¿Se puede medir la confianza digital en las empresas?
En unos años, allá por 2030, se prevé que la extensión de las redes llegue al 90% de la población mundial, que estará conectada como también lo estarán decenas de miles de millones de dispositivos IoT. Con estas perspectivas, es necesario garantizar que las soluciones digitales sean seguras, fiables y confiables. Pero, estando la tecnología y sus usos en continuo cambio, ¿cómo se mide esto?
En junio de 2021, INCIBE y el Observatorio Nacional de Tecnología y Sociedad (ONTSI) lanzaron conjuntamente un espacio especializado en ciberseguridad: ObservaCiber. Su objetivo es unificar y promover estudios en este campo para, entre otras cosas, impulsar y divulgar la importancia de la cultura de la ciberseguridad entre ciudadanos, empresas y otros grupos de interés. Fruto de esta colaboración, además de otros dosieres, se ha publicado recientemente el titulado: «Indicadores sobre confianza digital y ciberseguridad en España y la Unión Europea». En este artículo, vamos a hacernos eco de lo más destacado para las empresas españolas. Pero antes veamos otro indicador, el Índice Global de Ciberseguridad o GCI por sus siglas en inglés.
Según el Global Cybersecurity Index publicado desde 2015 por ITU (Unión Internacional de Telecomunicaciones), España en la edición de 2021 se sitúa en el 4º puesto en el ranking mundial (de 182), empatado con Singapur y la República Popular de Corea, y en el 3º (de 46) en el ranking europeo (el 2º de la UE). Su evolución en los últimos años ha sido muy positiva, es decir, España es uno de los países más comprometidos en elevar la ciberseguridad. Este indicador monitoriza este compromiso en base a un cuestionario sobre cinco pilares:
- la madurez de las leyes que abordan la seguridad y privacidad,
- el número de centros de respuesta del tipo CIRST/CERT (medidas técnicas), como por ejemplo INCIBE-CERT,
- la organización en las estrategias nacionales y protección de menores,
- el refuerzo de las capacidades humanas e institucionales,
- las acciones cooperativas que se han emprendido, como el Foro Nacional de Ciberseguridad en España.
En concreto, en el pilar de desarrollo de capacidades se evalúa la existencia de campañas de concienciación pública, de un marco de certificación y acreditación de los profesionales de la ciberseguridad, de cursos de formación profesional en ciberseguridad, de programas educativos o planes de estudios académicos, etc.
En la consulta de este último informe, el alcance de este pilar se amplió para incluir el apoyo gubernamental a la sensibilización de las pymes, ya que son actores esenciales para la economía digital y las cadenas de suministro. No cabe duda de que estamos en un tiempo de cambio hacia un mercado y una sociedad cada vez más digitales y que las pymes necesitan apoyo en la gestión de riesgos cibernéticos.
El indicador de la ITU analiza solo la ciberseguridad de las estructuras de los países. Centrándonos en el objetivo de INCIBE de elevar la ciberseguridad de las empresas analizamos los datos aportados por el dosier de ObservaCiber. En él se examina la evolución e impacto de las medidas de seguridad en la transformación digital de las empresas (y en la población) basándose en los datos de las encuestas del INE (INE Encuesta sobre el uso de TIC y del comercio electrónico en las empresas) y EUROSTAT(Eurostat ICT usage in enterprises) para los 27 países de la UE.
En su introducción recuerda lo que comprende la seguridad: «aquellas medidas, controles y procedimientos aplicados a los sistemas TIC para asegurar la integridad, autenticidad, disponibilidad y confidencialidad de los datos y sistemas. Estas medidas incluyen la protección de los riesgos físicos, lógicos y por los propios usuarios que se pueden dar en el uso de las tecnologías.»
El dosier de ObservaCiber incluye indicadores y analiza la confianza en el entorno digital en las empresas y ciudadanos. Nos fijaremos en los apartados para las empresas. Estos son algunos asuntos tratados:
El porcentaje de empresas que declara haber sufrido algún incidente que les causara indisponibilidad es muy bajo (9%), tanto en España como en Europa y disminuye para el caso de incidentes que producen destrucción o corrupción de datos. Aunque este dato procede de una encuesta, en este 9% podrían estar algunos los 133.155 incidentes gestionados por INCIBE-CERT en 2020 según el balance de ese año.
En la preparación de las empresas en ciberseguridad se ha progresado, pero existen desigualdades según el tamaño de las empresas. En este indicador se valoran:
-
Si han definido una política formal de seguridad TIC en los últimos doce meses: siendo un 25% de las empresas españolas, muy cerca del 26% de las empresas europeas, aunque todavía con mucho margen de crecimiento.
-
Si tienen documentados procedimientos preventivos, de protección de almacenamiento, acceso o procesamiento de datos, de gestión de los derechos de acceso, responsabilidades y deberes, y formación de empleados, etc. En este indicador, aunque en línea con la media europea (33%, frente a 34%) se observan diferencias según el tamaño de las empresas: 72% de las grandes frente al 32% de las medianas o el 30% de las pequeñas.
-
Si utilizan sistemas internos de ciberseguridad como los necesarios para mantener el software actualizado, hacer copias de seguridad, controlar el acceso a red, autenticarse con contraseñas robustas y con doble factor biométrico, protocolos de análisis de incidentes, VPN, auditorías, cifrado y evaluación de riesgos. Este tipo de sistemas, con diferencias entre los mencionados, en España se utilizan de media en un 96,3% de las empresas. Los datos del INE para el primer trimestre de 2020 también reflejan diferencias según el tamaño de las empresas.
-
Si contratan un seguro para hacer frente a incidentes de seguridad TIC: en España un 18% frente al 24% de media europea.
-
Si emplean personal propio para la ciberseguridad: el 38% de las empresas españolas frente al 41% de las de la UE28.
-
Si utilizan recursos externos para gestionar los riesgos de seguridad. En este indicador las empresas españolas (67%) superan a las europeas (63%) lo que puede deberse al importante número de pymes que externalizan esta gestión.
-
Si mantienen a los empleados concienciados. En España la formación en ciberseguridad es obligatoria en un 21% de las empresas frente al 24% de media europea. No obstante, destaca que sólo un 21% de las empresas españolas informa a sus empleados de sus obligaciones en la materia frente al 37% de las empresas europeas.
El dosier concluye:
«Aunque las grandes empresas y organizaciones están más preparadas para gestionar y abordar las consecuencias de riesgos de seguridad digital, los datos sugieren que este no es el caso de las pymes, y en particular de las microempresas, que puede enfrentarse a limitaciones financieras, de gestión, de habilidades y de conocimientos.
La formación y la concienciación en ciberseguridad son aspectos clave para reducir y afianzar la confianza digital.Los datos muestran que hay margen para incrementar la formación en ciberseguridad por parte de las empresas de su personal.»
De todos estos indicadores podemos mejorar algunos en el próximo informe. Proponemos a las empresas que visiten la sección de formación donde encontrarán distintas formas de concienciar a sus empleados y la sección de políticas donde encontrarán modelos de procedimientos a implantar y plantillas para informar a sus empleados de los usos correctos de la tecnología.