El 62% de las organizaciones no informa de los ciberataques

  • ITDigitalSecurity
ISACA

El último informe de investigación anual de ISACA pone el foco en los desafíos a los que se enfrentan las organizaciones. Sobresalen el número y severidad de las ciberamenazas, la escasez de talento y las bajas partidas presupuestarias.

El 62% de las organizaciones no informa de los ciberataques. Así lo asegura el último informe de investigación anual de ISACA, State of Cybersecurity 2023, Actualización Global sobre Esfuerzos de Fuerza Laboral, Recursos y Ciberoperaciones, en el que se analiza el panorama de la ciberseguridad a día de hoy y los retos que aborda el sector.

Con opiniones de más de 2.000 responsables de seguridad de todo el mundo, el informe, patrocinado por Adobe, también muestra que el gran desafío de la industria sigue siendo la retención de empleados. De hecho, aunque se han producido algunos avances en la retención de empleados, sigue quedando mucho trabajo por hacer para alcanzar los niveles necesarios de especialistas que necesitan. Y es que, más de la mitad (56%) de los responsables de ciberseguridad afirman tener dificultades para retener a profesionales cualificados en este campo, aunque esta cifra ha descendido cuatro puntos con respecto al año pasado.

Existe una creciente necesidad de expandir la fuerza laboral en ciberseguridad, principalmente debido a la falta de ocupación de ciertos puestos o la demora en su ocupación y, al mismo tiempo, tienen que lidiar con que las ciberamenazas tienen un impacto cada vez mayor en las organizaciones.

Según han apuntado los expertos de ISACA durante su encuentro con medios, para abordar la escasez de personal es necesario crear más posiciones de nivel inicial para que aquellos que completen un programa de formación en ciberseguridad puedan obtener experiencia laboral.

Además, aseguran que “las competencias interpersonales siguen siendo una de las mayores carencias, tanto en Europa como el resto del mundo”. Se necesitan profesionales más integrales, con conocimientos empresariales y capacidad para comunicarse y resolver problemas” afirmó Pablo Ballarín, Emerging Trends Working Group en ISACA.

¿Qué tiene que tener un experto en ciberseguridad?

Estudios universitarios, certificaciones y experiencia práctica. Estas son las bases necesarias para ser un profesional de la ciberseguridad a día de hoy. “Pero no vale con eso, cada vez son más importantes las relaciones interpersonales y la capacidad de hacer entender a todos la problemática que se vive día a día en ciberseguridad y entender los problemas del negocio” añade Gustavo Frega, Regional Success Manager en ISACA.

Hablar de talento en el sector es hablar de uno de los mayores desafíos a corto y medio plazo. Falta mucha gente, pero además esos perfiles avanzan en su formación mucho más despacio de lo que lo hace la demanda en la industria. Sin duda, como ha explicado Frega a los medios: “La carencia más grande está en la especialización”.

Al contratar, los encuestados dicen que buscan las siguientes cinco principales habilidades técnicas en los profesionales de ciberseguridad:

  • Gestión de identidad y acceso (49%)
  • Computación en la nube (48%)
  • Protección de datos (44%)
  • Respuesta a incidentes (44%)
  • DevSecOps (36%)

En cuanto a las aptitudes interpersonales, la comunicación (58%), el pensamiento crítico (54%), la resolución de problemas (49%), el trabajo en equipo (45%) y la atención al detalle (36%) son las cinco aptitudes que más buscan los empleadores en los candidatos a puestos de ciberseguridad. Las habilidades de empatía (13%) y honestidad (17%) son las menos importantes, un dato digno de mención dado que el 62% de los encuestados cree que las organizaciones no denuncian los ciberdelitos.

Para mitigar estas carencias de conocimientos técnicos, los encuestados indican que sus tres enfoques principales son la formación de personal no especializado en seguridad que esté interesado en desempeñar funciones de seguridad (45%), el aumento del uso de empleados contratados o consultores externos (38%) y el aumento del uso de programas de reciclaje (21%). A la hora de abordar las carencias en competencias no técnicas, las organizaciones están aprovechando los sitios web de aprendizaje en línea (53%), la tutoría (46%), los eventos de formación corporativa (42%) y el reembolso de matrículas académicas (20%), aunque el uso del reembolso de matrículas ha descendido cuatro puntos porcentuales.

Problemas en ciberseguridad: las ciberamenazas, la falta de talento y de presupuesto afectan cada vez al sector

Y si hablamos de preocupaciones en ciberseguridad no podemos olvidarnos de las amenazas y la falta de presupuesto, un combo que no augura nada nuevo y que está suponiendo un gran problema para las empresas que, cada vez, sufren más ataques. De hecho, casi el 48% indica que su organización está sufriendo más ciberataques que hace un año.  A pesar del difícil panorama de las amenazas, sólo el 42% tiene un alto grado de confianza en la capacidad de su equipo de ciberseguridad para detectar y responder a las ciberamenazas.

Las tres principales preocupaciones en materia de ataques siguen siendo las mismas que el año pasado: la reputación de la empresa (79%), la violación de datos (69%) y la interrupción de la cadena de suministro (55%). Los encuestados también indicaron que la ingeniería social (15%) sigue siendo el principal tipo de ciberataque que experimentan, lo que supone un aumento de dos puntos porcentuales. Le siguen:

  • Amenazas persistentes avanzadas (11%)
  • Ransomware (10%)
  • Desconfiguración de la seguridad (10%)
  • Sistema sin parchear (10%)
  • Denegación de servicio (9%)
  • Exposición de datos confidenciales (9%)

A pesar del incremento de ciberataques, el número de denuncias de estos apenas ha variado y las empresas de todo el mundo siguen preocupadas por la posibilidad de que un ataque dañe su reputación, la violación de datos y la interrupción de la cadena de suministro. Tanto es así que, como decíamos al inicio, son muchas las empresas (62%) que no informan a la hora de sufrir un ciberataque o informan parcialmente para cumplir con las normativas, pero disminuir el posible daño reputacional que pueda ocasionar el incidente.

Desirée Rodríguez