La falta de formación está detrás del 70 % de los ciberataques

Ha ocurrido con el robo de datos de grandes bancos, de gigantes comerciales, en servicios sanitarios, en la administración pública y también en la Justicia. La última noticia es de hace apenas unos días, cuando un ciberataque dejó sin servicio al mayor tribunal de los Estados Unidos. Algunos estudios apuntan a que España es el país europeo que más ciberataques recibe (del orden del 5 % mundial) y los expertos nombran entre las razones de estas cifras que los delincuentes consiguen sus objetivos. ¿Por qué?

El Informe global sobre la brecha de competencias en ciberseguridad 2024 de Fortinet viene a arrojar luz sobre el incremento de la ciberdelincuencia en los últimos tiempos. El estudio certifica que casi el 90 % de las organizaciones a nivel global han sufrido algún tipo de brecha e seguridad en el último año y que eso se puede atribuir parcialmente a la falta de competencias en ciberseguridad. De hecho, el 70 % achaca a esta razón el aumento de los riesgos en ciberseguridad.

A través de una encuesta a un total de 1.850 responsables en tecnología y comunicaciones de organizaciones de 29 países, incluyendo España, el informe dibuja un mapa sobre la ciberseguridad y sus debilidades en el que priman tres factores. El 58 % de los entrevistados nombran la falta de competencias y la formación necesaria en el personal de sistemas. Otro 56 % lo achaca a una falta de compromiso de la organización y de su plantilla en lo que a seguridad se refiere, y otro 54 % cree que las brechas de ciberseguridad tienen que ver con la ausencia de tecnología y productos orientados a reforzarla.

De hecho, siete de cada diez responsables de sistemas encuestados están de acuerdo con que una falta de competencias en ciberseguridad crea riesgos adicionales para las organizaciones y el 62 % de quienes toman las decisiones en materia de tecnología creen que el mayor desafío es, precisamente, encontrar perfiles laborales con experiencia específica en ingeniería de sistemas y ciberseguridad. 

Las consecuencias de una brecha en la ciberseguridad son variadas y su impacto es relevante, desde generar problemas financieros a impedir el normal desarrollo de la actividad hasta afectar a la reputación corporativa. 

La mitad de los responsables que han participado en la encuesta de Fortinet han cifrado las pérdidas por los ciberataques en su organización en más de un millón de euros por pérdida de ingresos, multas y otros gastos derivados de las brechas de seguridad, dos puntos por encima del informe del 2023 y doce más que hace dos años. 

Según el último informe del Ministerio de Hacienda, se estima en 30.000 millones de euros el perjuicio económico derivado de la ciberdelincuencia en las empresas españolas. 

Y además, generan responsabilidades. El informe correspondiente al año 2024 revela que los directivos de las empresas asumen cada vez más responsabilidades en lo que a los ciberataques se refiere, y el 51 % ha enumerado consecuencias como multas, penas de cárcel y pérdida del empleo tras una brecha de seguridad. 

La más habitual es asumir multas tras una brecha de seguridad digital en la empresa (el 34 % de los directivos la han nombrado), seguido de la pérdida del puesto de trabajo, que ocurre en un 33 % de los casos. Otro 16 % se ha enfrentado a consecuencias penales tras un ciberataque. Y esas consecuencias son más habituales en las empresas de Asia (58 %), mientras que son menos comunes en Norteamérica (44 %). 

La depuración de responsabilidades es más habitual en las empresas de tamaño medio (el 59 % de las organizaciones de entre 2.500 y 5.000 empleados) que entre las firmas con plantillas menores y las más numerosas. En concreto, el 48 % de las organizaciones de menos de mil trabajadores y las de más de 5.000 han informado de que los responsables se han enfrentado a la depuración de de responsabilidades tras una brecha en la ciberseguridad. 

La estimación del sector es que hacen falta cuatro millones de profesionales para cubrir el creciente déficit en el ámbito de la ciberseguridad y las estadísticas refuerzan la necesidad de reforzar estas áreas en el corto plazo. En el último año, el 87 % de los encuestados reconocieron haber sufrido una brecha de seguridad que se puede atribuir, al menos parcialmente, a la falta de formación en ciberseguridad de las plantillas. Son tres puntos más que en el informe correspondiente al 2023 y siete más en comparación con el informe del año 2022.

La formación continua y las certificaciones son altamente valoradas por los equipos de recursos humanos. El 90 % prefiere perfiles laborales que cuenten con certificaciones en materia de ciberseguridad, ya que creen que mejoran la seguridad. Tanto, que el 89 % de las empresas encuestadas para el informe de Fortinet afirman estar dispuestas a  invertir dinero en formación para que un empleado obtuviese alguna certificación en ciberseguridad.

La importancia de la formación se refleja en la estadística: el 71 % de las organizaciones siguen exigiendo titulaciones de cuatro años y dos tercios reconocen que solo contratan a candidatos con formación tradicional. 

Es que encontrar este perfil de candidatos no es fácil, ya que alrededor del 70 % de las empresas afirman que es difícil encontrar candidatos con certificaciones tecnológicas y, ante la escasez de profesiones,de ciberseguridad, algunas organizaciones toman la decisión de diversificar.

Por eso se incluyen candidatos cuyas competencias están fuera de las tradicionales con el objetivo de atraer nuevo talento y cubrir esas vacantes. Desde Fortinet afirman que modificar los requisitos de contratación puede abrir nuevas posibilidades, especialmente si las organizaciones están dispuestas a invertir en la formación y las certificaciones de su plantilla. Y, según el Informe global sobre la brecha de competencias en ciberseguridad 2024, parece que es así. 

Los consejos de administración empiezan a ver como una prioridad la ciberseguridad y el 72 % de los encuestados ha indicado que en el último año los responsables de sus organizaciones se han centrado más en esta cuestión en comparación con el año anterior. Es más, el 97 % afirma que su consejo de administración ha asumido la ciberseguridad como una prioridad empresarial. 

Entre las mejoras que se han discutido en el último año está la formación obligatoria en ciberseguridad y/o certificaciones para el personal de sistemas y seguridad, según nombran el 64 % de los responsables entrevistados. La formación para concienciar sobre seguridad en el conjunto de la plantilla ha sido la segunda medida más implementada (61 %) y, finalmente, las empresas apuestan por la adquisición de más y mejores herramientas de ciberseguridad. (59 %).

«En España, el 88 % de los consejos de administración han aumentado su enfoque en la ciberseguridad, por encima de otros países de nuestro entorno», afirma Acacio Martín, vicepresidente de Fortinet Iberia, lo que viene a demostrar, además del compromiso en la protección contra amenazas digitales, «la mayor concienciación sobre su impacto en la continuidad del negocio y en la confianza de clientes y stakeholders».

Hace falta más formación, según los datos que se desprenden del informe presentado por Fortinet. En términos generales, el 67 % de los encuestados afirman que es difícil encontrar profesionales con certificaciones tecnológicas. En España ese porcentaje se eleva hasta el 80 %. 

La atracción de talento es otra de las necesidades que identifican las organizaciones españolas. El 92 % de los encuestados ha afirmado que en los últimos tres años han contratado mujeres para estos puestos, una cifra bastante superior a la media del estudio, que se sitúa en el 80 %. 

Las cifras generales también demuestran que se ha incrementado ligeramente la contratación de perfiles sénior en el último año, aunque se mantiene por debajo de las cifra del 2021, con un 53 % de empresas que afirmaron apostar por este tipo de perfiles frente al 49 % de la última encuesta. La incorporación de grupos minoritarios a las plantillas se mantiene más o menos estable.