Inversión dispersa, baja y fragmentada en una Europa ‘cibertibia’

La consultora IDC prevé que en 2025 el mercado europeo de la ciberseguridad podría superar los 45.000 millones de euros, un 32% más que en 2021. Incluye el gasto en seguridad de equipos, software y servicios, pero probablemente el dato se quede corto. La ciberseguridad representa actualmente alrededor del 3% del mercado total de las TI (tecnologías de la información) y crece tres veces más rápido que el resto del sector.

A nivel global, Mordor Intelligence estima que el mercado de la ciberseguridad alcanzó un tamaño de 117.000 millones de euros en 2021 y aumentará hasta los 195.900 millones en 2026, con una tasa de crecimiento anual del 14,5%. Tiene sentido. El nivel general de seguridad es insuficiente en pleno auge de la transformación digital de empresas y administraciones. Según Orange, cuanto más valor ofrece la tecnología digital a la actividad económica, más atrae al ciberdelito, y como reacción eso dispara la demanda de servicios de ciberseguridad.

Contribuyen también los exigentes estándares que establece la Unión Europea. La directiva NIS2 (Network and Information Security) requiere que las empresas garanticen un nivel suficiente de seguridad para proteger sus sistemas de información y usuarios, y les otorga incluso la capacidad de exigir a sus proveedores que actúen con una intensidad similar. Hay que tener presente que los equipos directivos pueden incurrir en responsabilidad si no actúan con la contundencia necesaria.

Las vulnerabilidades no se reparten por igual en todos los sectores. Banca, seguros y servicios financieros, donde la mayoría de las transacciones ahora son digitales, han invertido mucho durante años para proteger sus sistemas, pero los sectores de fabricación, venta minorista y atención médica se encuentran solo al comienzo de su transformación digital. La pandemia también ha cambiado el terreno de juego: los ataques son cada vez más generalizados y apuntan también a las pequeñas empresas.

Según Mordor Intelligence, las industrias dirigidas a los usuarios finales que experimentarán el mayor aumento en el gasto en ciberseguridad hasta 2025 son el cuidado de la salud (14,1%); banca, servicios financieros y seguros (12%); el sector público (11,4%); e informática y telecomunicaciones (10,3%).

Se estima que el gasto total en ciberseguridad como porcentaje del PIB es de alrededor del 0,1% a nivel mundial. Estados Unidos lo eleva a alrededor del 0,35%, gracias al apoyo financiero del Gobierno, que alcanzó los 16.700 millones de euros en 2021, incluidos casi 800 millones sólo para investigación e innovación. China ha puesto en marcha, por su parte, un programa para el despliegue de tecnologías cuánticas con un enfoque en la ciberseguridad por valor de 9.000 millones de euros.

En comparación, sólo puede decirse que el gasto público en ciberseguridad en la UE ha sido bajo, fragmentado y dis perso en varias categorías presupuestarias. El Banco Europeo de Inversión da por buena una estimación que lo sitúa entre los 1.000 y los 2.000 millones de euros al año.

En algunos Estados miembros, el gasto en ciberseguridad como porcentaje del PIB no alcanza ni una décima parte de los niveles de EEUU, proporcionalmente, añade el BEI. Alemania y Francia tienen una participación significativa en el mercado de ciberseguridad de la UE, seguidos por Italia, España, Polonia y los Países Bajos.

Esta debilidad se traslada al mercado. Según un estudio de la propia Comisión Europea, sólo 67 de las 500 empresas de ciberseguridad líderes a nivel mundial con mayores tasas de crecimiento tienen su sede en la UE. Uno de los problemas más graves tiene que ver con la disponibilidad de talento. Según el Cybersecurity Workforce Study 2021 del Consorcio internacional de Certificación de Seguridad de Sistemas de Información (ISC)2 , Europa (incluido el Reino Unido) carecía de alrededor de 200.000 profesionales de la ciberseguridad.

La contratación de mano de obra cualificada es una barrera relevante para el crecimiento del sector. Si queremos ver el vaso medio lleno, la Agencia de la Unión Europea para la ciberseguridad (ENISA) estima que la cantidad de graduados se duplicará en los próximos dos o tres años, y esto ayudará a paliar la escasez. Para abordar estas debilidades del ecosistema europeo de ciberseguridad, la Comisión Europea lanzó la iniciativa Cybersecurity Smart Regions, también conocidas como “cibervalles”. En España participan el País Vasco y Castilla y León.

En cuanto a la situación a tiempo real en nuestro país, un trabajo de campo de Deloitte hace varios apuntes interesantes. En España, casi el 50% de las organizaciones consultadas no cuenta con ninguna certificación en ciberseguridad, pese a que en 2022 aumentaron en casi un 30% las horas de formación online en ciberseguridad para los empleados.

En cuanto a la identificación de dispositivos, recursos, aplicaciones o equipos que pueden considerarse críticos por su mayor exposición a riesgos, en España en 2022 seis de cada diez empresas consultadas por Deloitte aseguraron revisar al menos la mitad de ellos, “lo que deja ver que aún hay un 40% que continúa sin hacer estas auditorías”.

Los sectores con mayor número de incidentes fueron seguros y hostelería, con más de cinco incidentes cada uno. Sobre la tipología de los ciberataques, las amenazas más habituales siguen siendo el ransomware, el malware y el phishing. Aunque las empresas incrementen el número de personas asignadas a los equipos de ciberseguridad, ya sea interna o externamente, externalizan en torno al 50% de estas funciones.

Aún hay un 21% de compañías que no disponen de Centros de Operaciones de Seguridad (SOC) para procesar incidentes. La mayoría de las empresas españolas (62%) incrementó el año pasado su presupuesto, aunque la inversión destinada difiere bastante: el 25% de las organizaciones españolas tiene un presupuesto menor a 500.000 euros.

Realidad de la pyme por Google

Justo antes de la pandemia, Google publicó un “Panorama de la Ciberseguridad en España” en el que radiografíaba la realidad de las pymes. El 99,8% del tejido empresarial no se considera un objetivo para un ciberataque. Casi tras millones de empresas estaban poco o nada protegidas contra hackers, tan solo un 36% de las pymes tenían protocolos básicos de seguridad, como la verificación de dos pasos para el correo, y el 30% de las webs no disponían del protocolo https. “La pyme es el eslabón más vulnerable de esta cadena, por falta de medios”.