Consultoría & Consultores

El 80% de las universidades considera que están expuestas a un alto riesgo por ciberamenazas.

El presupuesto destinado a iniciativas de ciberseguridad no supera el 10% del presupuesto de TI, según el Estudio de Ciberseguridad en el sector universitario elaborado por Deloitte.

La seguridad de la información se ha situado como uno de los principales puntos de preocupación y riesgo dentro de las organizaciones, incluyendo a las universidades. Este sector es uno de los más afectados por las ciberamenazas, tal y como demuestra el Estudio de Ciberseguridad en el sector universitario llevado a cabo por Deloitte, según el cual el 80% de las universidades participantes declararon haber sufrido algún incidente en los últimos 12 meses. De ellas, el 62% ha sufrido entre 2 y 5 ciberataques y el 10% recibió más de 10. Estos datos vienen a ilustrar la creciente preocupación que existe actualmente en las organizaciones por sus posibles efectos, y que han motivado que las ciberamenazas hayan escalado a las posiciones más altas de los mapas de riesgos de las empresas, de forma que son monitorizados cada vez más de cerca por los Consejos de Administración.

El estudio tiene como objetivo dar a conocer la tipología de las ciberamenazas emergentes, los mecanismos para su monitorización y la gestión de los riesgos asociados que permitan a las universidades establecer las medidas de prevención y adopción necesarias para garantizar la protección de sus sistemas frente a cualquier incidente.

Asimismo, el estudio analiza el grado de cumplimiento actual de las universidades con respecto a la regulación en materia de privacidad de la información y protección de datos, identificando las acciones más inmediatas a poner en marcha tras la entrada en vigor de la GDPR.

Ciberseguridad en universidades españolas

El presupuesto, una barrera en la lucha contra las ciberamenazas

Uno de los problemas que afectan negativamente a la hora de impulsar las iniciativas de ciberseguridad es, sin duda alguna, el presupuestario.

Así lo refleja el 100% de las universidades participantes, que declara que el presupuesto destinado a estas medidas no supera el 10% del total de las partidas dedicadas a las Tecnologías de la Información (IT). En este sentido, el 36% de las universidades participantes ha declarado no contar con ningún recurso específico destinado a estos riesgos.

Asimismo, el 55% de las universidades incluidas en el estudio declaró no contar actualmente con una función de auditoría interna encargada de verificar los procesos relacionados con la seguridad de la información, y el porcentaje de aplicaciones o sistemas que superan una auditoría antes de pasar a producción, como los que son supervisados con una auditoría anual, son relativamente bajos.

En este aspecto, y dado que la tendencia actual es la externalización de los servicios relacionados con las Tecnologías de la Información, la mayor parte de las universidades confían en los procesos internos de los propios proveedores, de forma que no comprueban de forma sistemática el grado exposición al riesgo y las medidas de seguridad de sus proveedores, lo que afecta negativamente a su propia preparación ante el riesgo.

Pese a estos datos, se espera que durante el año 2018 estas universidades aumenten el gasto en ciberseguridad, centrado principalmente en acciones de comunicación y concienciación de los empleados. De momento, el 64% no lleva a cabo acciones de sensibilización en materia de seguridad ni formación específica y de alto nivel para los principales grupos de interés.

Durante 2017, la mayor parte del presupuesto destinado a ciberseguridad se dedicó a la prevención y detección de ataques. Un reparto más que razonable si se tiene en cuenta que de todos los ataques recibidos el 40% tuvo su origen en malware y el 30% en ataques DDoS.

La dirección se preocupa por la ciberseguridad

A pesar de que el 80% de las universidades participantes considera estar expuesta a un alto riesgo en materia de la seguridad de la información, casi dos tercios (el 63%) cree que el sector tiene un nivel de protección medio o bajo. Pese a que el 54% de los centros cree estar mejor preparado que la media, lo cierto es que solo el 27% cree que tiene un nivel de protección alto.

Sin embargo, el 64% de estos organismos reconoce que la seguridad de la información es un aspecto relevante para la dirección de la universidad, y de hecho la mayor parte declaran que su Responsable de Seguridad, generalmente CISO o CIO, reporta al CEO y/o al Comité ejecutivo el estado de la seguridad de la información.

La posibilidad de generar una crisis reputacional y la falta de un protocolo de actuación para la contención y minimización de daños son las inquietudes que más preocupan a estos organismos.

Privacidad y protección de datos

Las preocupaciones existentes en este sector en relación a la privacidad y gestión de datos personales es otro de los aspectos destacados del estudio. Un 73% de las universidades participantes declara no considerarse bien informada sobre la nueva normativa europea de protección de datos y sobre los nuevos requerimientos que implica.

En consecuencia, los principales factores que a su juicio dificultan el cumplimiento del nuevo GDPR los siguientes:

  1. Necesidad de gestionar el consentimiento explícito de clientes.
  2. Implantación de las acciones necesarias para garantizar el principio de responsabilidad proactiva.
  3. Complejidad de sistemas.
  4. Incremento del volumen de datos a tratar.

El cumplimiento de la legislación es, sin duda alguna, la mayor preocupación de las universidades al respecto de la nueva normativa, seguida muy de lejos por la información compartida con terceros.