La denominada "brecha de talentos" en el sector de la ciberseguridad se ha convertido es una de las principales preocupaciones entre directivos de empresas, especialistas, educadores y gobiernos. Según el informe Cybersecurity Workforce Study de 2022, se necesitan 3,4 millones de trabajadores especializados en seguridad de la información en todo el mundo. Mientras que en España, el INCIBE, Instituto Nacional de Ciberseguridad, ha estimado que para 2024 se necesitarán más de 83.000 profesionales en las empresas locales.
Si bien es cierto que en 2022 se ha registrado un descenso interanual del 13% en las detecciones de ciberamenazas, según indica ESET en su estudio sobre seguridad digital, constantemente aparecen nuevas amenazas, los ataques se vuelven más sofisticados y los delincuentes están cada vez más profesionalizados, realizando agresiones más dirigidas en lugar de lanzar campañas constantemente de forma masiva y sin discriminar posibles objetivos.
Sucede además que una buena protección no está completa sin un especialista bien formado y actualizado que la gestione, más allá de las complejas soluciones de seguridad que las organizaciones se puedan permitir.
Frente a esta situación, la respuesta que han encontrado las compañías europeas es la transferencia de tareas de seguridad TI a proveedores de servicios gestionados (MSP) o proveedores de servicios de seguridad gestionados (MSSP), por la eficiencia que otorgan los trabajadores externos.
Así lo ha revelado el informe anual de Economía de Seguridad de TI que elabora la compañía de seguridad Kaspersky, en el que consultó a los responsables de las decisiones de ciberseguridad, y encontró que el 54% de las pymes y empresas europeas decidieron externalizar estas tareas ya que esos profesionales disponen de una alta especialización y están en constante evolución.
Puntualmente, el 64% de las empresas europeas asegura trabajar con dos o tres proveedores, mientras un 10% de las pequeñas y medianas empresas y el mismo porcentaje de las grandes corporaciones reconocen tratar con más de cuatro proveedores de seguridad informática distintos al año.
Estas organizaciones mencionaron, a su vez, la necesidad de tener conocimiento especializado en la plantilla (48%) y la escasez de empleados TI (34%), como variables en la misma dirección.
“El personal externo puede administrar todos los procesos de ciberseguridad de una empresa o responsabilizarse solo de determinadas tareas. El tamaño de la organización, su madurez y el deseo de la dirección de involucrarse en tareas de seguridad de la información está detrás del nivel de la apuesta por la contratación de personal externo. Para algunas pymes puede ser razonable contratar una persona a jornada completa y transferir algunas funciones a MSP o MSSP; será más rentable en términos de coste y eficiencia. En el caso de las grandes empresas, los especialistas externos permiten disponer de más manos para ayudar a los equipos de ciberseguridad a lidiar con altos volúmenes de trabajo. Sin embargo, es importante entender, en cualquier caso, que la empresa debe tener conocimientos básicos de seguridad de la información para evaluar adecuadamente el trabajo que realiza el personal subcontratado”, explica Konstantin Sapronov, jefe de Equipo Global de Respuesta a Emergencias de Kaspersky.
La situación en las pymes
Si bien en los titulares de las noticias son las grandes empresas las que generan mayor impacto al sufrir una brecha de seguridad o un ataque, las pequeñas y medianas compañías también son blanco de los ciberdelincuentes. En una encuesta realizada por ESET el año pasado a más de 1200 responsables de ciberseguridad de PYMES, dos tercios (69%) afirmaron haber sufrido alguna vulneración en el último año, y un tercio de los encuestados afirmó incluso haber sufrido infracciones más de una vez.
Aunque los tiempos de reacción varían, las respuestas más populares a estos ataques incluyeron la inversión en formación en ciberseguridad para los equipos de TI (42%), la realización de auditorías de riesgos de ciberseguridad (39%) y la inversión en nuevas herramientas de ciberseguridad (38%).
El informe de ESET indica que casi 3 de cada 10 pymes (27%) realizaron una auditoría de ciberseguridad en los últimos seis meses, y un tercio (33%) en el último año. En los casos en que se llevó a cabo una auditoría de ciberseguridad, el 52% recurrió a una empresa externa de seguridad informática y el 40% realizó la auditoría internamente.
Entre los factores investigados en estas evaluaciones, las más comunes son la protección de la información confidencial (44%), la identificación y evaluación de las amenazas a la ciberseguridad (39%), el detalle de los planes de recuperación en caso de pérdida o robo de datos (38%) y la concienciación de los empleados en materia de ciberseguridad (37%).
Todos los especialistas coinciden en que lo más económico y productivo para una empresa es una buena prevención de riegos: tener un proceso de gestión de crisis bien organizado, tratar de prever la mayor cantidad de ataques posibles y cómo reaccionar a ellos proporcionará las herramientas necesarias para una recuperación más rápida.
ESET ha calculado que el coste medio de un ataque para una pyme asciende a 219.000 euros. Sin embargo, si la empresa puede volver a poner en marcha sus operaciones a tiempo, este coste puede reducirse.