Las estadísticas nos permiten captar una cierta instantánea sobre las tendencias, intereses y preocupaciones de las empresas españolas en materia de riesgo de terceros, en particular, y sobre la ciberseguridad, en general.
Tengo tendencia a llevarme al terreno de mis intereses aquello que voy encontrando, como el zapatero que conoce a la gente por sus zapatos o el pastelero que solo ve merengues en las formas de las nubes. Así, el otro día, viendo la serie «Yellowstone», en una escena, un hijo le pregunta a su padre:
«–¿Confías en ellos? –Yo no confío en nadie. La confianza ha de ganarse.»
Así de sencillo. Y claro, yo me lo traje a la ciberseguridad. Porque podemos hablar de zero trust, de sistemas y tecnologías para conocer el estado de la seguridad de aquellos con los que te relacionas o de cuestionarios y normativas hasta que se nos gaste el aliento. Sin embargo, en última instancia, la pregunta que queda es que si un prójimo, un socio o un proveedor, no demuestra cómo es de seguro, ¿podemos confiar en él? Y si confiamos, ¿en base a qué?
En ese sentido, este año publicamos el V Estudio Empresa y Ciberseguridad de Leet Security, y estudiando la evolución estadística se constata un creciente y sostenido aumento en la preocupación sobre la ciberseguridad, en general, y de terceros en particular, donde actualmente más del 90 por ciento de los encuestados declaran estar muy preocupados por ella.
Refuerzo normativo
Y sobre esto, un detalle importante relacionado con el actual contexto normativo: los niveles de interés de la Alta Dirección también han aumentado significativamente, alcanzando un 80,2 por ciento respecto a los Consejos de Administración y un 88,3 por ciento de la Dirección General. Esto está relacionado en gran medida con el incremento de la responsabilidad de estos órganos corporativos en materia de ciberseguridad que traen las nuevas normas europeas (Reglamento DORA y Directiva NIS2).
Como sabes, ambas normas coinciden en la necesidad de mejorar los niveles de protección y respuesta de las infraestructuras tecnológicas que dan soporte a servicios esenciales para el funcionamiento de la sociedad (como los servicios financieros) y, concretamente, en dos aspectos en especial:
- La responsabilidad (Accountability) de la Alta Dirección de las organizaciones en la definición, aprobación, asignación de recursos y supervisión de un programa de seguridad adecuado a la criticidad de los servicios prestados.
- La obligación de establecer mecanismos de gestión de riesgos cíber de la cadena de suministro para asegurar que las terceras, cuartas y sucesivas partes implicadas en la provisión del servicio también implementen medidas de seguridad que eludan el riesgo de poder prestar dicho servicio.
Por tanto, es lógico pensar que, ante tanta precaución, preocupación y refuerzo normativo, hayan crecido las inversiones y las actuaciones al respecto. ¿No crees? Pues veamos qué cuentan los datos.
Ataques a terceros
Desde que comenzamos a realizar el estudio en 2017, la evolución de la superficie a proteger se ha elevado hasta alcanzar su máximo actual, consecuencia de la creciente digitalización de los modelos de negocio. En concreto, un 63,6 por ciento de los encuestados declara tener proveedores que se conectan a sus sistemas y un 60,5 por ciento afirma que tiene proveedores que gestionan su información en los propios sistemas del tercero. Este dato es especialmente crítico, considerando que los ataques relacionados con proveedores han vuelto a aumentar hasta alcanzar el 48,6 por ciento. Es decir, prácticamente una de cada dos organizaciones reconoce haber experimentado ataques originados en terceros.
Implantar programas de gestión de riesgos de terceros no es trivial
Es cierto que la mayoría de las organizaciones están avanzando en implementar programas de gestión de riesgos de terceros, orientados a disponer de información lo más fiable posible sobre su nivel de seguridad para una mejor toma de decisiones. Sin embargo, implantar estos programas no es trivial dado el volumen, la disparidad de proveedores y la escasez de recursos que habitualmente se pueden dedicar al programa. Al menos eso indican los datos:
- Área que gestiona a los proveedores. La situación de compras /aprovisionamiento se mantiene respecto al año anterior y, aunque el nivel de preocupación se mantiene (49,6 por ciento), solo el tres por ciento de las mismas tiene alguna responsabilidad en la ciberseguridad de la cadena de suministro (aunque, al menos, ha subido desde el raquítico uno por ciento de la edición anterior).
- Supervisiones. Aumenta el grado de supervisión anual del riesgo de terceros hasta alcanzar un 55,3 por ciento y se reducen hasta un siete por ciento las organizaciones que no evalúan en absoluto a sus proveedores. A pesar de ello, son mejores cifras que en ediciones anteriores, y la concienciación va funcionando; sigue siendo necesario continuar con el esfuerzo.
- Mecanismos utilizados. Es este otro aspecto que mejora, porque mientras que en ediciones anteriores el cuestionario era el mecanismo más usado, en esta edición se ha nivelado con las evaluaciones documentales y las auditorías y certificaciones de terceros. En este sentido, observamos cómo los procesos de gestión de riesgo de terceros aumentan su nivel de madurez, ampliando los mecanismos utilizados, a la par que decrece la confianza que se deposita en las certificaciones de sistemas de gestión (en un 28,7 por ciento, el mínimo de la serie).
Respecto a este último punto, y ante el reto de implementar una «seguridad interdependiente» en todo el ecosistema que asegure una mejora del nivel de protección de toda la cadena de suministro − dado que las certificaciones se enfrentan al reto de la normalización de líneas base para un número casi infinito de casos de uso−, la calificación de ciberseguridad es utilizada por uno de cada cuatro encuestados (un aumento del 55 por ciento respecto a la edición anterior) para conocer de manera eficiente y construir indicadores del nivel de seguridad de todo su ecosistema productivo. De hecho, un análisis detallado de las calificaciones emitidas señala una mejora en la ciberseguridad de los servicios calificados, como indica el continuo desplazamiento hacia notas más altas, año tras año.
Inversión en ciberseguridad
Entonces, ¿está aumentando la inversión en ciberseguridad? La respuesta corta es sí, pero… Tal y como indica el gráfico de evolución de las inversiones en ciberseguridad, claramente hay un aumento, y sí parece que finalmente las entidades están invirtiendo allí donde dicen que les duele o les preocupa, pero otra cosa es que esté acorde al nivel de preocupación reflejado o al contexto normativo o tecnológico actual. Yo ya tengo curiosidad por ver cómo afectarán los actuales cambios en marcha a los resultados del próximo estudio. ¿Y tú? Si quieres conocer con más detalle los datos del estudio, cada uno de los realizados están a tu disposición en la sección de documentación de Leet Security, incluido el más reciente.
