Cerca de siete de cada diez universidades españolas (67,86%) han sufrido ciberataques o ciberincidentes en el último año: El 32,1% ha sufrido entre dos y cinco ataques anuales y el 17,9% más de cinco incidentes.
Esta es una de las principales conclusiones del primer Índice de Madurez en Ciberseguridad (IMC) de las instituciones de educación superior, elaborado por Banco Santander -a través de MetaRed- y la Secretaría General Iberoamericana (SEGIB), con la participación de más de 240 universidades de catorce países.
Las universidades públicas españolas presentan un Índice de Madurez en Ciberseguridad de 1,72, frente a 1,82 de las universidades privadas. En ambos casos, el nivel de madurez es intermedio (L2), lo que refleja la existencia de políticas y procedimientos "bien definidos y documentados", la implementación de tecnologías de seguridad como sistemas de detección de intrusos o herramientas de cifrado, personal de seguridad dedicado y con cierta especialización y procesos de gestión de riesgos formalizados, entre otros.
Sin embargo, se encuentra todavía a medio camino para la consecución de un nivel de madurez avanzado y delimitado por el umbral de 2,25.
Según los datos recogidos en el estudio, en el 50% de las universidades españolas, el equipo de ciberseguridad se compone de una o dos personas, el 35,7% cuenta con entre tres y cinco personas dedicadas y tan solo el 14,3% tiene equipos de más de cinco miembros. Estos valores sitúan a España como el único país del estudio donde todas las universidades participantes han indicado que disponen de equipo de ciberseguridad.
Además, el documento señala que los equipos compuestos por una o dos personas en España son un 6% inferiores a la media iberoamericana, frente a los equipos de más personas que se ubican un 6% por encima de la media.
En cuanto al presupuesto, ocho de cada diez universidades españolas cuenta con partidas presupuestarias para la realización de inversiones y gastos en ciberseguridad. Sin embargo, tan solo el 3,6% de estas universidades tiene un presupuesto de ciberseguridad diferenciado del presupuesto del área de TI. La tendencia es contar con partidas específicas dentro del presupuesto del dicha área (42,9%) o usar parcialmente partidas presupuestarias generales para ciberseguridad (32,1%).
La investigación concluye que un 60% de las universidades iberoamericanas ha sido blanco de algún tipo de ciberataque o ha sufrido algún ciberincidente en los últimos doce meses, con una media de 15,9 incidentes registrados por institución.
Esta radiografía del estado actual de la ciberseguridad en las instituciones de educación superior (IES) en estos países, sitúa a la mayoría de las universidades en un IMC medio de 1,37 puntos sobre 3, equivalente a un nivel básico de preparación ante ciberamenazas.
España (1,73), Colombia (1,62) y Chile (1,47) son los países mejor preparados, mientras que Ecuador (0,99), Argentina (1,06) o México (1,27) muestran las mayores carencias.
Asimismo, el informe revela que el 53% de las universidades iberoamericanas no cuenta con una estrategia institucional de ciberseguridad o que las universidades con equipos de ciberseguridad cualificados obtienen niveles de madurez significativamente más altos (hasta el doble). Mientras que las instituciones que no cuentan con personal cualificado obtienen un IMC de 0,69, situando su madurez en un nivel inicial.
Sólo el 4,1% de las universidades iberoamericanas cuenta con un presupuesto de ciberseguridad diferenciado de TI; las que destinan más del 5% de su presupuesto TI a ciberseguridad alcanzan niveles intermedios o avanzados.
Casi el 70% de las instituciones no dispone de procedimientos formales a aprobados para la gestión de incidentes de ransomware; y el 40% planea contratar nuevo personal en los próximos 12 meses, aunque un 57% señala dificultades para captar talento por los costes salariales y un 55% por la escasez de perfiles.
