2015 / estudio sobre

2015 / Estudio sobre

Ciberseguridad en las organizaciones españolas

ESTUDIO CIBERSEGURIDAD EN LAS ORGANIZACIONES ESPAÑOLAS 2015

ÍNDICE

Introducción 3

Tipología 4

ModelodeSeguridadNacional 8

Coordinaciónycolaboración 11

Perfilesprofesionalesyformación 15

ElpapeldelCISOyelcompromisodelasorganizaciones 19

Retosytendencias 22

Conclusionesgenerales 26

Estudio: Ciberseguridad en las organizaciones españolasEdición: 2015Edita: Fundación BorredáRegistro de Fundaciones nº 1.461(Orden ECD/1304/2012 de 16 abril, BOE nº 118)

Calle Alcalá 61 2º Derecha. 28009 Madrid. Tel. +34 1 309 04 54 www.fundacionborreda.org

©2015 Fundación Borredá

Fundación Borredá no autoriza la reproducción total o parcial de los textos e ilustraciones del estudio sin previa autorización por escrito. Fundación Borredá autoriza la consulta, visualización y utilización de los contenidos del informe siempre y cuando se cite la fuente.

INTRODUCCIÓN

LaaprobaciónporpartedelGobiernoendiciembrede2013delaEstrategiadeCibersegu-ridadNacional(ECN)marcóunantesyundespuésenlaluchacontralosciberataques.Yesquenosóloestableciólaslíneasmaestrasdelosprincipiosrectoresdelaciberseguridadnacional conelnombramientode losorganismos encargados dedesarrollar ygestionarestaEstrategia;sinoquetambiénactúadepiedraangulara lahorade trabajarconjun-tamenteparaprotegerlosactivosdigitalesyfomentarasílacooperacióndesdedistintospuntosdevista.

Enprimerlugar,enelámbitointernacional,quesedebetraducirenaunaresfuerzosentretodoslospaísesparaelaboraryadoptarestándaresglobales,expandirlacapacidaddelsis-temajurídicointernacionalypotenciarlaalertaylarespuestaanteincidentescibernéticos.Peroademásesacooperacióntambiéndebeproducirseespecialmenteconlosciudadanos,losprofesionalesylasempresasdenuestropaís.Dehecho,laEstrategiaestablecelanece-sidaddeacometeraccionesdeinformaciónysensibilizaciónacercadelosriesgosdelci-berespacio.Asimismo,impulsalanecesidaddedisponerdelosconocimientosapropiadosyelaccesoalasherramientasadecuadasqueposibilitenunaprotecciónefectiva.Enotraspalabras,esnecesariopromoverunasólidaculturadelaciberseguridad.

Precisamente,conelfindeconocersiestaideaestácalandoenlasorganizaciones,cómoseintegraensuestructura,dequéformaestáncolaborandoconlaAdministraciónyquéexpectativasde futuro tiene laprofesión, laFundaciónBorredáhaelaborado laprimeraedicióndel Estudio sobre ciberseguridad en las organizaciones españolas.Parasuelabora-ciónsehadirigidouncuestionarioauntotaldecienempresas,quesuponeunamuestrarepresentativadelsector.Entrelaspreguntasescogidasseincluyenalgunasreferentesalposicionamientodelosresponsablesdeseguridaddentrodesupropiaempresa.Elgradodeparticipacióndelasfirmasseleccionadasparaesteestudiohaascendidoal42%.

ESTUDIO CIBERSEGURIDAD 2015. ANÁLISIS 3


TIPOLOGÍA

Antesdeiniciarelanálisisdelosresultadospropiamentedicho,sehandesgranadoalgu-nasdelascaracterísticasprincipalesdelospanelistasparaconoceralgunosdatosmásso-bresuedad,perfilprofesionalyformativo,puestoquedesempeñaensuempresayquiénessonsussuperioresjerárquicos.

Loqueprimerollamalaatencióndelosdatosreferentesalperfilprofesionaleslavariedadde lospanelistas.HanrespondidoelmismoporcentajededirectivosdeSeguridad(18%)quedeconsultores;mientrasquetambiénserepitelacifradeCISO(14%)ydeprofesionalespertenecientesaempresasproveedorasdeseguridad.Elhechodequeningúnperfilpro-fesionalpredominedemasiadosobreelrestopotencialaobjetividaddelosresultadosdelestudio,puestoquelasrespuestasobtenidassonmáshomogéneasynoestántancondi-cionadasporeltipodeprofesionalquelasresponda.

4 ESTUDIO CIBERSEGURIDAD 2015. ANÁLISIS

ESTUDIO CIBERSEGURIDAD EN LAS ORGANIZACIONES ESPAÑOLAS 2015 ESTUDIO CIBERSEGURIDAD EN LAS ORGANIZACIONES ESPAÑOLAS 2015

Figura 1: Perfil profesional.

Directivo de Seguridad18%

Director de Seguridad de la Información (CISO)

14%

Director de TI (CIO)12%

Empresa proveedora de seguridad

14%

Consultora18%

Fuerzas y cuerpos de Seguridad

2%

Dpto./ Área de Seguridad8%

Administración8%

Otros6%

Precisamente,ydebidoaesegradodeexperienciaque,porsuedad,tienenlospanelistas,loscargosprofesionalesdeéstossesitúanenlamásaltajerarquíadentrodesusrespectivascompañías.Noenvano,casiel45%delosparticipantessondirectoresdedepartamentooárea,deloscualesun32,6%tienenunpuestoenelconsejodeadministración.Losjefesdeárea(16,3%)ylosmandosintermedios(14%)completanestegráficoconunamenorpresencia.

Encambio,síhayunpredominioclarodepanelistasconunaedadsuperioralos40años.Dehecho,suponemásdel75%delamuestraquehaparticipado,deloscualesel28,5%superanlos50añosdeedad.Setrata,portanto,deotrodatointeresante,puestoquelospanelistasaportanasusrespuestaselconocimientoquelesproporcionasuexperiencia.Aquéllosquetienenentre30y40añossuponenel21,5%,mientrasquelosmenoresde30apenastienenunarepresentaciónsignificativa(2,5%).



Figura 2: Edad.

Más de 50 años28,5%

De 40 a 50 años47,5%

De 30 a 40 años21,5%

Hasta 30 años2,5%

Figura 3: Grado profesional en la organización.

Director de departamento / área, sin puesto en el Consejo

de Dirección11,5% Jefe de Área

16,3%

Director de departamento / área, con puesto en el

Consejo de Dirección32,6%

Técnico9,3%

Director general9,3%

Mando intermedio

14%

Otros7%

El principal destinatario del reporte del trabajo que realizan los panelistas en susempresaseseldirectordeárea(35,6%),seguidodecercaporeldirectorgeneral(31%).Estasdosfiguras,dehecho,estánbastanteporencimadelconsejodeadministración,aquienreportantansóloun20%delosencuestados.Comocuriosidad,un2,2%ase-guranoreportaranadie.

Laformaciónsuperioresotrodelosaspectosdestacadosquedefinenlamuestradeen-cuestadosquehancolaboradoen laelaboracióndeesteestudio.Casi lamitaddeellos(48%)cuentacongrados,licenciaturasoingenieríassuperioresotécnicas.Esto,además,secomplementaconaquéllosquetienenunaformaciónposgrado,loscualessoncasiunacuartapartedeltotal(24%).Pocapresenciatienen,encambio,losencuestadosquetienentítulosuniversitariosdegradomedio(14%)yestudiosdeformaciónprofesional(8%).



Figura 5: Formación académica.

Figura 4: A quién reporta.

Consejo de Dirección

20%

Director general31%

A nadie2,2%

Clientes2,2%

A nadie4,5%

Otros4,5%

Director de Área35,6%

NS/NC2%

Post-grado24%

Grado48%

Titulo universitario grado medio14%

Formación profesional8%

Bachiller4%

Parafinalizar laspreguntas inicialessobre la tipologíadepanelistas,hemospuestoelfocoenlatrayectoriaprofesionaldelosencuestados,conclaropredominioderesponsabi-lidadesvinculadasconeldepartamentodeSeguridad(39,6%),seguidoporeldeSistemas(28,3%).Muypordetrássesitúanlosprofesionalesquealolargodesutrayectoriahanocu-padoposicionesenladireccióngeneral(11,3%)ycomotécnicoinformático(11,3%).

En resumen, el perfil de panelista predominante es el de un director de departamento o director general, con una edad superior a los 40 años, licenciado o ingeniero, y con una trayectoria profesional muy vinculada al área de Seguridad y Sistemas.



Figura 6: Trayectoria profesional.

Departamento de Sistemas

28,3%

Departamento de Seguridad

39,6%

Técnico informático11,3%

Dirección general11,3%

Comunicación y RRPP3,9%Otros

5,7%

MODELO DE SEGURIDAD NACIONAL

Elprimerbloquedepreguntassecentraenelestadode laciberseguridadennuestropaís,sobretodoaraízdelaaprobaciónporpartedelGobiernodelaEstrategiadeCiber-seguridadNacional.Delanálisisdelosresultadossedesprendenconclusionesinteresan-tes,comoquehayunporcentajedepanelistas(22%)queconsideranaEspañaavanzadaenmateriadeciberseguridad;mientrasaqueotronúmeromuysimilar(24,4%)lesparecepocoavanzada.Portanto,noresultaextrañoquelaopiniónpredominantesealadesa-tisfactoria(46,3%).Estodaunaideadelaheterogeneidaddeideasqueexistensobrelaredaccióny losobjetivosde laEstrategia.Dehecho, incluso,haycasiun5%queveanuestropaísretrasadoenesteaspecto.



Figura 7: Cómo considera a España en materia de ciberseguridad.

Muy avanzada

Retrasada

4,9%

Insuficiente

2,4%

Poco avanzada

24,4%

Satisfactoria

46,3%

22%

Avanzada

50%

45%

40%

35%

30%

25%

20%

15%

5%

10%

0%

EnloquesíparecehaberconsensoesenlaimportanciaquetienelaseguridadtecnológicaenelsistemadeproteccióndeinfraestructurascríticasenEspaña.Lamayoríadelospane-listaslocalificanporencimade7enunaescalade10.

Estos datos son perfectamente asimilables a la Estrategia de Ciberseguridad Nacional,puesto que prácticamente coinciden en todos sus porcentajes. Esto, cuando menos, esunhechoqueresultacurioso,puesparecedejarde ladootrasvariablesnorelacionadasdirectamenteconlaECN,comoelpapelquepuedanestardesempeñandolasempresasprivadaso losproveedoresdetecnologíaparafomentar laciberseguridadenEspaña.Almenos,comotal,lascifrasnodejanconstanciadeello.



Figura 9: Grado de importancia de la seguridad tecnológica en el sistema de Protección de Infraestructuras Críticas en España.

20%

30%

40%

50%

0%

10%

1 2 3 4 5 6 7 8 9 10

Ninguna MáximaVALORACIÓN

Figura 8: Cómo valora la Estrategia de Ciberseguridad Nacional.

50%

45%

40%

35%

30%

25%

20%

15%

5%

10%

0%

2,4%

Muy avanzada

24,4%

Avanzada

46,3%

Satisfactoria

22%

Poco avanzada

4,9%

Insuficiente

0%

Retrasada

0% 0% 0%

5 % 0% 2,5% 5%

22,5% 17,5%

47,5%

EncuantoalosaspectosquesepodríanmejorarenmateriadeciberseguridadenEspañaseencuentra,porencimadetodos,fomentarlaculturadeseguridadtecnológica(52%).LesiguenlaimplicacióndelaAltaDirecciónenlascorporacionesprivadas(50%),elaumentodepersonalcualificado(48%)ydelospresupuestosorecursos(40%).Pordebajodeeseporcentaje,todavíahaycuatrorespuestasmásdiferentes.Detodoellosededucelaexistenciadeunagrandispa-ridaddecriteriosencuantoalascarenciasquetieneEspañaenelámbitodelaciberseguridadparalosprofesionalesencuestados.

AlahoradevalorarlosaspectosmásimportantesdelaECNvuelveadestacardenuevoladisparidaddecriteriosdelospanelistas.Conporcentajesquesesitúanentreel57yel36%,seencuentrancuatroafirmacionesporesteorden:laECNmejoralascapacidadesdeprevención,análisis,investigaciónyrecuperaciónfrentealosciberataques;estableceunasnormas básicas para hacer frente a las ciberamenazas; mejora la colaboración público-privada;ydotaalaciberseguridaddelaimportanciaquesemerece.Dehecho,estasca-racterísticaspodríandefinirperfectamenteelespíritudelaEstrategia.



Figura 10: Aspectos más importante destacaría de la Estrategia de Ciberseguridad Nacional.(máximo tres respuestas)

50%

60%

40%

30%

10%

20%

0%Protege los valores

constitucionales de los ciudadanos en el ciberespacio

12%

Mejora la prevención, análisis, investigación y recuperación frente

a ciberataques

57%

Impulsa nuevas iniciativas

en el ámbito internacional

2%

Mejora la colaboración

público-privada

38%

Potencia la coordinación

entre las distintas administraciones

24%

Establece normas básicas para

hacer frente a las ciberamenazas

52%

Dota a la ciberseguridad la importancia que

se merece

36%

Ayuda al desarrollo de la sociedad digital

19%

Figura 11: Aspectos que se deberían mejorar en materia de ciberseguridad en España. (máximo tres respuestas)

40%

50%

30%

20%

10%

0%Aumento de los presupuestos y

recursos

40%

33%

Claridad en la misión, roles y

responsabilidades de las administraciones

Mejor coordinación entre Administración

Pública y empresas privadas

28%

50%

Implicación de la Alta Dirección en las corporaciones

privadas

Aumento de personal cualificado

48%

Fomentar la cultura de seguridad

tecnológica

52%

19%

Mejora de la regulación en esa materia

No hay aspectos

que mejorar

0%

Conjunción de todas

las fuerzas políticas

10%

COORDINACIÓN Y COLABORACIÓN

UnavezanalizadaslasventajasylosinconvenientesdelaEstrategiadeCiberseguridadNacionalporpartedelospanelistas,llegaelturnodecomprobarsi,desdeelpuntodevistadelosencuestados,seapreciaquerealmenteseestáfomentandoeseespíritudecoordi-naciónycolaboraciónentretodoslosactoresinvolucrados.Larespuesta,comosideunaasignaturase tratase, sepodría resumirconunanotamedia:bien.Elmayorporcentaje(30%)depanelistasledanun5enunaescalade10aestacooperación.Sinembargo,lamediasubegraciasalosquelasitúanenel6yenel7.Claroquetambiénhayvarios(17%)quenolocalificaríandeaprobado,puestoquelovaloranconun3.

Conestascifras,esindudablequetodoslosencuestadoscreenqueesacolaboraciónpúblico-privadadebemejorarse.Pero,¿enquéaspectos?Sobretodoyespecialmenteenelintercambiodeinformación.Dehecho,asíloconsideracasitrescuartaspartesdelospanelistas(74%).Muypordebajolesiguenotrasaccionesquetambiénconsiderannecesariasparapotenciaresarelación,como,poresteorden,laagilizaciónysimplificacióndelostrámitesadministrativos,elaumentodepersonalcualificadoenseguridadoloscanalesdecomunicación.



10%

15%

20%

25%

30%

0%

5%

1 2 3 4 5 6 7 8 9 10

Muy deficiente Muy altoVALORACIÓN

Figura 12: Grado de colaboración público-privada en España en materia de ciberseguridad.

Figura 13: Aspectos de la colaboración que se deberían mejorar entre la Administración Pública y las empresas privadas en materia de ciberseguridad en España. (máximo tres respuestas)

Confianza mutua

24%

Coodinación de las acciones de colaboración

38%

Aumento de personal cualificado en

seguridad

43%

Agilización y simplificación de los

trámites administrativos

45%

El intercambio de información

74%

Los canales de comunicación

38%

60%

70%

50%

40%

30%

10%

20%

0%No hay

aspectos que mejorar

0%

0% 0%

17,5%

7,5%

30%

15%

22,5%

7,5%

0% 0%

Lomismosucedeenmateriadecoordinación,cuyasrespuestasestánmuyrelacionadascon lapreguntaanterior.Dehecho,porencimadel restodestacanempatadasal57% ladelimitacióndecompetenciasyresponsabilidadesyelaumentodelconocimientomutuoydelasaccionesconjuntas.Paralospanelistas,además,esimportantesimplificarelmodeloactualdecoordinaciónyaumentarlaformacióndelosresponsablesdeseguridadpública.Ahorabien,sontodasellasnecesidadesquenosólohandecaerdelladodelaAdministra-ción,sinoquetambiénlasempresashandeponerdesuparteparamejorarestosaspectosypotenciarlacolaboraciónylacoordinación.

Apesardetodaslasaccionesquesehanapuntadoporpartedelospanelistasparamejoraresarelaciónpúblico-privada,lociertoesquetodoslosencuestadosmantienenunacolabo-raciónregularconlasdistintasinstitucionespúblicasrelacionadasconlaciberseguridad.Quizá,porserelquemásdecercaseocupadeestascuestiones,el43%aseguraqueesconINCIBEconquientieneunmayortrato.Sinembargo,tambiéndestacaelMinisteriodelInteriorylasFuerzasyCuerposdeSeguridaddelEstado.Porsupuesto,nosonlosúnicos.HayotroscomoelCNI,elCNPIC,elMinisteriodeDefensaoelMandoConjuntodeCiber-defensa,aunqueenunporcentajemenor.



Figura 14: Aspectos de la coordinación que se deberían mejorar entre la Administración Pública y las empresas privadas en materia de ciberseguridad en España. (máximo tres respuestas)

Aumento de formación por parte de responsables

seguridad pública

45%

Aumento de los recursos destinados

a la coordinación

24%

Acciones de dirección en el ámbito poítico

14%

Simplificar el modelo

48%

Delimitar las competencias y

responsabilidades

57%

Aumento del conocimiento mutuo y acciones conjuntas

57%

50%

60%

40%

30%

10%

20%

0%

CNPIC

21%

FCS

28%

CERTS

7%

Otros

12%

Mando Conjunto de Ciberdefensa

5%

Ministerio de Defensa

19%

NS/NC

14%

CNI

21%

Ministerio de Interior

33%

INCIBE

43%

50%

40%

30%

10%

20%

0%

Figura 15: Con qué instituciones relacionadas con la ciberseguridad colabora en su día a día.

Acontinuación,lasrespuestasquelospanelistasdanrespectoasugradodesatisfacciónconelpapelquelosorganismospúblicosleconfierenalaciberseguridadsiguenenlalíneadelasanteriores,yponeenevidenciaesasensacióndequetodavíasepuedehacermuchomásenestecampo.Dehecho,el41%seencuentranentrepocosatisfechoynadasatisfechoconello;mientrasqueel46%declarasentirsesatisfecho,asecas.Elresto(13%)demuestraungradodesatisfacciónunpocomayor,perosinllegaralnivelmásalto,enelquenosehasituadoningúnpanelista.

Comoquedademanifiestoconlasrespuestasdelospanelistas,entodoesteámbitodeco-operaciónpúblico-privadalacomunicacióndesempeñaunpapelfundamental.Ésta,segúnlosencuestados, les llegaprincipalmentede lasAdministracionesPúblicas (74%),aunquetampocosequedanmuyatrásotrosactoresdelsectorcomolasinstitucionesprivadas(aso-ciacionesyfundaciones,principalmente)ylosfabricantesdeTI,rondandoel70%enamboscasos.Porúltimo,parecequelosmediosdecomunicaciónsemantienenenestesentidoalgomásapartados,conun52%delosencuestadosqueaseguraquerecibeinformaciónsobreciberseguridadatravésdeestavía.



Figura 17: Satisfacción con el papel que los organismos públicos le están dando a la ciberseguridad y la apuesta que están realizando por su fomento y potenciación.

20%

30%

40%

50%

0%

10%

1 2 3 4 5

Tremendamente satisfechoNada satisfecho

Figura 16: A través de qué canales recibe información en materia de ciberseguridad.

Medios de comunicación

52%

Fabricantes de TI

67%

Instituciones privadas (asociaciones,

fundaciones, etc)

69%

Administraciones públicas. INCIBE,

CCN, CNPIC...)

74%

Fuerzas y Cuerpos de

Seguridad (FCS)

24%

Otros

5%

70%

50%

40%

30%

10%

20%

0%

60%

10,2%

30,8%

46,2%

12,8%

0%

Parafinalizarestebloque,ycomoexponentemáximodelacolaboraciónpúblico-privada,hemospulsadolaopinióndelosencuestadosconrespectoalosCiberejerciciosque,desdehacevariosaños,sevienenpotenciandoporpartedeasociaciones,empresasprivadasyAdministraciónPública.Atenordelasrespuestasobtenidas,lospanelistaslosconsiderannecesariosparaprobarlossistemasfrentealosciberataques(76%);aunque,esosí,paraunporcentajeimportantedeberíanimplicaraunmayornúmerodeempresas(55%),ytendríanquecontarconmásapoyoporpartede laAdministración (40%).Losquecreenquenoaportannadaesunexiguo2%.

Analizando el bloque en conjunto, se aprecia que hay una demanda por parte de los pane-

listas para que la Administración se implique algo más en el fomento de la ciberseguridad

en nuestro país. Aunque se va por el buen camino, los pasos que se están dando son

todavía pequeños. Hay que intentar alargarlos y coger una mayor velocidad para que las

organizaciones se puedan beneficiar de las ventajas que les confiere la ciberseguridad.



No aportan nada

2%

Deberían involucrar a mayor número de

compañías

55%

Tendrían que realizarse con mayor

frecuencia

26%

Deberían contar con más apoyo de la

Adminstración Pública

40%

Son necesarios para probar los sistemas

frente a ciberataques

76%80%

70%

60%

50%

40%

30%

10%

20%

0%

Figura 18: Con qué opiniones sobre la realización de Ciberejercicios se encuentra más identificado.

PERFILES PROFESIONALES Y FORMACIÓN

EldesarrollodelaciberseguridadenEspañanosólotienequeverconlacolaboraciónentreinstitucionespúblicasyempresasprivadas.Esprecisoquelosprofesionalesdeestesectordenunpasoalfrenteparatenerunacapacitaciónadecuadaalasnecesidadesdeciberprotecciónquelasociedadensuconjuntodemanda.Precisamentedeesotrataestebloque:tenerunaideamásexactadesi laformaciónqueatesoranlosprofesionalesesadecuadaalasnecesidadesqueexigensuspuestosdetrabajo,enparticular,ylasem-presas,engeneral.

Atenordelosresultadosdelaprimeracuestión,enlaquelospanelistasvaloranlafor-macióndelosperfilesprofesionalescomparadoconlospuestosensusempresas,parecequeesdenotable.Dehecho,elgruesodelasrespuestasseconcentraentreel7yel8(44%)enunaescalade10.Porsuparte,el15%lositúaenun6;mientrasquehayotro12%queafirmaquenollegaalaprobado,pueslovaloranconun4.



Figura 19: Cómo valorala formación de los perfiles de profesionales que hay en el mercado laboral para los puestos en el área de seguridad de TI de su empresa.

10%

15%

20%

25%

30%

35%

0%

5%

1 2 3 4 5 6 7 8 9 10

Formación insuficiente Formación excelenteVALORACIÓN

2,4% 2,4%

9,8%12,2%

9,8%

14,6%

31,8%

12,2%

2,4% 2,4%

Claroquelacosacambiacuandoloqueseevalúaeslaexperienciaprofesionalconres-pectoalpuestoquesedesempeña.Aquíelbaremomedioseestableceenunbien,algomás de un punto por debajo del anterior. Y es que, quienes puntúan entre 6 y 7 estacaracterísticassuponenel53%deltotal,aloquehayqueañadirun10%paraloscualesrozaríaelaprobadoconun4yotro10%queloapruebaconun5.

Eso sí, en relación a la formación de los profesionales de seguridad de TI según susresponsabilidades profesionales, las valoraciones más repetidas sitúan la media en elnotabledenuevo,conunpredominiotambiéndel44%.Sinembargo,convienedestacarelporcentajedequienessólovaloranestarelaciónconun5,queasciendeal17%.



Figura 20: Cómo valora la experiencia profesional de las personas que hay en el mercado laboral para los puestos en el área de seguridad de TI de su empresa.

10%

15%

20%

25%

30%

0%

5%

1 2 3 4 5 6 7 8 9 10


Figura 21: En qué grado los profesionales de la seguridad de TI españoles tienen una formación acorde a sus responsabilidades.

10%

15%

20%

25%

0%

5%

1 2 3 4 5 6 7 8 9 10


0%

2,4%

7,4%

2,4%

12,2%17,1%

26,8%

14,6% 17,1%

0% 0%

2,4%

9,8% 9,8% 9,8%

24,4%

29,2%

7,3% 7,3%

0%

Comosepuedeapreciarenlastresgráficasanteriores,hayunaciertadisparidaddecrite-rios,yentodosloscasoshayporcentajesdepanelistasquenoconfierenelaprobadoenesteapartado.Esposiblequebuenaculpadeellolatengalainexistenciadeunatitulaciónoficialenseguridaddelainformación.Algoque,dehecho,seponedemanifiestoenlasiguientepregunta,puesmásdelamitaddelosencuestados(56,1%)consideranecesarialaexistenciadeestetipodetitulación.Noobstante,tambiénllamalaatenciónelporcentajedeaquéllosquenolocreennecesario,puesalcanzael36,6%.Elresto,onosabeoprefierenocontestar.

Enestebloquesobrelacapacitaciónprofesionaldelosempleadosqueríamossabertam-biénhastaquépuntovanadquiriendonuevasfuncionesquesealejandelaseguridadlógicayseaproximanmásalafísica.Analizandolosresultados,nosencontramosconquehayprácticamenteunempateentre losqueasumen tareas relacionadasconestaúltima(48,8%)ylosqueno(46,3%).Estotambiéndaunaideadequenotodaslasempre-sasestánapostandoporcontarconunaseguridadintegralenlaquelosmiembrosdeldepartamentogestionenesteconceptocomountodo.



Figura 22: Cree que sería necesario que existiera una titulación oficial otorgada por parte de las Administraciones Públicas para desempeñar esta profesión.

Sí56,1%No

36,6%

NS/NC7,3%

Figura 23: ¿En su empresa lleva a cabo funciones referentes no solo a la gestiónde la seguridad lógica, si no también física?

Sí48,8%No

46,3%

NS/NC4,9%

Lobuenoesqueparael80,5%delosencuestadoslosasuntosreferentesalaseguridadtec-nológicacuentanconelrespaldodelconsejodeadministracióndesuempresa.Setratadeunhechofundamentalparaqueesteámbitocontinúeavanzandoconmayorfuerzadentrodelasorganizaciones,yéstaslepuedandedicarmásrecursosnosóloaformacióndelosprofesionalesdelsector,sinotambiénalaconcienciacióndesuplantillaengeneral.

Pero de nada sirve una estupenda formación y un perfecto desempeño en el puesto detrabajo,sinosedotaa losprofesionalesdeestaáreadecierta libertadparaqueactúensegúnsucriterio.Esto,sinembargo,nosucedeparael41%delospanelistas,quenotienenningúnmargendemaniobraoquevenlimitadasucapacidaddedecisiónbienporlaestra-tegiadelacompañía,obienporquedependendelaposturadesuconsejodeadministra-ción.Estehechotambiénsedaenotrocuartodelospanelistas,que,aunquedicentenerlibertad,lociertoesqueantesdebencontarconelbeneplácitodesuconsejo.Parafinalizar,hayun30,8%deencuestadosquepuedentomardecisionesqueafectanaesteámbitosintenerqueconsultarloconnadieensuorganización.



Figura 24: ¿Los temas referentes a la seguridad tecnológica cuentan con el respaldo del consejo de administración de su empresa?

Sí80,5%

No14,6%

NS/NC4,9%

Figura 25: Qué margen de libertad tiene para elegir tecnologías y proveedores de cara a mejorar la salvaguarda de los activos de su empresa frente a ciberataques.

Tengo total libertad pero con aprobación del consejo de administración para

determinados proyectos25,5%

Tengo total libertad para hacer y deshacer como yo crea

conveniente30,8%

Estoy limitado por la estrategia de mi empresa

25,6%

Me encuentro limitado por las decisiones del consejo de admnistración

15,4%

Ningún margen 2,6%

La formación, por tanto, es un pilar fundamental para desarrollar la estrategia de cibersegu-ridad en cualquier empresa. Y aunque en general, en este aspecto la media se sitúa entre el bien y el notable, hay quien piensa que está más cerca del suficiente. Es algo en lo que tanto sector público como privado deberían ponerse a trabajar, bien creando una titulación oficial con materias regladas, o potenciando las certificaciones e impulsando por parte de las empresas una mayor cultura formativa en ciberseguridad.

EL PAPEL DEL CISO Y EL COMPROMISO DE LAS ORGANIZACIONES

EnestebloquehemosqueridoconocercuáleslaimportanciaqueelCISOtieneensusor-ganizacionesycómoestafuncióndebeencajarensuorganigrama.Comoavance,convieneresaltarlaopiniónmuyextendidaentrelospanelistasdequeestosdirectivosdebenparti-ciparenlasprincipalesdecisionestecnológicas,económicasydenegociorelacionadasconlaseguridad,ynoquedarseenunmeroplanotecnológico.

Alahoradereportarlasamenazasrelacionadasconlaciberseguridad,un36,6%delosencuestadosaseguraquedebencomunicarsealdepartamentodeSeguridadCorporativa;ciframuysimilaralosqueconsideranqueelreportedebehacersealdirectorgeneral(39%).MuyalejadosdeestosdatossesitúaeldepartamentodeTIyelconsejodeadministración,conun12,2%cadauno.



Figura 26: A quién cree que se deben reportar las amenazas relacionadas con la ciberseguridad.

Departamento de Seguridad Corporativa

36,6%

Dirección general39%

Departamento T112,2%

Consejo de Administración

12,2%

Llegamosenestepuntoalapreguntaclavedelbloque,yqueconsigueunamayorcoinci-denciadeopiniones.Parael65,9%delosencuestadoselpapeldelCISOenlasorganiza-cionesdebesereldeparticiparenlasprincipalesdecisionestecnológicas,económicasydenegociorelacionadasconlaseguridad.Precisamente,aglutinaresasfuncionesesloquemáspuedeaportarestafiguraasuempresa.Aunquetambiénmásdeuncuarto(26,8%)delospanelistascreequedebendarvaloralnegociointegrándoseenelconsejodeadmi-nistración.Únicamentegestionarlosriesgosdeseguridadquedarelegadaaunaposiciónsecundaria,puessólosedecantaporellael7,3%delosencuestados.

Tampocoquedamuyclaroparalosencuestadosdequiéndebedependereláreadeseguri-dadlógicaensuorganización,puestoqueel41,5%declaraqueelCISOtienequeserquienlogestione.Sinembargo,hayun36,6%queafirmaquehadesereldepartamentodeSeguridadCorporativaquiensehagacargodeestaslabores.Estomuestraelprocesodecambioqueseestáproduciendoenlascompañíasconrespectoalagestióndelaseguridadcomounenteintegralqueabarcalaproteccióndetodoaquelloquepongaenriesgolaintegridadfísicaológicadelaempresa.Porlodemás,quedependadeldirectorgeneralodeldepartamentodeTIlocontemplanmuchosmenosencuestados,porloquenosonopcionesrelevantes.



Figura 27: De quién debe depender el área de seguridad lógica en una organización.

Director de Seguridad de la Información (CISO)

41,5%

Departamento de Seguridad de la Información

7,3%

Director de TI(CIO)4,9%

Departamento de Seguridad Corporativa

36,6%

Director general4,9%

Consejo de Administración2,4% Otro

2,4%

Figura 28: Cuál es el papel que debe tener el CISO en una organización.

Participar en las principales decisiones tecnológicas, económicas y de negocio

relacionadas con la seguridad65,9%

Aportar valor al negocio integrándose en el consejo de

administración26,8%

Únicamente gestionar los riesgos de seguridad7,3%

UnavezestablecidoelroldelCISO,¿cuálesseríanlasprincipalescualidadesquedeberíatenerestecargoparadesempeñaradecuadamentesufunción?Lofundamentalparael86%esquesemantengaaldíade losriesgosytendenciasdeseguridad.Claroquetambiénresulta importanteparael60%sucapacidaddepoderhablarelmismolenguajequelosdirectivosdesuempresa,sobretodo,alahoradetomardecisionesymarcarlaestrategiaquesedebeseguirenestamateria.TambiénesfundamentalqueunCISOsepaevaluarelimpactoeconómicodelaseguridad(52%)yeducarasusempleados(50%).

Laúltimapreguntadeestebloqueesmásgenéricayconellapretendíamosconocerelgra-dodecompromisodelasempresasespañolasconlaciberseguridad.Segúnlamediadelasvaloracionesdelospanelistas,éstesesitúaenelaprobadojusto.Dehecho,lamayorpartedelaspuntuaciones,conunosporcentajesqueoscilanentreel15yel21%,estánentreel2yel7enunaescalade10.Menosrelevancia,portanto,tienenlosquevaloranesecompro-misocomomuyelevado(de8a10),justolocontrariodeaquéllosquelopuntúanconun2oun3,loscualessuperanel10%delasvaloraciones.



Figura 29: Características que debe tener un buen CISO.

60%

80%

90%

70%

50%

40%

30%

10%

20%

0%Hablar el mismo lenguaje

que los directivos de su empresa

60%

Implicar a su equipo en la

gestión

24%

Educar a los empleados

50%

Evaluar el impacto económico de la

seguridad

52%

Mantenerse al día de los riesgos y tendencias de

la seguridad

86%

10%

15%

20%

25%

0%

5%

1 2 3 4 5 6 7 8 9 10

Insuficiente Muy elevadoVALORACIÓN

Figura 30: Qué grado de compromiso cree que tienen las empresas españolas con la ciberseguridad.

2,6%

15,4%

10,3%

15,4%

20,5%17,8%

15,4%

2,6%

0% 0%

RETOS Y TENDENCIAS

Elúltimobloquedelaencuestasobreciberseguridadenlaempresaespañolaabordalastendenciasenestecampoqueyaestánempezandoaserdeterminantesyloseránaúnmásenlospróximosmeses.Laprincipalrespuestanohacesinoconfirmarloquelosexpertosllevanrepitiendoenlosúltimosaños:elincrementodelasciberamenazas.Asíloconsiderael83%;mientrasqueel78%sitúasupuntodemiraenlastecnologíasemergentescomosonelcloud,lamovilidadoelInternetdelasCosas.Muyalejadasdeestascifras,hayotrasopcionesquelospanelistastambiénhanconsideradointeresantescomolareduccióndelospresupuestosdelasempresas(36%)yloscambiosnormativos(33%).

En definitiva, el CISO debe seguir luchando por encontrar su sitio en las organizaciones; un lugar que pasa no sólo por centrarse en la detección y protección frente a las amenazas, sino también en implicarse más en el día a día del negocio. Él tiene los conocimientos, la experiencia y conoce la estrategia de la empresa. El siguiente paso es que sus responsa-bles jerárquicos superiores deleguen en él por completo la tarea de la gestión de la seguri-dad de la información. •



Figura 31: Qué tres tendencias considera que están ya causando un mayor impacto en la ciberseguridad.

Cambios normativos

33%

Tecnologías emergentes como cloud, movilidad o

Internet de las cosas

78%

Convergencia de funciones de los profesionales de

seguridad

17%

Reducción de presupuestos en

las empresas

36%

Mayor exigencia de formación en esta

materia

21%

Incremento de las ciberamenazas

83%

80%

70%

60%

50%

40%

30%

10%

20%

0%

Alahoradeestableceruntipodeamenazasquepreocupenespecialmentealosencues-tadosresultadifícilfijarunapautadecomportamiento.Esciertoquesinosatenemosalascifras,lasprimerasrespuestasqueobtienenunmayorporcentajesonlapérdidaderepu-tacióneimagendemarca,conun76%;ylafugadeinformaciónsensible,conun71%.Sinembargo,hayotrasopcionesquetambiénpreocupanalospanelistascomolosataquesalossistemascorporativos,elcibercrimen,lasAPTsolossabotajesinternos,conporcen-tajespordebajodel65%.Podemosdeducir,portanto,quelaamenazanoesúnica;esunconglomeradodesituacionesquepuedenponerenriesgolacontinuidaddelaempresa.



Activismo/Hacktivismo

21%

Ataques a los sitemas

corporativos

62%

Fuga de información

sensible

71%

40%

Sabotajes internos

33%

Espionaje industrial y vulneración

derechos propiedad industrial

Pérdida de reputación e

imagen de marca

76%

43%

ATPsCibercrimen

50%

80%

70%

10%

20%

30%

40%

50%

60%

0%

Figura 32: Cuáles son las cinco amenazas que más le preocupan.

Respectoalasegundadelasopciones,lasresponsabilidadesquedebetenereláreadeSe-guridad,encontramostambiénunagranvariedadderespuestasdiferentes.Tampocohayunaafirmaciónqueaglutineunporcentajedestacado,loquevuelveaindicarnosladistintaconcepciónquedeestedepartamentotienenlosquelocomponen.Unapruebadeelloesqueconentornoal86-74%delasrespuestasaparecentantolagestiónderiesgos;comolaproteccióndelainformación,lossistemasylascomunicaciones;lagestióndeincidentesycrisis;ylaspolíticas,losprocedimientosyelcumplimientonormativo.

Apartirdeestepuntointentamosencajarlaseguridaddentrodelaestructuradelasem-presasparticipantes,tantoendependencia,comoenactividadesyorganización.Encuantoalaprimeraopción,haydosrespuestasqueclaramentepredominan,einclusoempatanen-tresíconun36,6%.Eldepartamentodeseguridaddebedepender,porunlado,delmáximoresponsableejecutivo;yporotro,deldepartamentodeSeguridadCorporativa.Atrásquedaelconsejodeadministracióncomoórganodereferenciaenesteámbitoconun24,4%.

Políticas, procedimientos y cumplimiento

normativo

74%

Protección de información,

sistemas y comunicaciones

78%

Gestión de incidentes y

crisis

78%

Inteligencia de seguridad y

fraude

62%

Prevención de riesgos laborales (safety)

5%

Continuidad de negocio

67%

Gestión de riesgos

86%

Gestión de recursos y

presupuesto

50%

Estrategia y planificación

48%

Seguros

14%

50%

60%

70%

80%

90%

40%

30%

10%

20%

0%



Figura 34: Indique qué actividades considera que deberían ser responsabilidad de su área.

Figura 33: De qué nivel debería depender su departamento en una organización privada.

Del departamento de Seguridad Corporativa

36,6%

Del máximo responsable ejecutivo

36,6%Del Consejo de Administración

24,4%

Otros2,4%

Parafinalizar,hemosintentadopulsarotratendenciaqueseestáproduciendoenprimerlugarenlasgrandesempresasespañolas,peroquepocoapocovacalandoenotrotipodecompañías.Setratadeconcebirlaseguridadcomounmodelointegraly,comotal,debesergestionadaporeldepartamentodeSeguridadCorporativa.Dehecho,deestaformapiensael75%delosencuestados,unodelosporcentajesmásaltosdetodoelestudio.Cualquierotraopciónovariantedeestaúltimaapenasescontempladaporelrestodepanelistas.

Todas estas tendencias y retos esbozan una figura más clara de hacia dónde se debe en-caminar la gestión de la ciberseguridad en las organizaciones españolas. En primer lugar, debe depender del área de Seguridad Corporativa, prestar atención a una gran variedad de amenazas cibernéticas, para lo cual ha de hacer frente a una serie de responsabili-dades que no se pueden dejar de lado, y en las que la protección de la información y los sistemas no es lo único importante. También es fundamental la gestión de los riesgos y los incidentes y el cumplimiento normativo.



Figura 35: Cómo considera que debe organizarse la seguridad de TI en las organizaciones.

NS/NC2,5% Otros

2,5%

Bajo un modelo de Seguridad Integral y dentro del departamento de

Seguridad Corporativa75%

Bajo un modelo de Seguridad Integral pero fuera del departamento de

Seguridad Corporativa12,5%

Dentro del departamento de Sistemas de la organización

7,5%

CONCLUSIONES GENERALES

Unavezfinalizadoelestudioyanalizadoslosresultados,lapercepciónquesedesprendedeellosesunasensacióndequelasempresasestánavanzandolentamenteenmateriadeciberseguridadenEspaña,peronoacabandedespegar.Enotraspalabras,nodanelsaltoensucuadernillodenotasparapasardelbienalnotable.

Lesfaltaesepequeñoimpulsoquehadellegarnosólodelladodelaempresaprivada,sinotambiénporpartedelaAdministraciónPública.Enestesentido,lospanelistasdejanclaroconsusrespuestasqueesperanmuchomáspartedeestosorganismosparafomentarunaculturadeseguridadtecnológicanosóloenelsenodelasorganizaciones,sinotam-biénenlasociedadengeneral.Pruebadeelloesquemásdelamitaddelosencuestadosconsideranecesariaunatitulaciónoficialenseguridadtecnológica.

Yporpartedelasorganizaciones,tambiénesnecesariounprocesodeimpulsodeforma-cióndeprofesionalesenelámbitodelaciberseguridad,ydeabrirelmargendemaniobraquelasempresasestándandoaestosexpertos.Yesque,casi lamitaddeellosdeclaratenerlimitadasucapacidaddedecisiónporlaestrategiadelaempresaoporelconsejodeadministracióndeésta.

Eso,sinduda,tambiénredundaráenpotenciarelpapeldelCISOdentrodelascompa-ñías,yqueéstecadavezasumamásuna tareadegestor tecnológico,económicoydenegocioenelámbitodelaciberseguridad.Asíopinandosterciosdelosencuestados,unaciframásquesignificativaquesubrayalanecesidaddedotaraestospuestosdemayoresresponsabilidades.Deestaforma,probablemente,tambiénsecontribuiríaamejoraraúnelgradodecompromisodelasempresasespañolasconrespectoalaseguridad,cuyamediarozaelaprobadojusto.

Porúltimo,hayqueremarcarunodelosporcentajesmásaltosqueseencuentranentodalaencuesta (75%),yqueenglobaatodosaquéllosquecreenen lanecesidaddeque lostemasdeciberseguridaddependandirectamentedeláreadeSeguridadCorporativadelascompañías.

Confiemosenquelasempresas,laAdministración,lasasociacionesyotroscolectivosdeinterésenesteámbitotomenbuenanotadeestasconclusionesy,entretodos,seconsigaromperlanotamediadelbienparasituaraEspañaenelnotable.



GLOBALTECHNOLOGYConsultoría de Seguridad Global e Inteligencia

PATROCINADORES:

COLABORADORES:

SOCIOS PROTECTORES:

Este estudio ha sido realizado gracias a las aportaciones de los Socios Protectores, Patrocinadores, Colaboradores y Amigos de la Fundación Borredá, que contribuyen al cumplimiento de sus fines fundacionales al servicio de la Seguridad.

Fundación BorredáRegistro de Fundaciones nº 1461 (Orden ECD/1304/2012 de 16 de abril, BOE nº 118)

Calle Alcalá 61, 2º Derecha.28009 Madridwww.fundacionborreda.org

2015 / estudio sobre

Documents