Qué sectores son los más vulnerables a un ciberataque en España y cómo reforzar su seguridad
Cualquier empresa puede sufrir un ciberataque, pero los sectores esenciales son especialmente sensibles. Así protegen su seguridad informática con la ayuda de compañías como Cipher, la división de ciberseguridad de Prosegur.
En 2024, España sufrió 97.348 incidentes de ciberseguridad. Los datos, en frío, pueden parecer difíciles de evaluar, pero es la evolución la que nos marca el contexto, un contexto en el que según el Balance de Seguridad publicado por el Instituto Nacional de Ciberseguridad (Incibe), dichos incidentes suponen un aumento del 16,6% respecto a las cifras de 2023, un número que no deja de crecer año tras año desde el 2020.
Cualquier ciberataque es preocupante, pero es cierto que algunos revisten una gravedad mayor que otros. Es el caso de los sectores esenciales o críticos -como revela un reciente estudio elaborado por Cipher- aquellos de los que dependen servicios o suministros que son imprescindibles en el día a día de un país. Dichas actividades sufrieron 341 ciberincidentes y, como podemos ver en el gráfico inferior, el sector del transporte fue el más afectado, seguido muy de cerca por el sistema financiero y tributario y, algo más lejos, el sector TIC, siendo estos los sectores que ocupan el top 3 de los afectados, si bien prácticamente todos los sectores productivos de nuestro país se están viendo diariamente sometidos a ataques relevantes de seguridad.
Estas áreas, además de su evidente importancia, tienen algo en común: todos ellas se encuentran afectados por la Directiva NIS2 (Network and Information Systems Directive 2), la legislación europea que, como objetivo último, pretende reforzar la ciberseguridad en sectores estratégicos para la economía y la sociedad como la energía, el transporte, la banca, la sanidad o la alimentación, entre otros muchos, afectando a la práctica totalidad de sectores productivos del país.
Lo hace elevando el nivel de exigencia en todas las fases de los posibles incidentes: las instituciones, tanto públicas como privadas, no solo deberán incrementar su cautela en la gestión de los datos, sino también mejorar sus sistemas de seguridad y ciberseguridad, dotando a sus organizaciones de las medidas jurídicas, organizativas y técnicas adecuadas. Además, deberán reforzar la protección de sus clientes y proveedores y, en caso de sufrir cualquier percance, informar de ello de manera ágil y efectiva.
TECNOLOGÍA
Directiva NIS2
La nueva normativa europea introduce mayores exigencias técnicas, organizativas y de gobernanza para las organizaciones. Esto las obliga a llevar a cabo las siguientes actuaciones:
- Evaluar y gestionar sus riesgos de ciberseguridad.
- Implantar medidas de protección y respuesta ante incidentes.
- Fortalecer la seguridad de su cadena de suministro.
- Notificar incidentes relevantes en plazos muy reducidos.
Lo cierto es que, aunque el plazo oficial para la transposición de esta normativa a la legislación de cada país venció el 17 de octubre de 2024, España aún no ha completado formalmente la trasposición de la citada Directiva mediante la aprobación de la correspondiente Ley española.
Cómo protegerse frente a ciberataques
En cualquier caso, la ausencia de transposición no ha impedido que, determinados reguladores hayan comenzado a realizar requerimientos de información a entidades de su sector con el fin de conocer el estado de madurez y cumplimiento en materia de seguridad de la información, lo que ha hecho que muchas organizaciones ya estén trabajando en su adecuación a una clara necesidad estratégica que garantice su seguridad en un entorno cada vez más digital y expuesto a ciberamenazas.
En este sentido, Cipher , la división de ciberseguridad del grupo Prosegur, con una experiencia de más de 20 años protegiendo infraestructuras críticas en sectores como banca, energía, seguros y administración pública, con presencia en 18 países, dispone de capacidades tecnológicas propias, entre las que se encuentran xMDR (Extended Detection and Response) y Security Observatory, orientadas a dotar de seguridad las infraestructuras tecnológicas de sus clientes.
También pone al servicio de sus clientes su SPIP (Security Posture Improvement Plan), una solución de ciberseguridad en la que trabajan arquitectos de ciberseguridad, con hackers, centrados en detectar vulnerabilidades y configuraciones erróneas o no adecuadas en los sistemas de los clientes. Fruto de ese análisis, su equipo genera planes de seguridad que permiten facilitar el proceso de implementación del cumplimiento, reduciendo tiempo y costes asociados. Con certificaciones internacionales como PCI QSA, ISO 27001, ISO 20000 o Trusted Introducer, la compañía se centra en aportar un enfoque a medida de cada cliente, adaptándolo a su sistema tecnológico, la criticidad de los activos y las necesidades reales de cada organización, con medidas concretas y ejecutables.
"Cipher es uno de los Managed Security Service Provider (MSSP) más veteranos y reconocidos a nivel mundial".
David Fernández Granado
Director general de la división de ciberseguridad de Prosegur
"Cipher es uno de los Managed Security Service Provider (MSSP) más veteranos y reconocidos a nivel mundial", nos cuenta David Fernández Granado, director general de la división de ciberseguridad de Prosegur, "demostrando un compromiso probado con la excelencia en seguridad. Combina la protección operativa diaria con la visión estratégica necesaria para cumplir normativas como NIS2, DORA o ENS, de forma integrada y realista".
Junto a los servicios de carácter tecnológico, la compañía presentó recientemente su alianza estratégica con ECIJA, firma especializada en la prestación de servicios de Gobierno, Riesgos y Cumplimiento y firma de asesoramiento jurídico de referencia en el mercado iberoamericano en materia de derecho digital, privacidad, protección de datos, riesgos y compliance, aportando de esta forma un enfoque integral en el que, de forma conjunta, apuestan por cubrir todas las necesidades relacionadas con el cumplimiento en materia de seguridad de la información. Concretamente:
- Cipher asume las funciones relacionadas con todos los aspectos técnicos: análisis de riesgos, implementación de medidas de ciberseguridad, monitorización continua y respuesta ante incidentes.
- ECIJA asume las funciones relativas al cumplimiento de los aspectos legales, regulatorios y de compliance: análisis de riesgos y GAP de cumplimiento, desarrollo de políticas y procedimientos, adecuación de contratos, formación a la alta dirección y preparación de la organización para auditorías, así como la gestión y asesoramiento ante posibles procedimientos sancionadores.
La alianza responde a una necesidad real del mercado: "La gran mayoría de empresas buscan un socio único que les ofrezca garantías, tanto tecnológicas, como legales en su proceso de adecuación a la NIS2. Cipher y ECIJA, juntos, ofrecen una solución llave en mano que combina innovación, especialización y experiencia para ayudar a las organizaciones a afrontar uno de los mayores retos regulatorios de la década en materia de ciberseguridad", afirma Alonso Hurtado, socio de IT, Risk & Compliance de la firma.
Merced a esta unión, "las empresas pueden acceder a un servicio completo de cumplimiento de la Directiva NIS2, así como del Reglamento DORA y el propio Esquema Nacional de Seguridad (ENS), abarcando desde la implantación técnica hasta la cobertura jurídica y de cumplimiento normativo, todo gestionado de forma uniforme y eficiente", concluye Fernández Granado.
.webp)
.webp)
.webp)
