Segons el primer «Índex de Maduresa en Ciberseguretat de les universitats iberoamericanes», que situa Espanya com el país més preparat davant de ciberamenaces.

El 60 % de les Institucions d’Educació Superior (IES) d’Iberoamèrica ha estat objectiu d’algun ciberatac o ha patit algun ciberincident els darrers 12 mesos, amb una mitjana de 15,9 incidents registrats per institució. A Espanya, el percentatge d’IES que s’han vist afectades per un ciberatac o ciberincident puja fins al 67,86 %, malgrat que registren un grau de maduresa en ciberseguretat superior al de les homòlogues iberoamericanes. Ho posa de manifest el primer «Índex de Maduresa en Ciberseguretat (IMC) de les Institucions d’Educació Superior (IES) Iberoamericanes», elaborat per Banco Santander –a través de MetaRed– i la Secretaria General Iberoamericana (SEGIB), amb la participació de més de 240 universitats de 14 països.

L’informe ofereix una radiografia de l’estat de la ciberseguretat a les IES d’aquests països i presenta l’IMC que té cadascuna d’elles en base a un model integral que abasta els dominis següents: Governar (GB), Identificar (ID), Protegir (PR), Detectar (DE), Respondre/Recuperar (REiRC), i Formació i talent (FT).

«A través d’una anàlisi detallada i sistemàtica d’aquests dominis, hem avaluat el grau de preparació i resiliència de les institucions educatives davant les amenaces cibernètiques. Les troballes d’aquest informe no només proporcionen una visió de l’estat actual de la ciberseguretat al sector educatiu iberoamericà, sinó que també ofereixen una base sòlida per a la implementació de millores contínues i l’enfortiment de les estratègies de seguretat» indica el document.

Les IES espanyoles, les més preparades davant de ciberamenaces

L’informe posiciona Espanya com el país amb més nivell de maduresa en ciberseguretat, amb un IMC d’1,73 punts sobre 3, fet que suposen 0,36 punts més que l’IMC mitjà de les IES iberoamericanes (1,37 punts). Tot darrere hi ha Colòmbia amb un IMC d’1,62, valor que fa que sigui, amb Espanya, l’únic país que té un nivell de maduresa en ciberseguretat intermedi (L2).

La resta de països es queden en un nivell bàsic (L1), si bé Xile i Portugal superen l’IMC de la mitjana iberoamericana, amb 1,47 i 1,41 punts respectivament. Per contra, els països que mostren les mancances més grans en ciberseguretat són l’Equador (IMC 0,99), Argentina (IMC 1,06) i Mèxic (IMC 1,27).

«De les IES enquestades a Espanya, totes presenten un nivell de maduresa superior a L0, i el 35,7 % se situa dins del nivell de maduresa bàsic (L1), un 53,6 % amb un nivell intermedi (L2) i un 10,7 % en nivell avançat (L3). Es tracta de valors que situen 6 de cada 10 institucions espanyoles dins un nivell de maduresa intermedi o avançat, essent la mitjana iberoamericana del 40,8 %», assenyala el document.

«Si aprofundim en els dominis d’aplicació, Espanya supera la mitjana iberoamericana als 5 dominis del model de maduresa. Els valors amb més diferència són els corresponents al domini Governar (GB), Detectar (DE) i Respondre i Recuperar (REiRC) amb 52, 47 i 41 punts de diferència, respectivament», afegeix.

Recursos destinats a la ciberseguretat

L’informe també examina el capital humà i la inversió econòmica que destinen les IES a reforçar-ne la ciberseguretat, factors que repercuteixen directament en el grau de maduresa de les universitats.

Espanya treu nota al capital humà, i se situa com a l’únic país de l’estudi on totes les IES participants han indicat que disposen d’un equip de ciberseguretat. En el 50 % dels casos està format per 1 o 2 persones, mentre que el 35,7 % té entre 3 i 5 persones i tan sols el 14,3 % té equips de més de 5 membres.

Pel que fa al pressupost, determina que 8 de cada 10 universitats espanyoles disposen de partides pressupostàries assignades a despeses en ciberseguretat, encara que només el 3,6 % té un pressupost de ciberseguretat diferenciat del pressupost de l’àrea de TI. Pel que fa a la magnitud d’aquest pressupost, el 64,3 % de les universitats espanyoles afirmen tenir un pressupost de ciberseguretat en un ordre de magnitud menor del 5 % del pressupost total de l’àrea de TI.  Un 10,71 % estimen aquest valor en un rang entre el 5-10 %, un 10,7 % al rang 10-20 % i un 14,3 % supera el llindar del 20 % del pressupost de l’àrea TI.

«Els ciberincidents de les IES tenen un impacte directe a l’IMC. En concret, s’observa un increment important en les institucions que han tingut alguna incidència l’últim any, especialment en aquelles que reben el seu primer ciberincident, on es planteja un reforç de la ciberseguretat de la institució. A conseqüència d’aquesta situació, l’IMC puja de mitjana» apunta.

Altres conclusions

A nivell global, l’informe també presenta les conclusions destacades següents:

• El 53 % de les universitats no tenen una estratègia institucional de ciberseguretat.
• Només el 4,1 % de les IES disposa d’un pressupost de ciberseguretat diferenciat de TI; les que destinen més del 5 % del pressupost TI a ciberseguretat assoleixen nivells intermedis o avançats.
• Gairebé el 70 % de les institucions no tenen procediments formals aprovats per a la gestió d’incidents de programari de segrest.
• El 40 % planeja contractar personal nou els pròxims 12 mesos, encara que un 57 % assenyala dificultats per captar talent pels costos salarials i un 55 % per l’escassetat de perfils.

Una crida a l’acció

L’objectiu d’aquest estudi és combatre els ciberatacs contra les IES, un dels sectors més afectats a nivell global per la ciberdelinqüència, i es converteix en una eina valuosa per a autoritats nacionals vinculades a les IES, directius d’aquestes institucions i resta d’equips tècnics i acadèmics responsables de prendre decisions estratègiques i assignar recursos en la lluita contra les amenaces cibernètiques.

Durant la presentació de l’estudi, el secretari general de SEGIB, Andrés Allamand, ha subratllat que «aquest informe és una eina poderosa per a l’elaboració de polítiques públiques, i pot contribuir de manera concreta a la implementació de l’Estratègia Iberoamericana per a la Transformació Digital de l’Educació Superior (EITDES), especialment pel que fa al desenvolupament i la implementació de polítiques de ciberseguretat robustes, integrals i adaptades a les capacitats de cada institució.»

Juan Manuel Cendoya, vicepresident de Santander Espanya, ha advertit que «apostar per la ciberseguretat implica assumir un compromís estratègic amb el present i el futur de les nostres comunitats.»

Per altra banda, Edward Roekaert, rector de la Universitat Peruana de Ciències Aplicades, ha recordat que «els desafiaments als quals ens enfrontem en matèria de ciberseguretat no entenen de fronteres, de manera que la col·laboració internacional deixa de ser un desig per convertir-se en una estratègia imprescindible. En aquest escenari, aquesta iniciativa pionera marca un abans i un després en la manera com abordem la protecció del coneixement, les persones i les dades a les nostres universitats.»