Hiscox ha publicado su ‘Barómetro de ciberpreparación del sector de Ocio y Turismo 2021’, donde analiza la madurez de la ciberseguridad de esta industria a partir de los datos obtenidos de la quinta edición del Informe de Ciberpreparación de Hiscox 2021. 

El barómetro confirma que el sector español de ocio y turismo tiene una madurez en ciberseguridad por debajo de la media del tejido empresarial español con solo el 5% de las compañías calificadas como ciberexpertas frente al 9% nacional, y siendo 1 de cada 2 empresas cibernovatas, respecto al 35% de la media del estudio. Además, si se comparan los resultados con el sector de ocio y turismo del resto de países analizados, existe aún una mayor brecha de ciberpreparación, ya que en este caso el 16% de las empresas de este sector en Bélgica, Francia, Alemania, Países Bajos, Reino Unido y EE. UU. son expertas, once puntos por encima de la industria española. 

Preguntadas por los puntos de acceso de los ciberataques más frecuentes en 2020, las empresas españolas de ocio y turismo tuvieron en los móviles personales de sus empleados la mayor vulnerabilidad, más de 4 de cada 10 incidentes fueron a través de esta vía. Un dato muy significativo comparado con el 19% de media en el resto de sectores españoles o el 24% de los incidentes sufridos por empresas de este sector en otros países. La segunda entrada más frecuente fueron los dispositivos móviles corporativos (29%) y a través de proveedores de la cadena de suministro (29%). En la actualidad el 59% de los empleados de estas empresas tienen acceso en remoto cuando antes de la pandemia el porcentaje era del 13%. Entre la tipología de ataques, el más repetido fue el compromiso del correo electrónico que provocó pérdidas financieras debido al fraude por desvío de pagos. 

“El sector de ocio y turismo español no solo ha tenido que enfrentarse al peor año de su historia por las consecuencias de la pandemia del Covid19, sino que además ha debido hacerlo en un contexto de transformación digital para el que no estaba preparado”, analiza Nerea de la Fuente, directora de Suscripción Técnica de Hiscox Iberia. Además de una menor madurez, la industria del ocio y turismo muestra un mayor riesgo financiero por su atractivo para los ciberdelincuentes, por la naturaleza de su actividad con una gran cantidad de transferencias y contrataciones en muchos casos con proveedores y clientes de otros países. Esta combinación hace que estas empresas sean más atacadas y es que tanto en España como en el resto de países analizados, las empresas de este sector muestran un coste medio anual, entre aquellas que han sufrido al menos un ataque, en torno a los 90.000 euros, siendo la media del resto de actividades un poco más de 51.000 euros.  

Pero este impacto en el negocio no es solo económico, cuando se pregunta a las empresas de ocio y turismo españolas sobre las consecuencias de estos ataques el 43% confirma que han tenido impacto en su marca y reputación y el 36% que ha perdido clientes debido a estos incidentes. 

Por otro lado, con la vista puesta en 2021, 6 de cada 10 (61%) tiene entre sus prioridades mejorar la seguridad de las aplicaciones y servicios de cara al cliente, el 57% abordar amenazas y vulnerabilidades actuales, y el 52% implementar sistemas de detección de personas, conexiones, dispositivos o software no autorizados. Además, más de 6 de cada 10 (64%) afirma que incrementará su presupuesto en ciberseguridad entre un 5% y un 10%, y las tres partidas que más aumentarán serán las dedicadas a nuevas tecnología (57%), formación de empleados (50%) y externalización de servicios de ciberseguridad (43%).

“En la transferencia del riesgo ciber a una póliza, el sector español de ocio y turismo ofrece una menor cobertura, solo el 46% de las empresas españolas y el 45% en el resto de países disponen de un seguro especializado o cobertura en póliza general, casi 20 puntos por debajo de la media del tejido empresarial español donde el 64% afirma tener este riesgo cubierto a través de una aseguradora. El sector se juega su futuro en los próximos meses según vayan completándose los ciclos de vacunación, y debe estar preparado en muchos aspectos, también en los que respecta a su ciberseguridad”, ha concluido Nerea de la Fuente.

Con motivo del lanzamiento del Informe de Ciberpreparación de Hiscox 2021 la compañía da acceso, sin coste, a las empresas del sector de Ocio y Turismo a dos nuevas herramientas. Por un lado, una herramienta de Evaluación de la Ciberpreparación que les permitirá, a través de tan solo siete preguntas, averiguar si la organización tiene un riesgo bajo, medio o alto de sufrir un ciberataque. Y por otro, un modelo de madurez interactivo donde comprender las fortalezas y debilidades de la estrategia de ciberseguridad de su empresa y poder incluso comprar sus resultados con compañías similares por tamaño, país o actividad. 

Las empresas TMT, mejor preparadas

En el contexto del Día Mundial de las Telecomunicaciones y la Sociedad de la Información celebrado esta semana, Hiscox ha publicado también el Barómetro de Ciberpreparación del sector TMT (tecnología, media y telecomunicaciones). Este barómetro confirma que el sector español de TMT  está más ciberpreparado que la media del tejido empresarial español con el 19% de las compañías calificadas como ciberexpertas frente al 9% nacional, y con menos compañías cibernovatas, un 27% respecto al 35% de la media del estudio. Aunque si se comparan los resultados con el sector TMT del resto de países, el español ofrece una menor madurez ciber, ya que en este caso el 25% de las empresas de TMT de Bélgica, Francia, Alemania, Países Bajos, Reino Unido y EE. UU. son expertas, cuatro puntos por encima que en la industria española.

Preguntadas por los puntos de acceso de los ciberataques más frecuentes en 2020 las empresas españolas de TMT confirman que han sido a través del servidor propio y el servidor en la nube y a través de una negligencia de un empleado vía suplantación de identidad e ingeniería social. El barómetro arroja un dato interesante en este aspecto ya que el 37% de las compañías españolas de TMT reconocen haber sufrido un ataque de ingeniería social a través de un trabajador, muy por encima de la media nacional (28%). Los ataques más frecuentes han sido pérdidas de datos cifrados, virus (no ransomware) y ataque DDoS, con porcentajes también ligeramente superiores a la media del resto de empresas españolas del estudio.

“La industria TMT forma parte de la cadena de suministro de gran porcentaje del tejido empresarial, su ciberseguridad es la ciberseguridad de todos. El barómetro muestra el gran compromiso de estas empresas, que obtienen resultados muy destacados sobre su nivel de madurez, pero por otro lado también deja en evidencia su mayor exposición al riesgo, por la propia naturaleza de su actividad”, analiza Nerea de la Fuente.

Respecto a los costes financieros directos e indirectos provocados por los ciberataques, entre aquellas empresas que afirman haber sido atacadas en 2020, aquellas que pertenecen al sector TMT comunican un gasto medio mayor. Así, mientras que la media del tejido empresarial español está en torno a los 50.000€ anuales, en el caso de esta industria se aproxima a los 55.000€ durante el año pasado – un 10% más. Una diferencia que es más significativa cuando se analiza el coste medio del incidente de mayor relevancia que en términos generales fue cercano a los 30.000€ en la media del estudio, mientras que en las empresas españolas del sector TMT supusieron un coste superior a los 38.000€ – un 26% más-. 

El mayor compromiso hacia su ciberpreparación también se muestra al valorar qué acciones han desarrollado posteriormente las empresas que confirman haber sufrido incidentes ciber en 2020. El 20% de las empresas españolas pertenecientes a otros sectores afirman que tras los ataques dedicaron nuevos recursos a la evaluación general de la estrategia de seguridad y/o privacidad, en el caso de la industria TMT es el 31% las que realizan esta afirmación. 

Entre las iniciativas de ciberseguridad que las compañías españolas de TMT tienen previstas desarrollar en 2021: el 64% implementará nuevos sistemas para detectar personas, conexiones, dispositivos o software no autorizados, el 62% abordará con mayor detalle las amenazas y vulnerabilidades ya existentes, y el 60% invertirá en la detención de malware en los dispositivos de empleados. “El trabajo en remoto es causa directa de dos de las tres prioridades en prevención de ciberataques del sector TMT en 2021, y es que las compañías de esta industria han desarrollado programas de teletrabajo más ambiciosos, hoy el 66% de los empleados de estas empresas tienen acceso remoto frente al 16% que tenían antes de la pandemia”, comenta Nerea de la Fuente. De hecho, al analizar la trasformación que esta crisis sanitaria ha generado en la industria española de TMT, más de 4 de cada 10 empresas afirman que ha aumentado el número de personal trabajando en remoto, el uso de tecnologías colaborativas y la adopción de tecnologías basadas en la nube.

Respecto a los planes de inversión, en la actualidad las empresas españolas de TMT dedican el 19% de su presupuesto de TI a ciberseguridad, y el 54% afirma que su plan para 2021 es incrementar esta partida entre un 5% y un 10%. Las tres áreas que más crecimiento experimentarán serán auditorías y programas de prevención, en el 46% de las compañías, seguido de la implantación de nuevas tecnologías (43%) y formación de empleados (42%).

“En la transferencia del riesgo ciber a una póliza, el sector español de TMT ofrece unos datos similares a la media del resto de actividades del tejido empresarial nacional, 6 de cada 10 disponen de un seguro especializado o cobertura en póliza general, pero se sitúan 10 puntos por debajo de las compañías de TMT del resto de países analizados, donde el 70% afirma tener este riesgo cubierto a través de una aseguradora”, ha concluido Nerea de la Fuente.