Cada vez más empresas externalizan sus funciones de ciberseguridad

RECOMENDADOS: Tecnologías que dan al dato el protagonismo que merece (WEBINAR)  Cinco retos de la innovación en cloud Informe IT Trends 2019: La realidad digital de la empresa española Mejores prácticas para implementar una plataforma ágil Robo de credenciales: prioriza la seguridad de tus apps Instalación de Redes WiFi y LAN en Hoteles

Deloitte ha publicado el estudio “Las principales preocupaciones del CISO. El estado de la ciberseguridad en el 2019”, el cual pone de manifiesto una tendencia clara a la externalización y concentración de funciones por terceros. La mayoría de la plantilla de ciberseguridad en las empresas es personal externo, siendo este el 100% en algunos casos, y solo el 33% de las empresas cuenta con la totalidad de su personal crítico como empleado interno. Esto genera una alta dependencia de proveedores clave.

Aproximadamente la mitad de las empresas disponen de un SOC/CSIRT de forma externalizada. El 53% de las organizaciones opta por externalizar este servicio en proveedores especializados. Solo hay consenso sobre qué funciones quedan dentro de la responsabilidad de un SOC/CSIRT en el caso del análisis de malware y análisis forense. El 51% de las empresas sí que incluyen la función de análisis de malware y análisis forense dentro de las funciones de su SOC/CSIRT.

El presupuesto medio en ciberseguridad es el 8,5% del presupuesto de IT/OT. Este dato es poco homogéneo porque hay empresas que disponen de un presupuesto mucho menor y otras que su presupuesto se eleva bastante, con importantes diferencias a nivel sectorial. En cualquier caso, existe una relación directa que muestra como a mayor inversión en ciberseguridad menos ciberincidentes. Las empresas que invierten más del 10% del presupuesto de IT/OT en ciberseguridad reportan 0,63 incidentes de seguridad al año de media, mientras que las que dedican menos del 10% experimentan 3,01 incidentes por año.

El presupuesto que se dedica de media a los servicios internos es del 27%, frente a los 73% de los externalizados. Las empresas deciden invertir mayor cantidad de ingresos en protección (40,6%), después en vigilancia (25,9%), y por último en resiliencia (18,3%) y gobierno (15,1%). Este dato va variando según las empresas alcanzan niveles más altos de madurez en ciberseguridad y también en los sectores más regulados.

La mayoría de las empresas opta por la centralización de su cuerpo normativo de seguridad. En el 77% de los casos existen políticas globales Corporativas de Ciberseguridad; en el caso de empresas más pequeñas (el 33% restante) dichas políticas son de carácter local. Asimismo, la mayoría de las empresas opta por internalizar la función del DPO.

Por otra parte, la formación en ciberseguridad a los empleados de la compañía sigue siendo una asignatura pendiente en la mitad de las compañías. El 50% de los encuestados no proporciona formación presencial a sus empleados y los que sí lo hacen el 65% apuesta por la formación online, puesto que permite mayor flexibilidad horaria a los empleados y puede abaratar los costes.