La ciberseguridad es cada vez más importante para la mediana empresa española, con la resiliencia operativa, la protección de los datos y la formación en seguridad como los aspectos que más inquietud genera a sus responsables de TI. Sin embargo, su preocupación no se ve acompañada de una inversión adecuada, ya que el gasto medio en ciberseguridad solo representa el 4% del presupuesto que dedican a TI. Esta es una de las conclusiones del I Barómetro de la Ciberseguridad en la Mediana Empresa, que acaba de publicar Cylum, la unidad de negocio de Factum.
Este documento, que ofrece una visión sobre su estado de madurez en ciberseguridad, destaca que los niveles de inversión están por debajo de lo que se espera si se quiere abordar los desafíos de un panorama de amenazas complejo y en constante evolución. En este sentido, un 40% de ellas dedican, en la actualidad, entre un 3 y un 5% de su presupuesto general de TI, mientras que otro 40% dice dedicar más de un 5% de la partida total. Del total de empresas encuestadas, un 60% planea mantener los fondos actuales dedicados a esta materia, y un 40% ya tiene planes para incrementar su presupuesto en los próximos meses.
“Aunque aumenta la importancia de la ciberseguridad en las medianas empresas, el gasto destinado a su protección sigue siendo muy bajo si lo comparamos con las necesidades actuales y la magnitud de los ciberataques”, apunta Iosu Arrizabalaga, CEO de Factum.
La brecha en ciberseguridad
La falta de inversión en ciberseguridad se debe al nivel de madurez en ciberseguridad, a la que el 60% de los responsables de TI apuntan como nivel incipiente, lo que significa una implementación de medidas básicas, sin procesos formalizados, por lo que requieren capacitación, inversión en infraestructura y mejores prácticas de seguridad. Esto puede deberse, tal y como señala el 60% de estos profesionales, a la falta de apoyo de la alta dirección de sus empresas, que califican entre moderado y bajo, y a la escasez de recursos. Además, señala la creciente preocupación de los directivos de IT consultados por aspectos como la resiliencia de sus operaciones y la protección de datos, así como la creciente dificultad para encontrar talento en ciberseguridad.
En un nivel de protección intermedio se encuentran el 40% restante. Estas empresas cuentan con estrategias definidas, pero con áreas de mejora, como la necesidad de centrarse en fortalecer sus políticas, la monitorización y la capacidad de respuesta ante incidentes, para avanzar a un nivel superior de protección.
Otra de las conclusiones es que, aunque parte de las empresas optan por la externalización de servicios de TI, existe un 60% que no cuenta con proveedores especializados en seguridad.
