El 46,8% de las empresas afirma tener definido formalmente un plan específico de seguridad digital y tan solo el 34,0% desarrolla actividades de capacitación en la materia. Así lo reconocen en el Observatorio de Competitividad Empresarial dedicado a la ciberseguridad, realizado por la Cámara de Comercio de España. Los resultados evidencian una relación directa entre la existencia de una estrategia ante las ciberamenazas y el tamaño de la empresa: cuanto más grande es la empresa, más planificación en la materia. Así la existencia de una política de ciberseguridad es menor en microempresas (29%), entre las pequeñas (56,3%) y entre las medianas (61,5%), mientras que resulta notablemente mayor en las empresas más grandes (85,7%).
Además, el estudio señala que tan solo el 24,3% de las empresas consultadas planea reforzar su ciberseguridad en los próximos 12 meses, con un incremento medio de la inversión del 23,5%. Y ello se debe a que la mayoría de las compañías afirman sentirse seguras, ya sea por considerar que se encuentran bien protegidas (73,8%), porque se perciben como poco o nada atractivas para los ciberdelincuentes (55,3%), o bien porque únicamente un 11,0% de ellas han sufrido algún ciberataque en los últimos 24 meses.
Del mismo modo que con la planificación, los resultados alcanzados indican que la preocupación, la sensación de vulnerabilidad y la autopercepción de atracción para los ciberdelincuentes se incrementa conforme aumenta la dimensión de la empresa.
Sobre la tipología de las medidas de protección implementadas, la gran mayoría de las compañías ya dispone de antivirus o protección antimalware (98,0%), copias de seguridad separada física y lógicamente de los sistemas de operación (93,0%), actualizaciones de software (88,5%), y redes inalámbricas protegidas (84,8%). Para prácticamente todas las medidas de seguridad analizadas, su uso aumenta conforme se incrementa el tamaño de la empresa, en línea con la ya señalada mayor percepción de peligro y mayor presencia de una estrategia formal entre este colectivo. Esta disparidad es más evidente, entre aquellas medidas menos frecuentes en el conjunto de empresas. Así, el cifrado para datos y comunicaciones críticas es utilizado por un 71,4% de las compañías con más de 249 trabajadores, en tanto que esta medida es aplicada por solo un 13,5% de las microempresas.
Barreras de seguridad para las empresas
Con respecto a la capacidad de protección ante los ciberataques manifestada por las empresas, la falta de recursos económicos y el desconocimiento sobre qué soluciones de seguridad deben implementar surgen como los dos impedimentos claros para mejorar las defensas ante las ciber-amenazas, con especial incidencia entre aquellas empresas que declaran no estar bien protegidas (41,7% y 39,8%, respectivamente).
Sobre la relación con el tamaño de las empresas, también aquí, la importancia de los diferentes factores que impiden a las empresas defenderse mejor contra los ciberataques varía en función del número de trabajadores. La falta de recursos económicos es el elemento limitante más señalado por las microempresas (34,7%) y por las compañías de más de 249 trabajadores (28,6%). Por su parte, en el tramo de entre 10 y 249 empleados adquiere un peso mayor la falta de formación técnica necesaria y concienciación de la plantilla: del 34,6% en las de 50 a 249 y del 30,0% en las de 10 a 19 trabajadores.
La complejidad tecnológica de la seguridad en general y la dificultad / desconocimiento para buscar una empresa o personal con los conocimientos adecuados, son elementos que se perciben como más limitantes para mejorar la protección según crece el tamaño de la empresa.
Ocurre lo contrario entre las empresas que consideran que ya se encuentran bien protegidas, es decir, que no que necesitan mejorar sus defensas: la proporción desciende cuando más grande es la compañía. Así, mientras que una cuarta parte de las microempresas estima que no tienen margen de mejora, esta opción es elegida por tan solo un 7,1% de las compañías de mayor tamaño.
Por sector, las diferencias más reseñables se observan en la relevancia atribuida al factor económico. Concretamente, las empresas hosteleras acusan más que el resto de los sectores la escasez de recursos económicos como un limitante para mejorar sus defensas contra los ciberataques (37,9%). En el extremo opuesto se sitúan las compañías de servicios, entre las que solo un 21,3% apuntan en esta dirección.
Entre las compañías que han sufrido algún ciberataque en los últimos 24 meses (11,0%), los más habituales fueron el phishing o correos electrónicos con enlaces o archivos que conducen a sitios maliciosos (56,8%), el ransomware o ‘secuestro’ de archivos y equipos (36,4%), y el malware o infección del ordenador para dejarlo inservible (22,7%).
En el 90,9% de los casos este ataque tuvo algún efecto directo inmediato y en el 43,2% alguna consecuencia posterior. Entre los efectos más frecuentes, se encuentra la suplantación de identidad (47,7%), seguido por el tiempo de trabajo perdido (25,0%) y la indisponibilidad de los sistemas informáticos o los servicios a los clientes (22,7%).
En lo que respecta a las consecuencias, destaca la elevada proporción de empresas en las que los ciberataques no tuvieron repercusiones reseñables (56,8%). Por su parte, el incremento de los costes es la consecuencia más señalada por las compañías que sí resultaron afectadas (22,7%).
Teletrabajo y vulnerabilidad ante los ciberataques
Finalmente, consultadas por el teletrabajo, en el 52,8% de las empresas dispone de esta modalidad. Dentro de este grupo, la gran mayoría declara que su implementación no ha supuesto un incremento en su vulnerabilidad ante los ciberataques. Así, un 92,4% manifiesta que el número de ciberataques no se ha modificado con el establecimiento del teletrabajo y solo un 6,2% declara que se ha incrementado.
Existe una relación claramente positiva y creciente entre la posibilidad de teletrabajar y el tamaño de las empresas. En este sentido, la presencia del trabajo remoto asciende desde el 38,9% de las microempresas hasta el 90,5% entre las compañías de más de 249 trabajadores.
Según sectores, las empresas comerciales (61,7%) y de servicios (61,0%) son las que más ofrecen esta posibilidad, en contraposición a las de hostelería donde el teletrabajo está presente en solo el 30,5%.
