pesimista a nivel global. Una proporción elevada de directivos en los 36 países analizados no conoce los datos de los que dispone o no consigue gestionar los riesgos asociados. Solo el 65% de los encuestados toma medidas para conocer de forma clara los datos y la información relevante que poseen en sus organizaciones. Y, más preocupante aún, solo el 56% asigna un perfil de riesgo a este activo de negocio tan crítico.
Se dan también sensibles diferencias en los enfoques de seguridad adoptados en diferentes partes del mundo y en diferentes sectores de actividad. En este sentido, resulta llamativo que sean las empresas de las economías occidentales las que muestran una mayor vulnerabilidad que las de regiones como África o Asia, debido a la escasa propensión a asignar de perfiles de riesgos a sus datos. Poco más de la mitad de las empresas de la UE (53%) y de Estados Unidos (54%) asigna perfiles de riesgos, al contrario que países como Tailandia (78%) o Malasia (70%). De nuevo España es la excepción, el 70% de las empresas afirma asignar perfiles de riesgo a la información.
Por sectores, a nivel mundial, las empresas del sector de la salud son las más propensas a asignar un perfil de riesgos a sus datos (76%), muy por encima de la proporción de empresas de sectores como los servicios financieros (50%) o los servicios profesionales (53%).
Grant Thornton alerta del peligro para las organizaciones de la ausencia de una asignación de controles específicos y rigurosos para los datos más valiosos, aquellos cuya seguridad resulta absolutamente esencial y cuya pérdida puede comportar el mayor nivel de riesgo.
“De las conclusiones de nuestro estudio se desprende que cuatro de cada cinco empresas (78%) asignan sus medidas de seguridad y protección de manera uniforme entre todos sus activos de información sin tener en cuenta la especificidad de cada dato y su valor. Esto puede dar lugar a sistemas ineficientes y a pérdidas de dinero y tiempo ya que se puede estar protegiendo información de escaso valor, mientras que activos críticos pueden encontrarse expuestos a riesgos de seguridad”, apunta Luis Pastor, socio de Consultoría Tecnológica e Innovación de Grant Thornton. “La información crítica de un hotel o un hospital es muy diferente de la de un banco, y la de un ayuntamiento de la de una empresa logística” concluye Pastor.
A la hora de adoptar un planteamiento eficaz de protección de datos y de gestión de ciberamenazas, el informe de Grant Thornton destaca la importancia de que las organizaciones asuman que la cantidad de datos de los que pueden disponer es demasiado abultada y muy diversa. Por ello resulta razonable ser pragmáticos y aplicar modelos estructurados y dinámicos que evalúen y categoricen datos y riesgos, y permitan identificar “las joyas de la corona”, esto es, los datos cuya seguridad hay que garantizar a toda costa en caso de un ataque que logre acceder a los sistemas de la empresa (datos referidos a I+D, patentes o secretos comerciales, planos, datos personales de clientes, historiales de pacientes, claves de seguridad, informes confidenciales, etc.).
“El primer paso es reconocer que no todos los datos tienen el mismo valor, y el segundo es admitir que es probable que su seguridad puede verse comprometida, y que, llegado el caso, será necesario centrarse en proteger los activos más valiosos mediante un sistema de seguridad eficiente para cada tipo de activo” añade Jaime Morales.
No obstante, a pesar de que los altos directivos reconocen que existen los riesgos de ciberataques, todavía no hacen lo suficiente para promover acciones que lo impidan o lo mitiguen llegado el caso. En este sentido, el informe revela que son pocas las organizaciones que creen que van a sufrir un ataque. Solo un 20% de los encuestados considera que será víctima de un ciberataque y por ello han realizado inversiones en sistemas de seguridad para prevenirlo. Un 30% “probablemente” esté bien preparado y el resto (50%) considera que “nunca” sufrirán un ciberataque.
En este sentido, varios expertos y directivos consultados afirmaron que sufrir un ataque puede resultar una experiencia positiva, porque no solo pone de relieve las posibles deficiencias de los sistemas de seguridad ‑y las mejoras a adoptar— sino que puede alertar a las empresas y sus consejos de dirección de la gravedad del problema y elevar así su nivel de prioridad y, por tanto, los recursos asignados a desarrollar procesos y sistemas más seguros y programas de sensibilización en materia de seguridad.