En este informe se recogen los principales aprendizajes tras realizar un análisis del estado de la ciberseguridad a través de la metodología de encuesta telefónica CATI (Computer Assisted Telephone Interwiew) para Pymes españolas con el objetivo de conocer el grado de seguridad percibido, nivel de conciencia, adopción de las diferentes soluciones, etc.
Se han realizado 737 entrevistas telefónicas a PYMES en el período comprendido entre el 27 de abril y el 21 de mayo de 2021.
Las principales conclusiones son:
La cultura de ciberseguridad en las Pymes
Crece la conciencia del problema pero no se acompaña de una implementación de prácticas adecuadas (aunque existen algunos indicadores de madurez). Además, hay una baja identificación con el problema.
- Elevada conciencia de la importancia de la ciberseguridad entre las Pymes españolas : 8 de cada 10 consideran la ciberseguridad como un aspecto de máxima importancia (incrementándose 7 p.p. respecto a 2019 los que la consideran muy o bastante importante).
- Existe además cierta madurez por parte de las Pymes en la identificación de riesgos para sus empresas. Más allá de mencionar el riesgo de robo de información como principal riesgo de los ciberataques, como sucedía en 2019, las Pymes son capaces de mencionar otros riesgos como pérdida de dinero o destrucción de equipos, reflejando un conocimiento más preciso.
- Sin embargo, el nivel de auto identificación con el problema es bajo: pese a que las Pymes son uno de los principales objetivos de los ciberataques, tan sólo 2 de cada 10 se ven a sí mismas como un objetivo atractivo para los ciberdelincuentes. Consideran que “no trabajan con información relevante” o “son una empresa pequeña - mediana” como para resultar de interés para los ciberatacantes.
- A pesar del enorme incremento de ataques y de los costes que puede llegar a suponer, cerca de la mitad de las PYMES considera su nivel interno de ciberseguridad como deficiente: a nivel total, 45% considera su nivel de seguridad Malo o Muy malo, es decir, estamos ante un panorama de la cultura de la ciberseguridad entre las Pymes donde existe un amplio margen de mejora.
- A pesar de un contexto marcado por el teletrabajo, 2 de cada 3 empresas no cuenta con medidas de seguridad específicas para los dispositivos personales de los trabajadores (dispositivos más usados para teletrabajar).
- Se detectan ciertos brotes de madurez en la atención dedicada a la ciberseguridad interna de la empresa a nivel de:
1) desempeño y procesos cotidianos.
2) a través del uso de almacenamiento en la nube, que parece ser una tendencia creciente y que cada vez más empresas consideran segura.
3) también el sistema de autenticación 2SV es cada vez más conocido entre las Pymes.
4) aumenta también la concienciación por parte de los empleados de la importancia de la ciberseguridad.
Con respecto a otras cuestiones no hay grandes cambios en las medidas de seguridad standard, ni en la web ni el ecommerce con respecto al año pasado. - El porcentaje de empresas que son conscientes de haber sido atacadas se mantiene en cifras mínimas (14%), probablemente derivado de una limitada capacidad de detección de ataques.
La ciberseguridad, un sector en auge
Las empresas consideran que la ciberseguridad adquirirá más relevancia en los próximos años.
- Elevada conciencia de la importancia de la ciberseguridad entre las Pymes españolas : 8 de cada 10 consideran la ciberseguridad como un aspecto de máxima importancia (incrementándose 7 p.p. respecto a 2019 los que la consideran muy o bastante importante).
- Mirando a un futuro próximo, el 55% de las empresas considera que en 5 años la ciberseguridad será más importante en su empresa.
- 1 de cada 4 planea aumentar la inversión en ciberseguridad (esta cifra es mayor en el caso de las empresas más grandes, 37%).
- Cada vez son más las empresas que externalizan la gestión de la ciberseguridad, un 54% frente al 38% de 2019, denotando cierta profesionalización del sector y la creación de todo un mercado de servicios alrededor de la ciberseguridad.
- Entre las empresas a las que se externaliza la seguridad destacan, consultoras (53%), mayoristas/ distribuidores (24%) y fabricantes (23%).
- Parece que esta tendencia hacia la externalización va a continuar ya que tan sólo un 4% de las empresas tiene intención de contratar empleados especializados en ciberseguridad los próximos años.
Medidas de seguridad adoptadas en las Pymes
- Tendencia hacia la externalización de la ciberseguridad: sube un 16% desde la edición anterior el porcentaje de pymes que externalizan sus servicios.
A diferencia de la edición anterior donde la ciberseguridad se asumía mayoritariamente de manera interna, cada vez son más las que optan por la externalización: un 54% de PYMES externalizan la seguridad a otras PYMES, denotando cierta profesionalización del sector.
Entre las empresas a las que se externaliza la seguridad destacan las consultoras (53%). - Las medidas de seguridad más extendidas entre las Pymes son las más básicas: antivirus, cortafuegos y backups de información.
Sin embargo, son pocas las empresas que cuentan con medidas de protección más avanzadas como antimalware o formación/protocolos específicos a empleados en ciberseguridad que dejarían ver una cultura de ciberseguridad más madura y consolidada.
Las empresas de mayor tamaño, muestran un nivel de madurez superior implementado más medidas de seguridad. - Aunque aumenta el número de empresas con alguna política o normativa concreta de ciberseguridad, un 58% de las Pymes aún no dispone de ninguna. Además, solo un 14% dispone de un seguro contra riesgos cibernéticos.
- Aunque casi todas las PYMES realizan controles en la actualización de ordenadores, solo la mitad los
realizan en los móviles.
Además, 4 de cada 10 empresas aún no dispone de ningún protocolo de actualización de contraseñas. - A pesar de que aumenta el conocimiento del sistema 2SV (verificación en 2 pasos), tan solo un 30% de las PYMES lo tienen implementado. Aunque se incrementa significativamente su conocimiento desde la anterior oleada.
- Casi 4 de cada 5 empresas (78%) tiene implantado el bloqueo automático de la pantalla tras un período de inactividad.
- El 42% de las empresas tiene discos duros cifrados.
- El 61% de las Pymes dispone de almacenamiento en la nube, incrementándose 10 p.p desde el año anterior.
Además, ha aumentado también la confianza en este tipo de herramientas: Un 57% los considera fiables, tan sólo a 1 de cada 10 le provoca desconfianza. - Un 46% de las empresas utilizan infraestructura de escritorios virtuales como método de acceso remoto.
Aproximadamente la mitad lo califica como bastante fiable. - 3 de cada 4 empresas (73%) utilizan el protocolo https en su página web.
Tan sólo un 6% es consciente de haber sufrido algún tipo de ataque a su página web. - La mayoría de empresas con ecommerce consideran que comprar en su web es muy seguro.
- El teletrabajo se ha visto incrementado: 42% de las empresas lo permite (frente al 16% del 2019), generando un contexto de exposición propicio a los ciberataques.
La mayoría se conecta a través de escritorios remotos o de VPN. - Incremento considerable de la concienciación de los empleados sobre la importancia de la ciberseguridad. Sin embargo, el 55% de los empleados todavía no recibe formación sobre ciberseguridad.
El futuro de la ciberseguridad
- 1 de cada 4 empresas planea incrementar la inversión en ciberseguridad en los próximos años. En el caso de las empresas más grandes este porcentaje es mayor (37%).
- No se vincula a una cuestión de imagen: un 53% no cree que la ciberseguridad pueda impactar en la imagen de su empresa.
Tan sólo el 13% de las PYMES sienten que sus clientes les exigen algún tipo de protección referente a ciberseguridad. - En España, la tendencia es la externalización del servicio: sólo un 4% de las Pymes tiene intención de contratar empleados especializados en ciberseguridad.
- Mirando a un futuro próximo, el 55% de las empresas considera que en 5 años la ciberseguridad será más importante en su empresa.