Recientemente, Banco Santander y la Secretaría General Iberoamericana lanzaron el primer “Índice de Madurez en Ciberseguridad de las universidades iberoamericanas”, en el que se reveló -entre otras cosas- que un 60% de los establecimientos de educación superior de la región sufrió ciberincidentes o ciberataques en el último año.
Ante ese escenario, en el que hay una media de 15,9 incidentes registrados por institución, el informe plantea que existe una necesidad de contar con equipos de ciberseguridad cualificados y presupuestos suficientes para desarrollar estrategias efectivas frente a los ciberdelincuentes.
El Índice de Madurez en Ciberseguridad (IMC) de las instituciones de educación superior, (elaborado por el banco a través de MetaRed), contó con la participación de más de 240 universidades de 14 países.
Esta radiografía del estado actual de la ciberseguridad en las instituciones de educación superior (IES) en estos países, sitúa a la mayoría de las universidades en un IMC medio de 1,37 puntos sobre 3, equivalente a un nivel básico de preparación ante ciberamenazas. España (1,73), Colombia (1,62) y Chile (1,47) son los países mejor preparados, mientras que Ecuador (0,99), Argentina (1,06) o México (1,27) muestran las mayores carencias.
Al respecto, el secretario general de Segib, Andrés Allamand, destacó que “este informe es una poderosa herramienta para la elaboración de políticas públicas, y puede contribuir de manera concreta a la implementación de la Estrategia Iberoamericana para la Transformación Digital de la Educación Superior (Eitdes). Especialmente en cuanto al desarrollo e implementación de políticas de ciberseguridad robustas, integrales y adaptadas a las capacidades de cada institución”.
Conclusiones del informe de Santander y Segib
– El 53% de las universidades no cuenta con una estrategia institucional de ciberseguridad.
– Universidades con equipos de ciberseguridad cualificados obtienen niveles de madurez significativamente más altos (hasta el doble). Mientras que las instituciones que no cuentan con personal cualificado obtienen un IMC de 0,69, situando su madurez en un nivel inicial.
– Sólo el 4,1% de las IES cuenta con un presupuesto de ciberseguridad diferenciado de TI; las que destinan más del 5% de su presupuesto TI a ciberseguridad alcanzan niveles intermedios o avanzados.
– Casi el 70% de las instituciones no dispone de procedimientos formales a aprobados para la gestión de incidentes de ransomware. – El 40% planea contratar nuevo personal en los próximos 12 meses, aunque un 57% señala dificultades para captar talento por los costes salariales y un 55% por la escasez de perfiles.
Frente a esto, Juan Manuel Cendoya, vicepresidente de Santander España, alertó que “la educación y la salud han pasado a ser objetivos prioritarios para los ciberdelincuentes, debido a la sensibilidad de los datos que manejan”.
Asimismo, subrayó que MetaRed es una de las iniciativas del Banco para fortalecer las capacidades de las universidades iberoamericanas en esta materia y que “apostar por la ciberseguridad implica asumir un compromiso estratégico con el presente y el futuro de nuestras comunidades“.
Por su parte, Edward Roekaert, rector de la Universidad Peruana de Ciencias Aplicadas, recordó que “los desafíos que enfrentamos en materia de ciberseguridad no entienden de fronteras por lo que la colaboración internacional deja de ser un deseo para convertirse en una estrategia imprescindible. En este escenario, esta iniciativa pionera marca un antes y un después en la forma en que abordamos la protección del conocimiento, las personas y los datos en nuestras universidades”.
Dimensiones analizadas
El modelo del IMC 2024 se basa en los principios y dominios del Framework de Ciberseguridad del Instituto Nacional de Estándares y Tecnología (NIST) de Estados Unidos.
El estudio ha considerado y analizado seis dominios y su alcance, que son Gobernanza; Detección; Identificación; Respuesta y recuperación; Protección; y Formación y talento.
Así, los datos reflejan una tendencia global hacia el desarrollo de acciones de protección (nivel de madurez en este dominio de 1,54 puntos -Intermedio).
Esta priorización de la protección junto a la detección, frente a otros dominios como la gobernanza, la identificación, o la respuesta y recuperación, refleja la preocupación de las instituciones por colaborar y atender a los diferentes frentes de trabajo en materia de ciberseguridad.
