2015 / estudio sobre
TRANSCRIPT
ESTUDIO CIBERSEGURIDAD EN LAS ORGANIZACIONES ESPAÑOLAS 2015
ÍNDICE
Introducción 3
Tipología 4
ModelodeSeguridadNacional 8
Coordinaciónycolaboración 11
Perfilesprofesionalesyformación 15
ElpapeldelCISOyelcompromisodelasorganizaciones 19
Retosytendencias 22
Conclusionesgenerales 26
Estudio: Ciberseguridad en las organizaciones españolasEdición: 2015Edita: Fundación BorredáRegistro de Fundaciones nº 1.461(Orden ECD/1304/2012 de 16 abril, BOE nº 118)
Calle Alcalá 61 2º Derecha. 28009 Madrid. Tel. +34 1 309 04 54 www.fundacionborreda.org
©2015 Fundación Borredá
Fundación Borredá no autoriza la reproducción total o parcial de los textos e ilustraciones del estudio sin previa autorización por escrito. Fundación Borredá autoriza la consulta, visualización y utilización de los contenidos del informe siempre y cuando se cite la fuente.
INTRODUCCIÓN
LaaprobaciónporpartedelGobiernoendiciembrede2013delaEstrategiadeCibersegu-ridadNacional(ECN)marcóunantesyundespuésenlaluchacontralosciberataques.Yesquenosóloestableciólaslíneasmaestrasdelosprincipiosrectoresdelaciberseguridadnacional conelnombramientode losorganismos encargados dedesarrollar ygestionarestaEstrategia;sinoquetambiénactúadepiedraangulara lahorade trabajarconjun-tamenteparaprotegerlosactivosdigitalesyfomentarasílacooperacióndesdedistintospuntosdevista.
Enprimerlugar,enelámbitointernacional,quesedebetraducirenaunaresfuerzosentretodoslospaísesparaelaboraryadoptarestándaresglobales,expandirlacapacidaddelsis-temajurídicointernacionalypotenciarlaalertaylarespuestaanteincidentescibernéticos.Peroademásesacooperacióntambiéndebeproducirseespecialmenteconlosciudadanos,losprofesionalesylasempresasdenuestropaís.Dehecho,laEstrategiaestablecelanece-sidaddeacometeraccionesdeinformaciónysensibilizaciónacercadelosriesgosdelci-berespacio.Asimismo,impulsalanecesidaddedisponerdelosconocimientosapropiadosyelaccesoalasherramientasadecuadasqueposibilitenunaprotecciónefectiva.Enotraspalabras,esnecesariopromoverunasólidaculturadelaciberseguridad.
Precisamente,conelfindeconocersiestaideaestácalandoenlasorganizaciones,cómoseintegraensuestructura,dequéformaestáncolaborandoconlaAdministraciónyquéexpectativasde futuro tiene laprofesión, laFundaciónBorredáhaelaborado laprimeraedicióndel Estudio sobre ciberseguridad en las organizaciones españolas.Parasuelabora-ciónsehadirigidouncuestionarioauntotaldecienempresas,quesuponeunamuestrarepresentativadelsector.Entrelaspreguntasescogidasseincluyenalgunasreferentesalposicionamientodelosresponsablesdeseguridaddentrodesupropiaempresa.Elgradodeparticipacióndelasfirmasseleccionadasparaesteestudiohaascendidoal42%.
ESTUDIO CIBERSEGURIDAD 2015. ANÁLISIS 3
ESTUDIO CIBERSEGURIDAD EN LAS ORGANIZACIONES ESPAÑOLAS 2015
TIPOLOGÍA
Antesdeiniciarelanálisisdelosresultadospropiamentedicho,sehandesgranadoalgu-nasdelascaracterísticasprincipalesdelospanelistasparaconoceralgunosdatosmásso-bresuedad,perfilprofesionalyformativo,puestoquedesempeñaensuempresayquiénessonsussuperioresjerárquicos.
Loqueprimerollamalaatencióndelosdatosreferentesalperfilprofesionaleslavariedadde lospanelistas.HanrespondidoelmismoporcentajededirectivosdeSeguridad(18%)quedeconsultores;mientrasquetambiénserepitelacifradeCISO(14%)ydeprofesionalespertenecientesaempresasproveedorasdeseguridad.Elhechodequeningúnperfilpro-fesionalpredominedemasiadosobreelrestopotencialaobjetividaddelosresultadosdelestudio,puestoquelasrespuestasobtenidassonmáshomogéneasynoestántancondi-cionadasporeltipodeprofesionalquelasresponda.
4 ESTUDIO CIBERSEGURIDAD 2015. ANÁLISIS
ESTUDIO CIBERSEGURIDAD EN LAS ORGANIZACIONES ESPAÑOLAS 2015 ESTUDIO CIBERSEGURIDAD EN LAS ORGANIZACIONES ESPAÑOLAS 2015
Figura 1: Perfil profesional.
Directivo de Seguridad18%
Director de Seguridad de la Información (CISO)
14%
Director de TI (CIO)12%
Empresa proveedora de seguridad
14%
Consultora18%
Fuerzas y cuerpos de Seguridad
2%
Dpto./ Área de Seguridad8%
Administración8%
Otros6%
Precisamente,ydebidoaesegradodeexperienciaque,porsuedad,tienenlospanelistas,loscargosprofesionalesdeéstossesitúanenlamásaltajerarquíadentrodesusrespectivascompañías.Noenvano,casiel45%delosparticipantessondirectoresdedepartamentooárea,deloscualesun32,6%tienenunpuestoenelconsejodeadministración.Losjefesdeárea(16,3%)ylosmandosintermedios(14%)completanestegráficoconunamenorpresencia.
Encambio,síhayunpredominioclarodepanelistasconunaedadsuperioralos40años.Dehecho,suponemásdel75%delamuestraquehaparticipado,deloscualesel28,5%superanlos50añosdeedad.Setrata,portanto,deotrodatointeresante,puestoquelospanelistasaportanasusrespuestaselconocimientoquelesproporcionasuexperiencia.Aquéllosquetienenentre30y40añossuponenel21,5%,mientrasquelosmenoresde30apenastienenunarepresentaciónsignificativa(2,5%).
ESTUDIO CIBERSEGURIDAD 2015. ANÁLISIS 5
ESTUDIO CIBERSEGURIDAD EN LAS ORGANIZACIONES ESPAÑOLAS 2015
Figura 2: Edad.
Más de 50 años28,5%
De 40 a 50 años47,5%
De 30 a 40 años21,5%
Hasta 30 años2,5%
Figura 3: Grado profesional en la organización.
Director de departamento / área, sin puesto en el Consejo
de Dirección11,5% Jefe de Área
16,3%
Director de departamento / área, con puesto en el
Consejo de Dirección32,6%
Técnico9,3%
Director general9,3%
Mando intermedio
14%
Otros7%
El principal destinatario del reporte del trabajo que realizan los panelistas en susempresaseseldirectordeárea(35,6%),seguidodecercaporeldirectorgeneral(31%).Estasdosfiguras,dehecho,estánbastanteporencimadelconsejodeadministración,aquienreportantansóloun20%delosencuestados.Comocuriosidad,un2,2%ase-guranoreportaranadie.
Laformaciónsuperioresotrodelosaspectosdestacadosquedefinenlamuestradeen-cuestadosquehancolaboradoen laelaboracióndeesteestudio.Casi lamitaddeellos(48%)cuentacongrados,licenciaturasoingenieríassuperioresotécnicas.Esto,además,secomplementaconaquéllosquetienenunaformaciónposgrado,loscualessoncasiunacuartapartedeltotal(24%).Pocapresenciatienen,encambio,losencuestadosquetienentítulosuniversitariosdegradomedio(14%)yestudiosdeformaciónprofesional(8%).
6 ESTUDIO CIBERSEGURIDAD 2015. ANÁLISIS
ESTUDIO CIBERSEGURIDAD EN LAS ORGANIZACIONES ESPAÑOLAS 2015 ESTUDIO CIBERSEGURIDAD EN LAS ORGANIZACIONES ESPAÑOLAS 2015
Figura 5: Formación académica.
Figura 4: A quién reporta.
Consejo de Dirección
20%
Director general31%
A nadie2,2%
Clientes2,2%
A nadie4,5%
Otros4,5%
Director de Área35,6%
NS/NC2%
Post-grado24%
Grado48%
Titulo universitario grado medio14%
Formación profesional8%
Bachiller4%
Parafinalizar laspreguntas inicialessobre la tipologíadepanelistas,hemospuestoelfocoenlatrayectoriaprofesionaldelosencuestados,conclaropredominioderesponsabi-lidadesvinculadasconeldepartamentodeSeguridad(39,6%),seguidoporeldeSistemas(28,3%).Muypordetrássesitúanlosprofesionalesquealolargodesutrayectoriahanocu-padoposicionesenladireccióngeneral(11,3%)ycomotécnicoinformático(11,3%).
En resumen, el perfil de panelista predominante es el de un director de departamento o director general, con una edad superior a los 40 años, licenciado o ingeniero, y con una trayectoria profesional muy vinculada al área de Seguridad y Sistemas.
ESTUDIO CIBERSEGURIDAD 2015. ANÁLISIS 7
ESTUDIO CIBERSEGURIDAD EN LAS ORGANIZACIONES ESPAÑOLAS 2015
Figura 6: Trayectoria profesional.
Departamento de Sistemas
28,3%
Departamento de Seguridad
39,6%
Técnico informático11,3%
Dirección general11,3%
Comunicación y RRPP3,9%Otros
5,7%
MODELO DE SEGURIDAD NACIONAL
Elprimerbloquedepreguntassecentraenelestadode laciberseguridadennuestropaís,sobretodoaraízdelaaprobaciónporpartedelGobiernodelaEstrategiadeCiber-seguridadNacional.Delanálisisdelosresultadossedesprendenconclusionesinteresan-tes,comoquehayunporcentajedepanelistas(22%)queconsideranaEspañaavanzadaenmateriadeciberseguridad;mientrasaqueotronúmeromuysimilar(24,4%)lesparecepocoavanzada.Portanto,noresultaextrañoquelaopiniónpredominantesealadesa-tisfactoria(46,3%).Estodaunaideadelaheterogeneidaddeideasqueexistensobrelaredaccióny losobjetivosde laEstrategia.Dehecho, incluso,haycasiun5%queveanuestropaísretrasadoenesteaspecto.
8 ESTUDIO CIBERSEGURIDAD 2015. ANÁLISIS
ESTUDIO CIBERSEGURIDAD EN LAS ORGANIZACIONES ESPAÑOLAS 2015 ESTUDIO CIBERSEGURIDAD EN LAS ORGANIZACIONES ESPAÑOLAS 2015
Figura 7: Cómo considera a España en materia de ciberseguridad.
Muy avanzada
Retrasada
4,9%
Insuficiente
2,4%
Poco avanzada
24,4%
Satisfactoria
46,3%
22%
Avanzada
50%
45%
40%
35%
30%
25%
20%
15%
5%
10%
0%
EnloquesíparecehaberconsensoesenlaimportanciaquetienelaseguridadtecnológicaenelsistemadeproteccióndeinfraestructurascríticasenEspaña.Lamayoríadelospane-listaslocalificanporencimade7enunaescalade10.
Estos datos son perfectamente asimilables a la Estrategia de Ciberseguridad Nacional,puesto que prácticamente coinciden en todos sus porcentajes. Esto, cuando menos, esunhechoqueresultacurioso,puesparecedejarde ladootrasvariablesnorelacionadasdirectamenteconlaECN,comoelpapelquepuedanestardesempeñandolasempresasprivadaso losproveedoresdetecnologíaparafomentar laciberseguridadenEspaña.Almenos,comotal,lascifrasnodejanconstanciadeello.
ESTUDIO CIBERSEGURIDAD 2015. ANÁLISIS 9
ESTUDIO CIBERSEGURIDAD EN LAS ORGANIZACIONES ESPAÑOLAS 2015
Figura 9: Grado de importancia de la seguridad tecnológica en el sistema de Protección de Infraestructuras Críticas en España.
20%
30%
40%
50%
0%
10%
1 2 3 4 5 6 7 8 9 10
Ninguna MáximaVALORACIÓN
Figura 8: Cómo valora la Estrategia de Ciberseguridad Nacional.
50%
45%
40%
35%
30%
25%
20%
15%
5%
10%
0%
2,4%
Muy avanzada
24,4%
Avanzada
46,3%
Satisfactoria
22%
Poco avanzada
4,9%
Insuficiente
0%
Retrasada
0% 0% 0%
5 % 0% 2,5% 5%
22,5% 17,5%
47,5%
EncuantoalosaspectosquesepodríanmejorarenmateriadeciberseguridadenEspañaseencuentra,porencimadetodos,fomentarlaculturadeseguridadtecnológica(52%).LesiguenlaimplicacióndelaAltaDirecciónenlascorporacionesprivadas(50%),elaumentodepersonalcualificado(48%)ydelospresupuestosorecursos(40%).Pordebajodeeseporcentaje,todavíahaycuatrorespuestasmásdiferentes.Detodoellosededucelaexistenciadeunagrandispa-ridaddecriteriosencuantoalascarenciasquetieneEspañaenelámbitodelaciberseguridadparalosprofesionalesencuestados.
AlahoradevalorarlosaspectosmásimportantesdelaECNvuelveadestacardenuevoladisparidaddecriteriosdelospanelistas.Conporcentajesquesesitúanentreel57yel36%,seencuentrancuatroafirmacionesporesteorden:laECNmejoralascapacidadesdeprevención,análisis,investigaciónyrecuperaciónfrentealosciberataques;estableceunasnormas básicas para hacer frente a las ciberamenazas; mejora la colaboración público-privada;ydotaalaciberseguridaddelaimportanciaquesemerece.Dehecho,estasca-racterísticaspodríandefinirperfectamenteelespíritudelaEstrategia.
10 ESTUDIO CIBERSEGURIDAD 2015. ANÁLISIS
ESTUDIO CIBERSEGURIDAD EN LAS ORGANIZACIONES ESPAÑOLAS 2015 ESTUDIO CIBERSEGURIDAD EN LAS ORGANIZACIONES ESPAÑOLAS 2015
Figura 10: Aspectos más importante destacaría de la Estrategia de Ciberseguridad Nacional.(máximo tres respuestas)
50%
60%
40%
30%
10%
20%
0%Protege los valores
constitucionales de los ciudadanos en el ciberespacio
12%
Mejora la prevención, análisis, investigación y recuperación frente
a ciberataques
57%
Impulsa nuevas iniciativas
en el ámbito internacional
2%
Mejora la colaboración
público-privada
38%
Potencia la coordinación
entre las distintas administraciones
24%
Establece normas básicas para
hacer frente a las ciberamenazas
52%
Dota a la ciberseguridad la importancia que
se merece
36%
Ayuda al desarrollo de la sociedad digital
19%
Figura 11: Aspectos que se deberían mejorar en materia de ciberseguridad en España. (máximo tres respuestas)
40%
50%
30%
20%
10%
0%Aumento de los presupuestos y
recursos
40%
33%
Claridad en la misión, roles y
responsabilidades de las administraciones
Mejor coordinación entre Administración
Pública y empresas privadas
28%
50%
Implicación de la Alta Dirección en las corporaciones
privadas
Aumento de personal cualificado
48%
Fomentar la cultura de seguridad
tecnológica
52%
19%
Mejora de la regulación en esa materia
No hay aspectos
que mejorar
0%
Conjunción de todas
las fuerzas políticas
10%
COORDINACIÓN Y COLABORACIÓN
UnavezanalizadaslasventajasylosinconvenientesdelaEstrategiadeCiberseguridadNacionalporpartedelospanelistas,llegaelturnodecomprobarsi,desdeelpuntodevistadelosencuestados,seapreciaquerealmenteseestáfomentandoeseespíritudecoordi-naciónycolaboraciónentretodoslosactoresinvolucrados.Larespuesta,comosideunaasignaturase tratase, sepodría resumirconunanotamedia:bien.Elmayorporcentaje(30%)depanelistasledanun5enunaescalade10aestacooperación.Sinembargo,lamediasubegraciasalosquelasitúanenel6yenel7.Claroquetambiénhayvarios(17%)quenolocalificaríandeaprobado,puestoquelovaloranconun3.
Conestascifras,esindudablequetodoslosencuestadoscreenqueesacolaboraciónpúblico-privadadebemejorarse.Pero,¿enquéaspectos?Sobretodoyespecialmenteenelintercambiodeinformación.Dehecho,asíloconsideracasitrescuartaspartesdelospanelistas(74%).Muypordebajolesiguenotrasaccionesquetambiénconsiderannecesariasparapotenciaresarelación,como,poresteorden,laagilizaciónysimplificacióndelostrámitesadministrativos,elaumentodepersonalcualificadoenseguridadoloscanalesdecomunicación.
ESTUDIO CIBERSEGURIDAD 2015. ANÁLISIS 11
ESTUDIO CIBERSEGURIDAD EN LAS ORGANIZACIONES ESPAÑOLAS 2015
10%
15%
20%
25%
30%
0%
5%
1 2 3 4 5 6 7 8 9 10
Muy deficiente Muy altoVALORACIÓN
Figura 12: Grado de colaboración público-privada en España en materia de ciberseguridad.
Figura 13: Aspectos de la colaboración que se deberían mejorar entre la Administración Pública y las empresas privadas en materia de ciberseguridad en España. (máximo tres respuestas)
Confianza mutua
24%
Coodinación de las acciones de colaboración
38%
Aumento de personal cualificado en
seguridad
43%
Agilización y simplificación de los
trámites administrativos
45%
El intercambio de información
74%
Los canales de comunicación
38%
60%
70%
50%
40%
30%
10%
20%
0%No hay
aspectos que mejorar
0%
0% 0%
17,5%
7,5%
30%
15%
22,5%
7,5%
0% 0%
Lomismosucedeenmateriadecoordinación,cuyasrespuestasestánmuyrelacionadascon lapreguntaanterior.Dehecho,porencimadel restodestacanempatadasal57% ladelimitacióndecompetenciasyresponsabilidadesyelaumentodelconocimientomutuoydelasaccionesconjuntas.Paralospanelistas,además,esimportantesimplificarelmodeloactualdecoordinaciónyaumentarlaformacióndelosresponsablesdeseguridadpública.Ahorabien,sontodasellasnecesidadesquenosólohandecaerdelladodelaAdministra-ción,sinoquetambiénlasempresashandeponerdesuparteparamejorarestosaspectosypotenciarlacolaboraciónylacoordinación.
Apesardetodaslasaccionesquesehanapuntadoporpartedelospanelistasparamejoraresarelaciónpúblico-privada,lociertoesquetodoslosencuestadosmantienenunacolabo-raciónregularconlasdistintasinstitucionespúblicasrelacionadasconlaciberseguridad.Quizá,porserelquemásdecercaseocupadeestascuestiones,el43%aseguraqueesconINCIBEconquientieneunmayortrato.Sinembargo,tambiéndestacaelMinisteriodelInteriorylasFuerzasyCuerposdeSeguridaddelEstado.Porsupuesto,nosonlosúnicos.HayotroscomoelCNI,elCNPIC,elMinisteriodeDefensaoelMandoConjuntodeCiber-defensa,aunqueenunporcentajemenor.
12 ESTUDIO CIBERSEGURIDAD 2015. ANÁLISIS
ESTUDIO CIBERSEGURIDAD EN LAS ORGANIZACIONES ESPAÑOLAS 2015 ESTUDIO CIBERSEGURIDAD EN LAS ORGANIZACIONES ESPAÑOLAS 2015
Figura 14: Aspectos de la coordinación que se deberían mejorar entre la Administración Pública y las empresas privadas en materia de ciberseguridad en España. (máximo tres respuestas)
Aumento de formación por parte de responsables
seguridad pública
45%
Aumento de los recursos destinados
a la coordinación
24%
Acciones de dirección en el ámbito poítico
14%
Simplificar el modelo
48%
Delimitar las competencias y
responsabilidades
57%
Aumento del conocimiento mutuo y acciones conjuntas
57%
50%
60%
40%
30%
10%
20%
0%
CNPIC
21%
FCS
28%
CERTS
7%
Otros
12%
Mando Conjunto de Ciberdefensa
5%
Ministerio de Defensa
19%
NS/NC
14%
CNI
21%
Ministerio de Interior
33%
INCIBE
43%
50%
40%
30%
10%
20%
0%
Figura 15: Con qué instituciones relacionadas con la ciberseguridad colabora en su día a día.
Acontinuación,lasrespuestasquelospanelistasdanrespectoasugradodesatisfacciónconelpapelquelosorganismospúblicosleconfierenalaciberseguridadsiguenenlalíneadelasanteriores,yponeenevidenciaesasensacióndequetodavíasepuedehacermuchomásenestecampo.Dehecho,el41%seencuentranentrepocosatisfechoynadasatisfechoconello;mientrasqueel46%declarasentirsesatisfecho,asecas.Elresto(13%)demuestraungradodesatisfacciónunpocomayor,perosinllegaralnivelmásalto,enelquenosehasituadoningúnpanelista.
Comoquedademanifiestoconlasrespuestasdelospanelistas,entodoesteámbitodeco-operaciónpúblico-privadalacomunicacióndesempeñaunpapelfundamental.Ésta,segúnlosencuestados, les llegaprincipalmentede lasAdministracionesPúblicas (74%),aunquetampocosequedanmuyatrásotrosactoresdelsectorcomolasinstitucionesprivadas(aso-ciacionesyfundaciones,principalmente)ylosfabricantesdeTI,rondandoel70%enamboscasos.Porúltimo,parecequelosmediosdecomunicaciónsemantienenenestesentidoalgomásapartados,conun52%delosencuestadosqueaseguraquerecibeinformaciónsobreciberseguridadatravésdeestavía.
ESTUDIO CIBERSEGURIDAD 2015. ANÁLISIS 13
ESTUDIO CIBERSEGURIDAD EN LAS ORGANIZACIONES ESPAÑOLAS 2015
Figura 17: Satisfacción con el papel que los organismos públicos le están dando a la ciberseguridad y la apuesta que están realizando por su fomento y potenciación.
20%
30%
40%
50%
0%
10%
1 2 3 4 5
Tremendamente satisfechoNada satisfecho
Figura 16: A través de qué canales recibe información en materia de ciberseguridad.
Medios de comunicación
52%
Fabricantes de TI
67%
Instituciones privadas (asociaciones,
fundaciones, etc)
69%
Administraciones públicas. INCIBE,
CCN, CNPIC...)
74%
Fuerzas y Cuerpos de
Seguridad (FCS)
24%
Otros
5%
70%
50%
40%
30%
10%
20%
0%
60%
10,2%
30,8%
46,2%
12,8%
0%
Parafinalizarestebloque,ycomoexponentemáximodelacolaboraciónpúblico-privada,hemospulsadolaopinióndelosencuestadosconrespectoalosCiberejerciciosque,desdehacevariosaños,sevienenpotenciandoporpartedeasociaciones,empresasprivadasyAdministraciónPública.Atenordelasrespuestasobtenidas,lospanelistaslosconsiderannecesariosparaprobarlossistemasfrentealosciberataques(76%);aunque,esosí,paraunporcentajeimportantedeberíanimplicaraunmayornúmerodeempresas(55%),ytendríanquecontarconmásapoyoporpartede laAdministración (40%).Losquecreenquenoaportannadaesunexiguo2%.
Analizando el bloque en conjunto, se aprecia que hay una demanda por parte de los pane-
listas para que la Administración se implique algo más en el fomento de la ciberseguridad
en nuestro país. Aunque se va por el buen camino, los pasos que se están dando son
todavía pequeños. Hay que intentar alargarlos y coger una mayor velocidad para que las
organizaciones se puedan beneficiar de las ventajas que les confiere la ciberseguridad.
14 ESTUDIO CIBERSEGURIDAD 2015. ANÁLISIS
ESTUDIO CIBERSEGURIDAD EN LAS ORGANIZACIONES ESPAÑOLAS 2015 ESTUDIO CIBERSEGURIDAD EN LAS ORGANIZACIONES ESPAÑOLAS 2015
No aportan nada
2%
Deberían involucrar a mayor número de
compañías
55%
Tendrían que realizarse con mayor
frecuencia
26%
Deberían contar con más apoyo de la
Adminstración Pública
40%
Son necesarios para probar los sistemas
frente a ciberataques
76%80%
70%
60%
50%
40%
30%
10%
20%
0%
Figura 18: Con qué opiniones sobre la realización de Ciberejercicios se encuentra más identificado.
PERFILES PROFESIONALES Y FORMACIÓN
EldesarrollodelaciberseguridadenEspañanosólotienequeverconlacolaboraciónentreinstitucionespúblicasyempresasprivadas.Esprecisoquelosprofesionalesdeestesectordenunpasoalfrenteparatenerunacapacitaciónadecuadaalasnecesidadesdeciberprotecciónquelasociedadensuconjuntodemanda.Precisamentedeesotrataestebloque:tenerunaideamásexactadesi laformaciónqueatesoranlosprofesionalesesadecuadaalasnecesidadesqueexigensuspuestosdetrabajo,enparticular,ylasem-presas,engeneral.
Atenordelosresultadosdelaprimeracuestión,enlaquelospanelistasvaloranlafor-macióndelosperfilesprofesionalescomparadoconlospuestosensusempresas,parecequeesdenotable.Dehecho,elgruesodelasrespuestasseconcentraentreel7yel8(44%)enunaescalade10.Porsuparte,el15%lositúaenun6;mientrasquehayotro12%queafirmaquenollegaalaprobado,pueslovaloranconun4.
ESTUDIO CIBERSEGURIDAD 2015. ANÁLISIS 15
ESTUDIO CIBERSEGURIDAD EN LAS ORGANIZACIONES ESPAÑOLAS 2015
Figura 19: Cómo valorala formación de los perfiles de profesionales que hay en el mercado laboral para los puestos en el área de seguridad de TI de su empresa.
10%
15%
20%
25%
30%
35%
0%
5%
1 2 3 4 5 6 7 8 9 10
Formación insuficiente Formación excelenteVALORACIÓN
2,4% 2,4%
9,8%12,2%
9,8%
14,6%
31,8%
12,2%
2,4% 2,4%
Claroquelacosacambiacuandoloqueseevalúaeslaexperienciaprofesionalconres-pectoalpuestoquesedesempeña.Aquíelbaremomedioseestableceenunbien,algomás de un punto por debajo del anterior. Y es que, quienes puntúan entre 6 y 7 estacaracterísticassuponenel53%deltotal,aloquehayqueañadirun10%paraloscualesrozaríaelaprobadoconun4yotro10%queloapruebaconun5.
Eso sí, en relación a la formación de los profesionales de seguridad de TI según susresponsabilidades profesionales, las valoraciones más repetidas sitúan la media en elnotabledenuevo,conunpredominiotambiéndel44%.Sinembargo,convienedestacarelporcentajedequienessólovaloranestarelaciónconun5,queasciendeal17%.
16 ESTUDIO CIBERSEGURIDAD 2015. ANÁLISIS
ESTUDIO CIBERSEGURIDAD EN LAS ORGANIZACIONES ESPAÑOLAS 2015 ESTUDIO CIBERSEGURIDAD EN LAS ORGANIZACIONES ESPAÑOLAS 2015
Figura 20: Cómo valora la experiencia profesional de las personas que hay en el mercado laboral para los puestos en el área de seguridad de TI de su empresa.
10%
15%
20%
25%
30%
0%
5%
1 2 3 4 5 6 7 8 9 10
Formación insuficiente Formación excelenteVALORACIÓN
Figura 21: En qué grado los profesionales de la seguridad de TI españoles tienen una formación acorde a sus responsabilidades.
10%
15%
20%
25%
0%
5%
1 2 3 4 5 6 7 8 9 10
Formación insuficiente Formación excelenteVALORACIÓN
0%
2,4%
7,4%
2,4%
12,2%17,1%
26,8%
14,6% 17,1%
0% 0%
2,4%
9,8% 9,8% 9,8%
24,4%
29,2%
7,3% 7,3%
0%
Comosepuedeapreciarenlastresgráficasanteriores,hayunaciertadisparidaddecrite-rios,yentodosloscasoshayporcentajesdepanelistasquenoconfierenelaprobadoenesteapartado.Esposiblequebuenaculpadeellolatengalainexistenciadeunatitulaciónoficialenseguridaddelainformación.Algoque,dehecho,seponedemanifiestoenlasiguientepregunta,puesmásdelamitaddelosencuestados(56,1%)consideranecesarialaexistenciadeestetipodetitulación.Noobstante,tambiénllamalaatenciónelporcentajedeaquéllosquenolocreennecesario,puesalcanzael36,6%.Elresto,onosabeoprefierenocontestar.
Enestebloquesobrelacapacitaciónprofesionaldelosempleadosqueríamossabertam-biénhastaquépuntovanadquiriendonuevasfuncionesquesealejandelaseguridadlógicayseaproximanmásalafísica.Analizandolosresultados,nosencontramosconquehayprácticamenteunempateentre losqueasumen tareas relacionadasconestaúltima(48,8%)ylosqueno(46,3%).Estotambiéndaunaideadequenotodaslasempre-sasestánapostandoporcontarconunaseguridadintegralenlaquelosmiembrosdeldepartamentogestionenesteconceptocomountodo.
ESTUDIO CIBERSEGURIDAD 2015. ANÁLISIS 17
ESTUDIO CIBERSEGURIDAD EN LAS ORGANIZACIONES ESPAÑOLAS 2015
Figura 22: Cree que sería necesario que existiera una titulación oficial otorgada por parte de las Administraciones Públicas para desempeñar esta profesión.
Sí56,1%No
36,6%
NS/NC7,3%
Figura 23: ¿En su empresa lleva a cabo funciones referentes no solo a la gestiónde la seguridad lógica, si no también física?
Sí48,8%No
46,3%
NS/NC4,9%
Lobuenoesqueparael80,5%delosencuestadoslosasuntosreferentesalaseguridadtec-nológicacuentanconelrespaldodelconsejodeadministracióndesuempresa.Setratadeunhechofundamentalparaqueesteámbitocontinúeavanzandoconmayorfuerzadentrodelasorganizaciones,yéstaslepuedandedicarmásrecursosnosóloaformacióndelosprofesionalesdelsector,sinotambiénalaconcienciacióndesuplantillaengeneral.
Pero de nada sirve una estupenda formación y un perfecto desempeño en el puesto detrabajo,sinosedotaa losprofesionalesdeestaáreadecierta libertadparaqueactúensegúnsucriterio.Esto,sinembargo,nosucedeparael41%delospanelistas,quenotienenningúnmargendemaniobraoquevenlimitadasucapacidaddedecisiónbienporlaestra-tegiadelacompañía,obienporquedependendelaposturadesuconsejodeadministra-ción.Estehechotambiénsedaenotrocuartodelospanelistas,que,aunquedicentenerlibertad,lociertoesqueantesdebencontarconelbeneplácitodesuconsejo.Parafinalizar,hayun30,8%deencuestadosquepuedentomardecisionesqueafectanaesteámbitosintenerqueconsultarloconnadieensuorganización.
18 ESTUDIO CIBERSEGURIDAD 2015. ANÁLISIS
ESTUDIO CIBERSEGURIDAD EN LAS ORGANIZACIONES ESPAÑOLAS 2015 ESTUDIO CIBERSEGURIDAD EN LAS ORGANIZACIONES ESPAÑOLAS 2015
Figura 24: ¿Los temas referentes a la seguridad tecnológica cuentan con el respaldo del consejo de administración de su empresa?
Sí80,5%
No14,6%
NS/NC4,9%
Figura 25: Qué margen de libertad tiene para elegir tecnologías y proveedores de cara a mejorar la salvaguarda de los activos de su empresa frente a ciberataques.
Tengo total libertad pero con aprobación del consejo de administración para
determinados proyectos25,5%
Tengo total libertad para hacer y deshacer como yo crea
conveniente30,8%
Estoy limitado por la estrategia de mi empresa
25,6%
Me encuentro limitado por las decisiones del consejo de admnistración
15,4%
Ningún margen 2,6%
La formación, por tanto, es un pilar fundamental para desarrollar la estrategia de cibersegu-ridad en cualquier empresa. Y aunque en general, en este aspecto la media se sitúa entre el bien y el notable, hay quien piensa que está más cerca del suficiente. Es algo en lo que tanto sector público como privado deberían ponerse a trabajar, bien creando una titulación oficial con materias regladas, o potenciando las certificaciones e impulsando por parte de las empresas una mayor cultura formativa en ciberseguridad.
EL PAPEL DEL CISO Y EL COMPROMISO DE LAS ORGANIZACIONES
EnestebloquehemosqueridoconocercuáleslaimportanciaqueelCISOtieneensusor-ganizacionesycómoestafuncióndebeencajarensuorganigrama.Comoavance,convieneresaltarlaopiniónmuyextendidaentrelospanelistasdequeestosdirectivosdebenparti-ciparenlasprincipalesdecisionestecnológicas,económicasydenegociorelacionadasconlaseguridad,ynoquedarseenunmeroplanotecnológico.
Alahoradereportarlasamenazasrelacionadasconlaciberseguridad,un36,6%delosencuestadosaseguraquedebencomunicarsealdepartamentodeSeguridadCorporativa;ciframuysimilaralosqueconsideranqueelreportedebehacersealdirectorgeneral(39%).MuyalejadosdeestosdatossesitúaeldepartamentodeTIyelconsejodeadministración,conun12,2%cadauno.
ESTUDIO CIBERSEGURIDAD 2015. ANÁLISIS 19
ESTUDIO CIBERSEGURIDAD EN LAS ORGANIZACIONES ESPAÑOLAS 2015
Figura 26: A quién cree que se deben reportar las amenazas relacionadas con la ciberseguridad.
Departamento de Seguridad Corporativa
36,6%
Dirección general39%
Departamento T112,2%
Consejo de Administración
12,2%
Llegamosenestepuntoalapreguntaclavedelbloque,yqueconsigueunamayorcoinci-denciadeopiniones.Parael65,9%delosencuestadoselpapeldelCISOenlasorganiza-cionesdebesereldeparticiparenlasprincipalesdecisionestecnológicas,económicasydenegociorelacionadasconlaseguridad.Precisamente,aglutinaresasfuncionesesloquemáspuedeaportarestafiguraasuempresa.Aunquetambiénmásdeuncuarto(26,8%)delospanelistascreequedebendarvaloralnegociointegrándoseenelconsejodeadmi-nistración.Únicamentegestionarlosriesgosdeseguridadquedarelegadaaunaposiciónsecundaria,puessólosedecantaporellael7,3%delosencuestados.
Tampocoquedamuyclaroparalosencuestadosdequiéndebedependereláreadeseguri-dadlógicaensuorganización,puestoqueel41,5%declaraqueelCISOtienequeserquienlogestione.Sinembargo,hayun36,6%queafirmaquehadesereldepartamentodeSeguridadCorporativaquiensehagacargodeestaslabores.Estomuestraelprocesodecambioqueseestáproduciendoenlascompañíasconrespectoalagestióndelaseguridadcomounenteintegralqueabarcalaproteccióndetodoaquelloquepongaenriesgolaintegridadfísicaológicadelaempresa.Porlodemás,quedependadeldirectorgeneralodeldepartamentodeTIlocontemplanmuchosmenosencuestados,porloquenosonopcionesrelevantes.
20 ESTUDIO CIBERSEGURIDAD 2015. ANÁLISIS
ESTUDIO CIBERSEGURIDAD EN LAS ORGANIZACIONES ESPAÑOLAS 2015 ESTUDIO CIBERSEGURIDAD EN LAS ORGANIZACIONES ESPAÑOLAS 2015
Figura 27: De quién debe depender el área de seguridad lógica en una organización.
Director de Seguridad de la Información (CISO)
41,5%
Departamento de Seguridad de la Información
7,3%
Director de TI(CIO)4,9%
Departamento de Seguridad Corporativa
36,6%
Director general4,9%
Consejo de Administración2,4% Otro
2,4%
Figura 28: Cuál es el papel que debe tener el CISO en una organización.
Participar en las principales decisiones tecnológicas, económicas y de negocio
relacionadas con la seguridad65,9%
Aportar valor al negocio integrándose en el consejo de
administración26,8%
Únicamente gestionar los riesgos de seguridad7,3%
UnavezestablecidoelroldelCISO,¿cuálesseríanlasprincipalescualidadesquedeberíatenerestecargoparadesempeñaradecuadamentesufunción?Lofundamentalparael86%esquesemantengaaldíade losriesgosytendenciasdeseguridad.Claroquetambiénresulta importanteparael60%sucapacidaddepoderhablarelmismolenguajequelosdirectivosdesuempresa,sobretodo,alahoradetomardecisionesymarcarlaestrategiaquesedebeseguirenestamateria.TambiénesfundamentalqueunCISOsepaevaluarelimpactoeconómicodelaseguridad(52%)yeducarasusempleados(50%).
Laúltimapreguntadeestebloqueesmásgenéricayconellapretendíamosconocerelgra-dodecompromisodelasempresasespañolasconlaciberseguridad.Segúnlamediadelasvaloracionesdelospanelistas,éstesesitúaenelaprobadojusto.Dehecho,lamayorpartedelaspuntuaciones,conunosporcentajesqueoscilanentreel15yel21%,estánentreel2yel7enunaescalade10.Menosrelevancia,portanto,tienenlosquevaloranesecompro-misocomomuyelevado(de8a10),justolocontrariodeaquéllosquelopuntúanconun2oun3,loscualessuperanel10%delasvaloraciones.
ESTUDIO CIBERSEGURIDAD 2015. ANÁLISIS 21
ESTUDIO CIBERSEGURIDAD EN LAS ORGANIZACIONES ESPAÑOLAS 2015
Figura 29: Características que debe tener un buen CISO.
60%
80%
90%
70%
50%
40%
30%
10%
20%
0%Hablar el mismo lenguaje
que los directivos de su empresa
60%
Implicar a su equipo en la
gestión
24%
Educar a los empleados
50%
Evaluar el impacto económico de la
seguridad
52%
Mantenerse al día de los riesgos y tendencias de
la seguridad
86%
10%
15%
20%
25%
0%
5%
1 2 3 4 5 6 7 8 9 10
Insuficiente Muy elevadoVALORACIÓN
Figura 30: Qué grado de compromiso cree que tienen las empresas españolas con la ciberseguridad.
2,6%
15,4%
10,3%
15,4%
20,5%17,8%
15,4%
2,6%
0% 0%
RETOS Y TENDENCIAS
Elúltimobloquedelaencuestasobreciberseguridadenlaempresaespañolaabordalastendenciasenestecampoqueyaestánempezandoaserdeterminantesyloseránaúnmásenlospróximosmeses.Laprincipalrespuestanohacesinoconfirmarloquelosexpertosllevanrepitiendoenlosúltimosaños:elincrementodelasciberamenazas.Asíloconsiderael83%;mientrasqueel78%sitúasupuntodemiraenlastecnologíasemergentescomosonelcloud,lamovilidadoelInternetdelasCosas.Muyalejadasdeestascifras,hayotrasopcionesquelospanelistastambiénhanconsideradointeresantescomolareduccióndelospresupuestosdelasempresas(36%)yloscambiosnormativos(33%).
En definitiva, el CISO debe seguir luchando por encontrar su sitio en las organizaciones; un lugar que pasa no sólo por centrarse en la detección y protección frente a las amenazas, sino también en implicarse más en el día a día del negocio. Él tiene los conocimientos, la experiencia y conoce la estrategia de la empresa. El siguiente paso es que sus responsa-bles jerárquicos superiores deleguen en él por completo la tarea de la gestión de la seguri-dad de la información. •
22 ESTUDIO CIBERSEGURIDAD 2015. ANÁLISIS
ESTUDIO CIBERSEGURIDAD EN LAS ORGANIZACIONES ESPAÑOLAS 2015 ESTUDIO CIBERSEGURIDAD EN LAS ORGANIZACIONES ESPAÑOLAS 2015
Figura 31: Qué tres tendencias considera que están ya causando un mayor impacto en la ciberseguridad.
Cambios normativos
33%
Tecnologías emergentes como cloud, movilidad o
Internet de las cosas
78%
Convergencia de funciones de los profesionales de
seguridad
17%
Reducción de presupuestos en
las empresas
36%
Mayor exigencia de formación en esta
materia
21%
Incremento de las ciberamenazas
83%
80%
70%
60%
50%
40%
30%
10%
20%
0%
Alahoradeestableceruntipodeamenazasquepreocupenespecialmentealosencues-tadosresultadifícilfijarunapautadecomportamiento.Esciertoquesinosatenemosalascifras,lasprimerasrespuestasqueobtienenunmayorporcentajesonlapérdidaderepu-tacióneimagendemarca,conun76%;ylafugadeinformaciónsensible,conun71%.Sinembargo,hayotrasopcionesquetambiénpreocupanalospanelistascomolosataquesalossistemascorporativos,elcibercrimen,lasAPTsolossabotajesinternos,conporcen-tajespordebajodel65%.Podemosdeducir,portanto,quelaamenazanoesúnica;esunconglomeradodesituacionesquepuedenponerenriesgolacontinuidaddelaempresa.
ESTUDIO CIBERSEGURIDAD 2015. ANÁLISIS 23
ESTUDIO CIBERSEGURIDAD EN LAS ORGANIZACIONES ESPAÑOLAS 2015
Activismo/Hacktivismo
21%
Ataques a los sitemas
corporativos
62%
Fuga de información
sensible
71%
40%
Sabotajes internos
33%
Espionaje industrial y vulneración
derechos propiedad industrial
Pérdida de reputación e
imagen de marca
76%
43%
ATPsCibercrimen
50%
80%
70%
10%
20%
30%
40%
50%
60%
0%
Figura 32: Cuáles son las cinco amenazas que más le preocupan.
Respectoalasegundadelasopciones,lasresponsabilidadesquedebetenereláreadeSe-guridad,encontramostambiénunagranvariedadderespuestasdiferentes.Tampocohayunaafirmaciónqueaglutineunporcentajedestacado,loquevuelveaindicarnosladistintaconcepciónquedeestedepartamentotienenlosquelocomponen.Unapruebadeelloesqueconentornoal86-74%delasrespuestasaparecentantolagestiónderiesgos;comolaproteccióndelainformación,lossistemasylascomunicaciones;lagestióndeincidentesycrisis;ylaspolíticas,losprocedimientosyelcumplimientonormativo.
Apartirdeestepuntointentamosencajarlaseguridaddentrodelaestructuradelasem-presasparticipantes,tantoendependencia,comoenactividadesyorganización.Encuantoalaprimeraopción,haydosrespuestasqueclaramentepredominan,einclusoempatanen-tresíconun36,6%.Eldepartamentodeseguridaddebedepender,porunlado,delmáximoresponsableejecutivo;yporotro,deldepartamentodeSeguridadCorporativa.Atrásquedaelconsejodeadministracióncomoórganodereferenciaenesteámbitoconun24,4%.
Políticas, procedimientos y cumplimiento
normativo
74%
Protección de información,
sistemas y comunicaciones
78%
Gestión de incidentes y
crisis
78%
Inteligencia de seguridad y
fraude
62%
Prevención de riesgos laborales (safety)
5%
Continuidad de negocio
67%
Gestión de riesgos
86%
Gestión de recursos y
presupuesto
50%
Estrategia y planificación
48%
Seguros
14%
50%
60%
70%
80%
90%
40%
30%
10%
20%
0%
24 ESTUDIO CIBERSEGURIDAD 2015. ANÁLISIS
ESTUDIO CIBERSEGURIDAD EN LAS ORGANIZACIONES ESPAÑOLAS 2015 ESTUDIO CIBERSEGURIDAD EN LAS ORGANIZACIONES ESPAÑOLAS 2015
Figura 34: Indique qué actividades considera que deberían ser responsabilidad de su área.
Figura 33: De qué nivel debería depender su departamento en una organización privada.
Del departamento de Seguridad Corporativa
36,6%
Del máximo responsable ejecutivo
36,6%Del Consejo de Administración
24,4%
Otros2,4%
Parafinalizar,hemosintentadopulsarotratendenciaqueseestáproduciendoenprimerlugarenlasgrandesempresasespañolas,peroquepocoapocovacalandoenotrotipodecompañías.Setratadeconcebirlaseguridadcomounmodelointegraly,comotal,debesergestionadaporeldepartamentodeSeguridadCorporativa.Dehecho,deestaformapiensael75%delosencuestados,unodelosporcentajesmásaltosdetodoelestudio.Cualquierotraopciónovariantedeestaúltimaapenasescontempladaporelrestodepanelistas.
Todas estas tendencias y retos esbozan una figura más clara de hacia dónde se debe en-caminar la gestión de la ciberseguridad en las organizaciones españolas. En primer lugar, debe depender del área de Seguridad Corporativa, prestar atención a una gran variedad de amenazas cibernéticas, para lo cual ha de hacer frente a una serie de responsabili-dades que no se pueden dejar de lado, y en las que la protección de la información y los sistemas no es lo único importante. También es fundamental la gestión de los riesgos y los incidentes y el cumplimiento normativo.
ESTUDIO CIBERSEGURIDAD 2015. ANÁLISIS 25
ESTUDIO CIBERSEGURIDAD EN LAS ORGANIZACIONES ESPAÑOLAS 2015
Figura 35: Cómo considera que debe organizarse la seguridad de TI en las organizaciones.
NS/NC2,5% Otros
2,5%
Bajo un modelo de Seguridad Integral y dentro del departamento de
Seguridad Corporativa75%
Bajo un modelo de Seguridad Integral pero fuera del departamento de
Seguridad Corporativa12,5%
Dentro del departamento de Sistemas de la organización
7,5%
CONCLUSIONES GENERALES
Unavezfinalizadoelestudioyanalizadoslosresultados,lapercepciónquesedesprendedeellosesunasensacióndequelasempresasestánavanzandolentamenteenmateriadeciberseguridadenEspaña,peronoacabandedespegar.Enotraspalabras,nodanelsaltoensucuadernillodenotasparapasardelbienalnotable.
Lesfaltaesepequeñoimpulsoquehadellegarnosólodelladodelaempresaprivada,sinotambiénporpartedelaAdministraciónPública.Enestesentido,lospanelistasdejanclaroconsusrespuestasqueesperanmuchomáspartedeestosorganismosparafomentarunaculturadeseguridadtecnológicanosóloenelsenodelasorganizaciones,sinotam-biénenlasociedadengeneral.Pruebadeelloesquemásdelamitaddelosencuestadosconsideranecesariaunatitulaciónoficialenseguridadtecnológica.
Yporpartedelasorganizaciones,tambiénesnecesariounprocesodeimpulsodeforma-cióndeprofesionalesenelámbitodelaciberseguridad,ydeabrirelmargendemaniobraquelasempresasestándandoaestosexpertos.Yesque,casi lamitaddeellosdeclaratenerlimitadasucapacidaddedecisiónporlaestrategiadelaempresaoporelconsejodeadministracióndeésta.
Eso,sinduda,tambiénredundaráenpotenciarelpapeldelCISOdentrodelascompa-ñías,yqueéstecadavezasumamásuna tareadegestor tecnológico,económicoydenegocioenelámbitodelaciberseguridad.Asíopinandosterciosdelosencuestados,unaciframásquesignificativaquesubrayalanecesidaddedotaraestospuestosdemayoresresponsabilidades.Deestaforma,probablemente,tambiénsecontribuiríaamejoraraúnelgradodecompromisodelasempresasespañolasconrespectoalaseguridad,cuyamediarozaelaprobadojusto.
Porúltimo,hayqueremarcarunodelosporcentajesmásaltosqueseencuentranentodalaencuesta (75%),yqueenglobaatodosaquéllosquecreenen lanecesidaddeque lostemasdeciberseguridaddependandirectamentedeláreadeSeguridadCorporativadelascompañías.
Confiemosenquelasempresas,laAdministración,lasasociacionesyotroscolectivosdeinterésenesteámbitotomenbuenanotadeestasconclusionesy,entretodos,seconsigaromperlanotamediadelbienparasituaraEspañaenelnotable.
26 ESTUDIO CIBERSEGURIDAD 2015. ANÁLISIS
ESTUDIO CIBERSEGURIDAD EN LAS ORGANIZACIONES ESPAÑOLAS 2015
GLOBALTECHNOLOGYConsultoría de Seguridad Global e Inteligencia
PATROCINADORES:
COLABORADORES:
SOCIOS PROTECTORES:
Este estudio ha sido realizado gracias a las aportaciones de los Socios Protectores, Patrocinadores, Colaboradores y Amigos de la Fundación Borredá, que contribuyen al cumplimiento de sus fines fundacionales al servicio de la Seguridad.
Fundación BorredáRegistro de Fundaciones nº 1461 (Orden ECD/1304/2012 de 16 de abril, BOE nº 118)
Calle Alcalá 61, 2º Derecha.28009 Madridwww.fundacionborreda.org