Estudio Ciberseguridad_2018
Esta publicación interactiva ha sido editada por la Fundación Borredá
I Estudio de Ciberseguridad en el ámbito de las tecnologías disruptivas
Aeroespacial y Defensa Aeroespacial y Defensa
I ESTUDIO DE CIBERSEGURIDAD. Estudio en el ámbito de las tecnologías disruptivas
ÍNDICE INTRODUCCIÓN ....................................................................................................................... 3
SECTORIZACIÓN.......................................................................................................... 4
SECCIÓN 1: RETOS Y TENDENCIAS DE LAS TECNOLOGÍAS DISRUPTIVAS. ...... 7
SECCIÓN 2: NORMATIVAS DISRUPTIVAS............................................................... 15
SECCIÓN 3: DISRUPCIÓN A TRAVÉS DE LA INTEGRACIÓN IT/OT..................... 22
RESUMEN EJECUTIVO.............................................................................................. 27
CONCLUSIONES......................................................................................................... 29
2 Estudio en el ámbito de las tecnologías disruptivas.
I ESTUDIO DE CIBERSEGURIDAD. Estudio en el ámbito de las tecnologías disruptivas
INTRODUCCIÓN
Ante el impacto que los nuevos paradigmas tecnológicos están provocando en nuestro entorno, la Fundación Borredá, en colaboración con everis Aeroespacial, Defensa y Seguridad, ha consi- derado conveniente realizar un estudio que permita analizar la transformación que la evolución de la tecnología produce en las organizaciones desde el punto de vista de la seguridad. Esta evolución está transformando constantemente nuestro entorno, tanto en el ámbito personal como en el laboral, dando lugar a nuevos paradigmas tecnológicos que producen una disrupción cada vez más presente en nuestro día a día. Las organizaciones deben adaptarse a la situación y aprovechar las oportunidades que brindan estas tecnologías en una verdadera transformación digital, actualizando las medidas de ciberseguridad para evitar futuros incidentes. 1. El nivel de implantación de ciertas tecnologías consideradas disruptivas (IoT, Big Data , Machine learning , Cloud computing y Blockchain ) 2. El desarrollo de la legislación para adaptarse a esta realidad (Directiva NIS, Reglamen- to General de Protección de Datos, etc.) 3. El cambio de paradigma que produce la integración IT/OT (los sistemas de información tradicionales - IT-, con los sistemas industriales -OT-) Para utilizar un lenguaje común, entendemos por ciberseguridad el conjunto de tecno- logías, herramientas, políticas, procedimientos, métodos de gestión del riesgo, directrices, formación y buenas prácticas que pueden utilizarse para proteger los activos de la organi- zación y los usuarios en el ámbito cibernético. Para este estudio se ha seleccionado una importante muestra de 200 expertos con res- ponsabilidades en materia de ciberseguridad en empresas y organizaciones radicadas en España. El nivel de participación ha estado próximo al 25% lo que se considera razonable- mente positivo habida cuenta de que se trata de la primera edición de un estudio sobre un tema futurista del que no hay antecedentes. En este estudio se consideran tres aspectos relacionados con las tecnologías disruptivas:
Estudio en el ámbito de las tecnologías disruptivas. 3
I ESTUDIO DE CIBERSEGURIDAD. Estudio en el ámbito de las tecnologías disruptivas
SECTORIZACIÓN
Como paso previo al análisis de las preguntas referentes al I estudio de Ciberseguridad en Tecnologías Disruptivas, se han analizado algunas características de los panelistas para contextualizar el estudio y conocer el tipo de empresa a la que pertenecen.
La mayoría de panelistas que han completado el cuestionario trabajan en sociedades anónimas (47%), entendiendo dichas sociedades como grandes corporaciones/entidades.
50% 45% 40% 35% 30% 25% 20% 15% 10%
47%
27%
20%
7%
5% 0%
Sociedad Anónima
Sociedad Limitada
Matriz o Holding
Otras
Figura 1: Sectorización de empresas participantes en el estudio
Los panelistas tienen vinculación con el sector de la seguridad en diferentes ámbitos, tanto en el de seguridad física como en la ciberseguridad.
90% 80% 70% 60% 50% 40% 30% 20% 10% 0%
81%
10%
9%
Profesionales de seguridad vinculado al sector privado
Profesionales de seguridad vinculado a la Administración
Otros
Figura 2 : Tipo de profesional participante
Del total de panelistas participantes en el estudio, un 81% pertenecen al sector privado mientras que un 10% pertenecen a la administración pública u organismos afines y un 9% a otros.
4 Estudio en el ámbito de las tecnologías disruptivas.
I ESTUDIO DE CIBERSEGURIDAD. Estudio en el ámbito de las tecnologías disruptivas
El 63% de los panelistas pertenece a sectores considerados estratégicos, como los de la energía, agua, salud y transporte. El resto, 37%, se ubica en otros sectores como el del juego, hostelería, bienes de equipo y museos, además de algunas asociaciones. La diver- sidad de sectores que engloba el espectro de panelistas permite la extrapolación de los resultados para tomarlos como referencia en el conjunto de las empresas en materia de ciberseguridad.
Otros Sectores estratégicos
37%
63%
Figura 3: Sectores que han participado
Dentro de los sectores estratégicos, la mayor participación se ha producido en el TIC (36%), Banca, Seguros y Finanzas (23%) y Energía y Transporte (14%).
5%
TIC Banca, Seguros y Finanzas
5%
9%
Energía y Transporte Industría Química
36%
9%
Agua Salud
14%
Administración
23%
Figura 4: Participación en los sectores estratégicos
Estudio en el ámbito de las tecnologías disruptivas. 5
I ESTUDIO DE CIBERSEGURIDAD. Estudio en el ámbito de las tecnologías disruptivas
Como dato económico significativo, la facturación en el último ejercicio del 80% de las empresas participantes excede los 50 millones de euros.
Menos de 2 millones de € Entre 10 millones y 50 millones de € Más de 50 millones de €
7%
13%
80%
Figura 5: Facturación en el último año de las empresas participantes en el estudio
Con respecto a los panelistas que han participado en el estudio cabe destacar que la mayoría, el 29%, tiene un presupuesto para proyectos de ciberseguridad entre 500.000 y 700.000 euros. Sin embargo, un 21% no dispone de presupuesto y el mismo porcentaje al- canza los que disponen de menos de 50.000 euros. Sólo el 7% dispone de más de un millón de euros.
29%
30% 25% 20% 15% 10%
21%
21%
14%
7%
7%
5% 0%
500.001 a 700k
No tengo presupuesto
Menos de 50.000
200.001 a 500k
más de 1M
NS/NC
Figura 6: Presupuesto de que disponen para proyectos en ciberseguridad
Otro dato muy significativo es que el 100% de los panelistas considera que las tecnologías disruptivas están impulsando actualmente el sector de la ciberseguridad y van a seguir haciéndolo en el futuro. Esta opinión unánime puede extrapolarse al conjunto del mercado habida cuenta de la variada procedencia de los panelistas.
6 Estudio en el ámbito de las tecnologías disruptivas.
I ESTUDIO DE CIBERSEGURIDAD. Estudio en el ámbito de las tecnologías disruptivas
SECCIÓN 1: RETOS Y TENDENCIAS DE LAS TECNOLOGÍAS DISRUPTIVAS
A efectos del presente estudio, se entienden como tecnologías disruptivas aquellas cuya implantación o uso suponen un cambio diferencial en los procesos o servicios prestados por las organizaciones. Las tecnologías disruptivas consideradas para el presente estudio son las siguientes: Internet of Things (IoT) : Se fundamenta en dotar de conectividad e inteligencia a ob- jetos o dispositivos, mejorando su utilidad y proporcionando una mayor automatización y control, integrándolos en complejas redes de dispositivos inteligentes interrelaciona- dos, capaces de intercambiar información entre sí. Machine learning : Las tecnologías de Machine learning utilizan técnicas de AI (In- teligencia Artificial) para proporcionar a los sistemas de información la capacidad de aprender y tomar decisiones sin ser programados explícitamente para cada escenario concreto. Big Data : Sistemas que albergan grandes volúmenes de datos heterogéneos que tienen el potencial de almacenar información valiosa que puede ser extraída mediante distin- tas técnicas. Cloud computing : Paradigma que permite el acceso ubicuo a servicios y recursos de comunicaciones y computación compartidos que son configurables, que pueden apro- visionarse rápidamente con un esfuerzo de gestión mínimo, y a los que se accede bajo demanda a través de la red, a menudo Internet. Permite el aprovechamiento económico de la infraestructura, optimizando recursos según necesidades instantáneas y automa- tizando operaciones. Blockchain : Base de datos distribuida, en continuo crecimiento y formada por cade- nas de bloques, enlazados cada uno con el anterior mediante criptografía. Entre otras funcionalidades, Blockchain está normalmente orientada al intercambio económico, ya que principalmente se usa para registrar transacciones financieras entre dos partes de manera eficiente, verificable y permanente. La posición de los panelistas respecto a la tecnología llamada a proporcionar un mayor impulso a la ciberseguridad es bastante unánime. De las cinco analizadas en este estudio, destaca del resto el Big Data (23%), seguido muy de cerca por el Cloud Computing (22%), aunque la diferencia con las otras tres no es muy elevada. Tanto el Big Data como el Cloud Computing nos confirman que las empresas contemplan el uso de datos masivos para aportar información a sus operaciones, así como el uso de la nube para almacenar los datos, lo que plantea nuevos riesgos a las organizaciones.
Estudio en el ámbito de las tecnologías disruptivas. 7
I ESTUDIO DE CIBERSEGURIDAD. Estudio en el ámbito de las tecnologías disruptivas
23%
25%
22%
19%
18%
18%
20%
15%
10%
5%
0%
IoT
Big Data
Cloud Computing
Machine Learning
Blockchain
Figura 7: ¿Qué tecnologías disruptivas impulsarán la ciberseguridad?
Los datos anteriores ponen de manifiesto que un 60% de las empresas han incorporado al menos una de las tecnologías anteriormente expuestas en los últimos 12 meses.
70% 60% 50% 40% 30% 20% 10% 0%
60%
40%
No, ninguna
Sí
Figura 8: ¿Ha incorporado alguna de estas tecnologías a su empresa en los últimos 12 meses?
De entre estas nuevas tecnologías incorporadas, las que han tenido mayor aceptación son el Cloud Computing (32%), Big Data (25%) y Machine Learning (18%).
35% 30% 25% 20% 15% 10%
32%
25%
18%
14%
11%
5% 0%
IoT
Cloud Computing
Big Data
Machine Learnig
Blockchain
Figura 9: ¿Cuál/es de las tecnologías disruptivas se han incluido en su empresa?
8 Estudio en el ámbito de las tecnologías disruptivas.
I ESTUDIO DE CIBERSEGURIDAD. Estudio en el ámbito de las tecnologías disruptivas
No obstante, si ampliamos el horizonte temporal hasta los próximos tres años, el 91% de los panelistas muestra su intención de contar con estas tecnologías. Evidentemente, nos encontramos en un punto de inflexión para su incorporación generalizada, aunque debe tenerse presente la existencia de un 9% que no contempla incluirlas, aun entendiendo que beneficiarían a la ciberseguridad.
100%
91%
80%
60%
40%
20%
9%
0%
Sí
No, ninguna
Figura 10 ¿Contempla incluir alguna de las tecnologías disruptivas en los próximos 1-3 años?
En la siguiente figura realizamos una comparación entre las tecnologías disruptivas ya incluidas en las empresas, con las que se contemplan incluir en los siguientes 3 años y ve- mos un aumento en Internet of Things (12%), Blockchain (5%) y Machine Learning (2%). Esto nos indica que las empresas siguen la tendencia global de ir hacia un mundo más interco- nectado con el que poder disponer de sus recursos en cualquier dispositivo.
Sin embargo, se puede comprobar cómo el Cloud Computing desciende considerable- mente, lo que pudiera significar que es una tecnología más madura e integrada que el resto.
35% 30% 25% 20% 15% 10%
32%
25%
24%
23%
20%
19%
18%
15%
14%
11%
5% 0%
IoT
Machine Learnig
Big Data
Cloud Computing
Blockchain
Incluidas en la empresa en los últimos 12 meses
Prevista su inclusión en 1-3 años
Figura 11: Comparativa de las Tecnologías disruptivas incluidas en los últimos 12 meses y las que se prevé incorporar en el medio plazo (1-3 años)
Estudio en el ámbito de las tecnologías disruptivas. 9
I ESTUDIO DE CIBERSEGURIDAD. Estudio en el ámbito de las tecnologías disruptivas
Por otro lado, pese a las evidentes ventajas que la tecnología ofrece a las empresas, exis- ten barreras para su implementación en las organizaciones, destacando como una de las principales el coste económico (24%) seguida de las limitaciones legales (18%, especial- mente en el ámbito de la protección de datos) y la falta de seguridad en la implementación de las tecnologías disruptivas (17%).
30% 25% 20% 15% 10%
24%
18%
17%
15%
15%
5%
5%
5% 0%
2%
Económicas
Legales
Falta de seguridad
Falta de estándares
Resistencia interna al cambio
Usabilidad
Otras
NS/NC
Figura 12: ¿Qué barreras está encontrando a la hora de implementar las tecnologías disruptivas?
Además de estas barreras de entrada para incluir tecnologías disruptivas en la organiza- ción, se debe prestar especial atención a la forma de incorporarlas y a su mantenimiento; es por ello que se les preguntó a los panelistas con qué recursos afrontarían esta integración, a lo que el 67% respondió que utilizando sus propios recursos.
67%
70% 60% 50% 40% 30% 20% 10% 0%
27%
7%
NS/NC
Con recursos externos
Con recursos internos
Figura 13: Recursos dedicados para afrontar la integración de las tecnologías disruptivas en su organización.
10 Estudio en el ámbito de las tecnologías disruptivas.
I ESTUDIO DE CIBERSEGURIDAD. Estudio en el ámbito de las tecnologías disruptivas
Tras conocer las dificultades para la implantación, se les preguntó a los panelistas cuáles creían que eran los motivos por los que no se aplicaban dichas tecnologías, destacando por encima del resto la falta de conocimiento (25%) seguida de una falta de recursos (17%). Esto indica que las organizaciones no se bastan con sus propios recursos internos y además no disponen del conocimiento necesario para aplicar dichas tecnologías.
30% 25% 20% 15% 10%
25%
17%
15%
15%
15%
10%
5% 0%
2%
Falta de conocimiento
Falta de recursos
Económicos
NS/NC
Falta de compromiso de la dirección
Legales
Otros
Figura 14: ¿Por qué motivos no se aplicarían las tecnologías disruptivas?
En concordancia con lo visto anteriormente, tanto las barreras como los problemas de incluir dichas tecnologías en las organizaciones están influenciados directamente por el nivel de madurez de cada tecnología analizada. Los panelistas (65%) han destacado que la tecnología menos madura en el mercado a día de hoy respecto al resto es la de Machine Learning , seguida por la de Internet of Things (46%). En el lado opuesto destaca el Cloud Computing , a la que un 62% de los panelistas atribuye un nivel de madurez medio en el mercado.
70% 60% 50% 40% 30% 20% 10% 0%
65%
62%
48%
46%
45%
41%
31%
29%
23%
20%
21%
17%
11%
7%
7%
7%
3%
3%
3%
0%
0%
0%
0%
0%
0%
IoT
Big Data
Cloud Computing
Machine Learning
Blockchain
Ninguno
Bajo
Medio
Alto
Muy alto
Figura 15: Madurez de las tecnologías disruptivas
Estudio en el ámbito de las tecnologías disruptivas. 11
I ESTUDIO DE CIBERSEGURIDAD. Estudio en el ámbito de las tecnologías disruptivas
En concordancia con los datos obtenidos en la pregunta “¿Qué barreras está encontrando a la hora de implementarlas?”, donde se pusieron de manifiesto barreras económicas y falta de seguridad, podemos llegar a la conclusión que uno de los aspectos que más preocupan a nuestros panelistas es la seguridad en el diseño (33%) junto con el cumplimiento legal (21%). Estas dos preocupaciones se pueden relacionar con los diferentes ataques de fuga de información debido a vulnerabilidades que se hubieran podido evitar aplicando la seguri- dad en el diseño.
33%
35% 30% 25% 20% 15% 10%
21%
17%
17%
6%
5%
5% 0%
Seguridad en el diseño
Cumplimento Legal
Tratamiento del dato
Madurez Tecnológica
Dificultad y/o impacto en la implantación
Comunicaciones
Figura 16: ¿Qué aspectos que puedan afectar a las tecnologías disruptivas en materia de ciberseguridad le preocupan?
La gran mayoría de los encuestados (80%) es consciente de las posibles amenazas que conlleva el uso de este tipo de tecnologías y las ha tenido en cuenta. Esto indica que existe una preocupación latente por las posibles amenazas que puedan afectar a la organización a la hora de su aplicación.
90% 80% 70% 60% 50% 40% 30% 20% 10% 0%
80%
13%
7%
NS/NC
No
Sí
Figura 17: ¿Ha contemplado las amenazas que conlleva el uso de las tecnologías disruptivas?
12 Estudio en el ámbito de las tecnologías disruptivas.
I ESTUDIO DE CIBERSEGURIDAD. Estudio en el ámbito de las tecnologías disruptivas
Para perfilar mejor estas amenazas, se les pidió que indicaran las tres más destacadas de un listado. Las DDoS y el Ransomware sobresalen sobre el resto (22%), seguidas por APTs y el Malware (17%). En este sentido, cabe destacar que tanto DDoS como Ransomware se han producido con elevada frecuencia, con un impacto bastante elevado en las organizaciones, durante los últimos años.
25%
22%
22%
20%
17%
17%
15%
11%
11%
10%
5%
0%
DDoS
APTs
Exploit Kits
Espionaje
Ransomware
Malware
Figura 18: Señale las amenazas más destacadas para usted
Para finalizar esta parte, el mayor impacto que podría causar en sus organizaciones la materialización de estas amenazas sería la fuga de información (98%) y la indisponibilidad en la prestación de los servicios (94%).
100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0%
Fuga de información
Pérdida temporal/ permanente de información
Indisponibilidad
Pérdidas económicas
Daño a la reputación de la organización
Otras
Figura 19: Impacto que pueden tener las ciberamenazas en el uso de la tecnología disruptiva
En la siguiente figura se muestran diferentes medidas de seguridad que pueden ser con- sideradas para aplicar en cada tecnología disruptiva en opinión de nuestros panelistas.
Estudio en el ámbito de las tecnologías disruptivas. 13
I ESTUDIO DE CIBERSEGURIDAD. Estudio en el ámbito de las tecnologías disruptivas
Internet of Things : los panelistas opinan que es necesario una actualización de soft- ware (40%) y seguridad/privacidad “by desing” (24%). Big Data : enmascaramiento/ofuscación de datos (41%) y Otras (30%) en las que se eng- loba la protección endpoints , y monitorización y veracidad del dato. Cloud Computing : asegurar la disponibilidad de la información (29%) junto con el uso del cifrado y el control de acceso: autenticación y autorización. Machine Learning : actualización de software (26%) y enmascaramiento/ofuscación de datos (20%). Blockchain : uso del cifrado (25%) y asegurar la disponibilidad de la información (20%).
45% 40% 35% 30% 25% 20% 15% 10%
41%
40%
30%
29%
26%
25%
25%
25%
24%
22%
21%
21%
18%
20%
20%
20%
20%
20%
20%
20%
19%
18%
16%
17%
15%
15%
15%
15%
14%
13%
14%
12%
11%
10%
9%
5% 0%
Seguridad/ privacidad ”by design”
Control de acceso: autenticación y autorización
Uso del cifrado
Actualización de software
Enmascaramiento/ ofuscamiento de datos
Asegurar la disponibilidad de la información
Otras
Iot
Big Data
Cloud Computing
Machine Learning
Blockchain
Figura 20: Medidas de seguridad para aplicables a las tecnologías disruptivas
El 30% de los panelistas tiene la percepción de que el nivel de seguridad en su organi- zación es medio, mientras que para el 24% es alto. No obstante, hay que destacar que el 41% lo considera bajo con respecto a las medidas de ciberseguridad implantadas para cada tecnología, en relación a las amenazas actuales de su negocio.
35% 40% 45% 30% 25% 20% 15% 10%
41%
30%
24%
3%
3%
5% 0%
Bajo
Medio
Alto
Muy bajo
NS/NC
Figura 21: ¿cuál es su percepción del nivel de seguridad que tiene su organización?
14 Estudio en el ámbito de las tecnologías disruptivas.
I ESTUDIO DE CIBERSEGURIDAD. Estudio en el ámbito de las tecnologías disruptivas
SECCIÓN 2 NORMATIVAS DISRUPTIVAS
La gran mayoría de los panelistas (73%), han indicado que tienen implementadas medidas de seguridad sobre alguna ley/normativa o estándar de última generación.
80% 70% 60% 50% 40% 30% 20% 10% 0%
73%
20%
7%
No
NS/NC
Sí
Figura 22: ¿Tiene implementada medidas de seguridad sobre alguna ley/normativa o estándar de última generación en su organización?
La normativa que más se ha implementado por las empresas ha sido el GDPR (26%) de- bido a que a finales de mayo entró en vigor para toda Europa y las empresas debían ade- cuarse al nuevo reglamento. La segunda que más han implementado las organizaciones de nuestros panelistas ha sido la ISO 27001 (14%), basada en seguridad de la información. Si relacionamos este estándar con las preocupaciones de los panelistas referidas a fugas de información que hemos podido ver en la sección 1, vemos que aunque existe dicha preo- cupación, solamente un porcentaje menor está implementando medidas para mitigarlas.
30%
26%
25%
20%
14%
15%
10%
10%
10%
8%
8%
6%
6%
6%
4%
5%
2%
0%
GDPR
ISO 27001
PSD2
PCI DDS
Solvencia II
ISO 22301
Estándares NIST
Otras
Ley PIC
ENS
NISD
Figura 23: ¿Cuáles son las normativas que han implementado?
Estudio en el ámbito de las tecnologías disruptivas. 15
I ESTUDIO DE CIBERSEGURIDAD. Estudio en el ámbito de las tecnologías disruptivas
La apreciación que tienen nuestros panelistas es que con las medidas implantadas en su organización cubren en un alto grado la seguridad exigida. El porcentaje que opina que el grado es bajo-medio, respecto a normativas/estándares implementados es única- mente del 13%.
80% 70% 60% 50% 40% 30% 20% 10% 0%
73%
13%
13%
Alto
Medio
Bajo
Figura 24: ¿En qué medida cubre/n los mínimos de seguridad exigidos por su organización?
Dentro de cada organización, la implementación de la normativa GDPR ha sido desigual dependiendo del tratamiento de datos que haga cada una de ellas. En la siguiente figura se muestra cómo solamente en un 53% el grado de implementación ha sido alto.
60%
53%
50%
40%
33%
30%
20%
13%
10%
0%
Alto
Medio
Bajo
Figura 25: Grado de implementación en su organización del GDPR
16 Estudio en el ámbito de las tecnologías disruptivas.
I ESTUDIO DE CIBERSEGURIDAD. Estudio en el ámbito de las tecnologías disruptivas
A diferencia de la normativa GDPR, la directiva NIS no ha afectado a todos nuestros pa- nelistas por igual y aproximadamente algo más de la mitad (53%) la han analizado.
60% 50% 40% 30% 20% 10% 0%
53%
47%
No
Sí
Figura 26: Ha analizado el impacto de la normativa NIS en su organización
Entre aquellos que la han analizado, el 50% de los panelistas considera bajo el impacto de la normativa NIS en su organización, lo que unido al 47% que no la ha analizado, nos lleva a la conclusión de que ofrece una escasa incidencia en nuestra muestra.
60% 50% 40% 30% 20% 10% 0%
50%
25%
25%
Medio
Alto
Bajo
Figura 27: Grado de impacto de la normativa NIS
Como resultado de la pregunta referida a la Ley de Protección de Infraestructuras Críti- cas, un 46% de los panelistas se consideran excluidos de la aplicación de dicha ley. Res- pecto al resto, obviamente relacionados con sectores estratégicos, el 31% da cuenta de un alto nivel de implementación.
50%
46%
40%
31%
30%
20%
8%
8%
8%
10%
0%
Ninguna
Muy alto
Medio
Bajo
Alto
Figura 28: ¿Qué grado de implementación tiene su organización conforme la Ley PIC?
Estudio en el ámbito de las tecnologías disruptivas. 17
I ESTUDIO DE CIBERSEGURIDAD. Estudio en el ámbito de las tecnologías disruptivas
Ante los próximos cambios legislativos que pueden afectar a las organizaciones, hay que resaltar que un 40% de los panelistas desconoce que se esté tramitando alguna normativa que les afecte, o se abstiene de contestar. Sin embargo, el 27% está esperando a que se de- sarrollen los reglamentos de la Ley de Seguridad Privada, la evolución normativa de PSD2 y su reglamento; en el sector bancario, se espera de los organismos europeos ECB (European Central Bank) y EBA ( European Banking Authority ) que desarrollen la normativa sectorial correspondiente.
45% 40% 35% 30% 25% 20% 15% 10%
40%
33%
27%
5% 0%
NS/NC
No
Sí
Figura 29: ¿Espera alguna normativa nacional o europea que se esté desarrollando y le pueda afectar?
Con respecto a la pregunta de si tiene algún proceso definido para gestionar incidentes, las respuestas obtenidas son que solamente el 60% tiene definidos los procesos, mientras que un 33% carece de procedimientos para poder resolver y gestionar cualquier tipo de incidente relacionado con la ciberseguridad.
60% 70% 50% 40% 30% 20% 10% 0%
60%
33%
7%
No
NS/NC
Sí
Figura 30: ¿Tiene algún proceso definido para gestionar incidentes de ciberseguridad?
18 Estudio en el ámbito de las tecnologías disruptivas.
I ESTUDIO DE CIBERSEGURIDAD. Estudio en el ámbito de las tecnologías disruptivas
Dado el impacto reputacional que en una organización puede tener la gestión de un in- cidente de ciberseguridad, y como consecuencia de que exista una tendencia en las nor- mativas que se están desarrollando de informar de cualquier tipo de incidentes, hay que resaltar que el 73% de los panelistas coincide en que reportar ciertos incidentes puede causarles un impacto negativo. Sólo una minoría del 13% considera que la notificación de incidentes no supone necesariamente un daño reputacional.
60% 70% 80% 50% 40% 30% 20% 10% 0%
73%
13%
13%
No
NS/NC
Sí
Figura 31: ¿Ha valorado el impacto reputacional que puede sufrir su organización de comunicar los incidentes de seguridad que ocurran?
Evaluado el impacto negativo producido en el caso de reportar un incidente, un 73% lo califica de alto.
60% 70% 80% 50% 40% 30% 20% 10% 0%
73%
27%
Alto
Medio
Figura 32: ¿Cuál es el grado de impacto reputacional que causa comunicar los incidentes de seguridad que ocurran?
Estudio en el ámbito de las tecnologías disruptivas. 19
I ESTUDIO DE CIBERSEGURIDAD. Estudio en el ámbito de las tecnologías disruptivas
Por lo que entendemos que uno de los motivos de reticencia a la hora de comunicar cier- tos incidentes es el daño a la imagen corporativa y alrededor de un 89% de los panelistas así lo afirman.
60% 70% 80% 90% 100%
88,57%
50% 40% 30% 20% 10% 0%
8,57%
2,86%
No
NS/NC
Sí
Figura 33: Reticencia a la hora de reportar incidentes de ciberseguridad
Como resumen de las dos preguntas anteriores, el motivo principal para no reportar es la pérdida de imagen corporativa (45%) y el consiguiente desprestigio en el sector (36%) de cara a sus competidores directos. Sólo un 18% hace referencia a pérdidas en la cuenta de resultados.
50%
45%
40%
36%
30%
18%
20%
10%
0%
Pérdidas de imagen corporativa
Pérdidas de prestigio en el sector
Pérdidas económicas
Figura 34: Motivos por lo que no reportan incidentes de ciberseguridad
Por otro lado, cada tecnología disruptiva se ve afectada de distinta manera por las dife- rentes normativas. Así, el Big Data se ve afectada por la normativa GDPR en mayor medida (88%). El resto de tecnologías como Cloud Computing y Machine Learning también se han visto impactadas por el GDPR pero en menor medida.
20 Estudio en el ámbito de las tecnologías disruptivas.
I ESTUDIO DE CIBERSEGURIDAD. Estudio en el ámbito de las tecnologías disruptivas
Sin embargo las tecnologías como Internet of Things y Blockchain se ven impactadas por la NIS (36%) y PSD2 (21%).
Hay que destacar el resultado obtenido de los panelistas del grado de desconocimiento en temas normativos en las tecnologías de Internet of Things (36%), Machine Learning (26%) y Blockchain (39%).
70% 80% 90% 100%
88%
60% 50% 40% 30% 20% 10% 0%
47%
41%
39%
36%
36%
27%
26%
28%
21%
18%
18%
19%
15%
12%
6%
6%
6%
3% 0% 3%
3%
0% 0%
0%
IoT
Big Data
Cloud Computing
Machine Learning
Blockchain
GDPR
NIS
PSD2
ENS
NS/NC
Figura 35: Impacto en cada tecnología de las diferentes normativas
Por último, el 60% de nuestros panelistas han indicado que utilizan sistemas de control industrial y que son partidarios de aplicar alguna de las tecnologías disruptivas.
60% 70% 50% 40% 30% 20% 10% 0%
60%
40%
No
Sí
Figura 36: ¿Utiliza su empresa sistemas de hardware y software que monitorizan y controlan equipos y procesos industriales?
Estudio en el ámbito de las tecnologías disruptivas. 21
I ESTUDIO DE CIBERSEGURIDAD. Estudio en el ámbito de las tecnologías disruptivas
SECCIÓN 3: DISRUPCION A TRAVÉS DE LA INTEGRACION IT/OT
La Tecnología de la Información (IT) es la aplicación de tecnologías para procesar, transmi- tir y almacenar datos en un entorno empresarial o de negocio. La “Operational Technology” (OT) comprende el conjunto de sistemas de hardware y software que monitorizan y contro- lan equipos y procesos industriales. Históricamente, los mundos de IT y OT han sido gestionados como silos separados, con áreas de autoridad y responsabilidad diferentes. La convergencia IT/OT es la integración de los sistemas IT con los sistemas OT, persiguiendo un proceso y un flujo de información integrados. En esta sección se desarrolla un análisis sobre la integración de IT/OT (como se están integrando cada vez más los sistemas de información tradicionales – IT, con los sistemas industriales – OT). El resultado obtenido indica que prácticamente la totalidad de las respuestas (91%) tienen poca confianza en dicha integración, puesto que el 43% piensa que hay poca integración y otro 48% piensa que la hay pero parcialmente.
60% 50% 40% 30% 20% 10% 0%
48%
43%
9%
Parcialmente integrado
Mucho
Poco
Figura 37: Grados de integración entre IT y OT
22 Estudio en el ámbito de las tecnologías disruptivas.
I ESTUDIO DE CIBERSEGURIDAD. Estudio en el ámbito de las tecnologías disruptivas
Preguntados nuestros panelistas por los problemas que consideran más relevantes refe- ridos a la integración de IT y OT, los resultados revelan que son tecnologías complejas de integrar (22%), que existe desconocimiento del mundo IT y OT (20%) y hacen referencia a la falta de un responsable único (19%).
30% 25% 20% 15% 10%
22%
20%
19%
14%
11%
7%
5%
5% 0%
Requerimientos legales 1%
1%
Otras 0%
Tecnologías complejas de integrar
Desconocimiento del mundo IT y OT
Falta de un único responsable
Alto coste económico
El diseño de los procesos
Falta de compromiso de la dirección
Falta de proveedores especializados
Falta de soluciones maduras
industriales y las tecnologías sobre las que corren es muy antigua
Figura 38: Problemas más relevantes entre IT y OT
En materia de responsabilidades, cabe destacar que los resultados obtenidos nos indican que un 20% desconocen cómo están repartidas las responsabilidades de ciberseguridad con respecto a IT y OT (20%). El 41% afirma que están repartidas equitativamente entre los responsables de ambas partes. Además un 19% apunta que las tiene únicamente el responsable de IT.
35% 40% 45% 30% 25% 20% 15% 10%
41%
22%
19%
11%
4%
4%
5% 0%
Únicamente las tiene el responsable de OT 0%
Las responsablilidades están compartidas entre el responsable de IT y el de OT
NS/NC
Únicamente las tiene el responsable de IT
Todas las responsabilidades dependen de un único responsable (CISO, DPO, etc.)
Únicamente las tiene el responsable de seguridad física
Otros
Figura 39: ¿Quién tiene las responsabilidades?
Estudio en el ámbito de las tecnologías disruptivas. 23
I ESTUDIO DE CIBERSEGURIDAD. Estudio en el ámbito de las tecnologías disruptivas
Una vez aclarado el punto de cómo piensan actualmente con el reparto de las responsa- bilidades de ciberseguridad con respecto a IT y OT, se les preguntó por como consideran que deberían de estar. En este caso destaca considerablemente sobre las demás respuestas aquella que apunta a que debería existir un único responsable, como pueden ser un CISO o un DPO (64%). Mientras que sigue habiendo un 23% que opina que deberían seguir como la mayoría pien- sa, esto es, repartidas entre ambos responsables.
70%
64%
60%
50%
40%
30%
23%
20%
9%
10%
5%
0%
0%
0%
0%
Todas las responsabilidades dependen de un único responsable (CISO, DPO, etc.)
Las responsablilidades están compartidas entre el responsabe de IT y el de OT
Únicamente las tiene el responsable de seguridad física
NS/NC
Únicamente las tiene el responsable de OT
Únicamente las tiene el responsable de IT
Otros
Figura 40: ¿Cómo deberían estar esas responsabilidades?
Un 93% de los panelistas considera que en los próximos años se van a aplicar tecnologías disruptivas en el ámbito OT.
93%
60% 70% 80% 90% 100%
50% 40% 30% 20% 10% 0%
7%
No
Sí
Figura 41: ¿Se aplicarán tecnologías disruptivas en el ámbito OT en los próximos años?
24 Estudio en el ámbito de las tecnologías disruptivas.
I ESTUDIO DE CIBERSEGURIDAD. Estudio en el ámbito de las tecnologías disruptivas
El 35% de los panelistas indica que la tecnología disruptiva que van a aplicar mayoritaria- mente será Internet of Things, siendo Blockchain la menos señalada, con un 7%.
35% 40% 30% 25% 20% 15% 10%
35%
24%
20%
13%
7%
5% 0%
IoT
Big Data
Machine Learning
Cloud Computing
Blockchain
Figura 42: ¿Qué tecnología disruptiva se va a aplicar?
El 86% de nuestros panelistas considera que el incremento de incidentes de ciberseguri- dad en infraestructuras OT es bajo.
86%
60% 70% 80% 90% 50% 40% 30% 20% 10% 0%
14%
Medio
Bajo
Figura 43: ¿Qué incremento de incidentes de ciberseguridad en su/s infraestructura/s OT ha tenido respecto el año anterior?
Estudio en el ámbito de las tecnologías disruptivas. 25
I ESTUDIO DE CIBERSEGURIDAD. Estudio en el ámbito de las tecnologías disruptivas
El 44% de nuestros panelistas considera que no han padecido ningún tipo de incidente de ciberseguridad que no hayan detectado. Sin embargo, un 33% sí que ha sufrido incidentes de ciberseguridad sin que los detectara a tiempo. Cabe destacar que el 22% desconoce si ha tenido algún tipo de incidente.
50% 45% 40% 35% 30% 25% 20% 15% 10%
44%
33%
22%
5% 0%
No
NS/NC
Sí
Figura 44: Incidentes de ciberseguridad que no han sido detectados
Finalmente, se solicita el importe del presupuesto anual de la empresa de cada panelista para proyectos de ciberseguridad en OT. Tal como refleja el gráfico, la mayoría cuenta con menos de 50.000€ de presupuesto, mientras que el 11% no disponen de ninguna cantidad. Por último, en un 22% de los casos el presupuesto se sitúa entre los 200.001€ y los 500.000€.
35% 40% 45% 50% 30% 25% 20% 15% 10%
44%
22%
22%
11%
5% 0%
Menos de 50k
200.001 a 500k
NS/NC
No tengo presupuesto
Figura 45: Presupuesto destinado a Ciberseguridad
26 Estudio en el ámbito de las tecnologías disruptivas.
I ESTUDIO DE CIBERSEGURIDAD. Estudio en el ámbito de las tecnologías disruptivas
RESUMEN EJECUTIVO
Uso de tecnologías disruptivas
La inmensa mayoría de los participantes muestra su intención de implementar estas tec- nologías en los próximos tres años. Parece evidente que nos encontramos en un punto de inflexión para su incorporación generalizada. Las tecnologías disruptivas consideradas más maduras por los panelistas son Big Data y Cloud Computing , hasta el punto de que numerosas organizaciones ya las están utilizando en el ámbito de la ciberseguridad. Sin embargo Internet of Things , Blockchain y Machine Learning son percibidos como menos maduros, aunque se les supone mayor proyección. Existen barreras, fundamentalmente económicas y legales, a la hora de implementar es- tas tecnologías futuristas. En consecuencia, las empresas abordan estos proyectos con personal interno, pese a la falta de conocimiento y la escasez de recursos. En general, el nivel de ciberseguridad que se percibe en las organizaciones es medio-alto; sin embargo, esta percepción baja con respecto a las medidas de seguridad implantadas en torno a las tecnologías emergentes, posiblemente como consecuencia de los frecuentes ataques de DDoS y Ramsonware , que hacen temer fugas de información e indisponibilidad en la prestación de los servicios. Con respecto a los incidentes de ciberseguridad, hay que destacar que existe un tercio de las empresas que no tienen definido ningún procedimiento para gestionarlos. Por otra par- te, tres de cada cuatro tienen el convencimiento de que reportar un incidente puede causar daños a su reputación. También hay que resaltar que una amplia mayoría de las organizaciones están imple- mentando las medidas de seguridad exigidas por las nuevas normativas, fundamentalmen- te GDPR, aunque solo en la mitad el grado de implantación es alto. Igualmente, la mitad de las organizaciones percibe que la ley NIS les va a afectar directamente, mientras que se desconocen los aspectos normativos referentes a IoT y Blockchain . También hay que des- tacar que solo el 40% de las organizaciones están pendientes de las nuevas normativas en proceso de tramitación, como el reglamento de Seguridad Privada, la evolución normativa de PSD2 y su reglamento, EBA... Normativas disruptivas
En general existe interés por la ciberseguridad, aunque no todas las organizaciones es- tán adoptando todas las medidas necesarias, posiblemente en la creencia de que con las
Estudio en el ámbito de las tecnologías disruptivas. 27
I ESTUDIO DE CIBERSEGURIDAD. Estudio en el ámbito de las tecnologías disruptivas
medidas ya implantadas cubren en un alto grado las exigencias normativas. En todo caso, este interés no se refleja en los presupuestos destinados a ciberseguridad ya que tres de cada cuatro responsables ignoran su presupuesto o del que disponen es inferior a 50.000€.
Integración IT/OT
A la vista de los resultados obtenidos, la convergencia IT/OT está en fase incipiente, por su propia complejidad y por razones de desconocimiento, además de una inadecuada asig- nación de responsabilidades. En este sentido, existe un amplio consenso respecto a que todas las responsabilidades IT/OT deberían recaer sobre una figura única, dado que actual- mente, en la mayoría de los casos, están compartidas entre IT y OT. La mayoría de las organizaciones que utilizan sistemas de control industrial son parti- darias de aplicar en ellos alguna de las tecnologías disruptivas. A esto contribuye que la mayoría de los panelistas considera que el incremento de incidentes de ciberseguridad en infraestructuras OT es bajo.
28 Estudio en el ámbito de las tecnologías disruptivas.
I ESTUDIO DE CIBERSEGURIDAD. Estudio en el ámbito de las tecnologías disruptivas
CONCLUSIONES
1. Resulta sorprendente, en relación a otros estudios que ha realizado esta Fundación, que un alto número de los convocados haya manifestado su interés en participar sin haber podido intervenir por desconocer los planes de su organización respecto a este tipo de tecnologías. Esto pudiera ser un indicativo de la falta de madurez en la aceptación de este tipo de tecnologías en los Consejos de Administración. La hipótesis más preocupante es que la posición de los responsables de ciberseguridad está lejos de los centros de toma de decisiones de las compañías. 2. Existe la opinión unánime de que las tecnologías disruptivas que contemplamos en este estudio van a impulsar y mejorar la ciberseguridad en todos los sectores analizados, a pesar de que los responsables de seguridad consideran que estas tecnologías se en- cuentran actualmente en un grado de madurez bajo, por lo que su implementación puede aumentar la vulnerabilidad de sus empresas. 3. En la actualidad, una mayoría de empresas se está planteando el empleo de las tecno- logías disruptivas, especialmente aquellas que permiten el tratamiento de grandes vo- lúmenes de información o accesibilidad a los datos en cualquier ubicación. No obstante, las limitaciones presupuestarias obligan a acometer esta implantación como proyectos internos. 4. Alrededor de la mitad de los encuestados tienen un presupuesto bajo para cibersegu- ridad o simplemente no lo tienen, lo que hace suponer que la ciberseguridad aún no ha alcanzado la importancia que le corresponde para las organizaciones. 5. El nivel de diligencia por parte de las empresas y organizaciones para adaptarse al cum- plimiento de nuevas regulaciones es ciertamente mejorable. En la misma medida, la di- ficultad para flexibilizar sus estructuras y adaptarse a nuevos requerimientos en materia de ciberseguridad indica la necesidad de mejorar su cultura de seguridad a todos los niveles. 6. Destacamos el alto grado de preocupación con respecto a la gestión de incidentes de ciberseguridad, especialmente la comunicación de los mismos en relación al impacto en la imagen corporativa. 7. La integración entre IT y OT sigue sin ser completa y queda mucho por avanzar en este aspecto. Parece evidente la necesidad de una revisión de las estructuras actuales en el ámbito de la seguridad, de forma que se agruparan todas las responsabilidades en una única figura, actualmente inexistente.
Estudio en el ámbito de las tecnologías disruptivas. 29
Estudio: I Estudio de Ciberseguridad
Estudio en el ámbito de las tecnologías disruptivas
Edición: 2018 Edita:Fundación Borredá
Registro de Fundaciones nº 1.461 (Orden ECD/1304/2012 de 16 de abril, BOE nº 118) Calle Don Ramón de la Cruz, 68 2º Derecha. 28001 Madrid. Tel + 34 91 309 04 54 www.fundacionborreda.org © 2018: Fundación Borredá y everis Aeroespacial y Defensa Fundación Borredá y everis Aeroespacial, Defensa y Seguridad no autorizan la reproducción total o parcial de los textos e ilustraciones del estudio sin previa autorización por escrito. Fun- dación Borredá y everis Aeroespacial, Defensa y Seguridad autorizan la consulta, visualización y utilización de los contenidos de informe siempre y cuando se cite la fuente. Esta publicación contiene exclusivamente información de carácter general, y ni everis Aeroes- pacial, Defensa y Seguridad, ni Fundación Borredá pretenden, por medio de esta publicación, prestar un servicio o asesoramiento profesional ni se hace responsable de las pérdidas sufridas por cualquier persona que actúe basándose en esta publicación.
EN LA REALIZACIÓN DEL DOCUMENTO HA PARTICIPADO UN EQUIPO FORMADO POR LOS SIGUIENTES MIEMBROS:
COORDINACIÓN César Álvarez Fernández COMISIÓN TÉCNICA Ana Borredá Francisco Javier García Lorente Anibal Santiago Díaz Ginés Miguel Ángel Thomas Merinero MAQUETACIÓN Macarena Fdez. López
La Fundación Borredá lleva a cabo sus fines gracias a la contribución de sus socios protectores
Aeroespacial y Defensa Aer s acial sa
Aeroespacial y Defensa er s i l y f s
Made with FlippingBook - professional solution for displaying marketing and sales documents online