La sexta edición del estudio “El estado de la ciberseguridad en España” muestra una tendencia creciente: la integración de la ciberseguridad en la estrategia empresarial, donde la implicación de la Alta Dirección y la formalización de estructuras de gobernanza son aspectos fundamentales para transformar la función de seguridad de un rol reactivo a uno estratégico.

Asimismo, el informe destaca que, a pesar del notable incremento en los presupuestos destinados a la ciberseguridad y a la adopción de nuevas tecnologías como la inteligencia artificial, persisten carencias significativas en la comprensión y medición del impacto de estas inversiones. La creciente presión de normativas internacionales y la escasez de talento especializado subrayan la importancia de desarrollar estrategias resilientes y adaptativas para afrontar futuras amenazas en un entorno cada vez más complejo.

El nuevo informe de Deloitte revela siete insights clave sobre el estado actual del sector, que reflejan tanto avances como áreas de mejora.

1. La ciberseguridad, cada vez más conectada al negocio, pero aún lejos del nivel esperado.

Las organizaciones han avanzado en la integración de la ciberseguridad en sus estrategias de negocio, pero la conexión sigue siendo frágil. Aunque el 59% de las empresas cuenta con modelos de gobierno actualizados, un 28% opera con estructuras poco definidas y un 13% carece de ellas por completo. Además, solo el 42% tiene comités específicos para alinear negocio y ciberseguridad.

2. La presión regulatoria en materia de ciberseguridad apunta a un accountability de la Alta Dirección, que puede que no se esté dando.

Normativas como NIS2 y DORA exigen mayor responsabilidad de la Alta Dirección en materia de ciberseguridad. Sin embargo, el 26% de los CISO considera que la dirección no es plenamente consciente de su accountability en caso de incidentes, y un 68% de las empresas dice contar con mecanismos documentados para demostrar diligencia. Esto evidencia que muchas aún no están preparadas para afrontar litigios o reclamaciones.

3. Las empresas están dando pasos importantes en la gestión de la ciberseguridad en terceros, aunque aún se encuentran lejos de modelos robustos.

La dependencia de terceros sigue siendo uno de los mayores retos. De hecho, es la segunda mayor amenaza para el 71% de los CISO. Sin embargo, solo el 29% de las empresas se siente segura con la ciberseguridad de sus proveedores críticos y el 53% no utiliza herramientas específicas para gestionar estos riesgos de terceros. También, hay margen de mejora en la integración efectiva de estos terceros en la estrategia de ciberseguridad, pues solo un 39% de empresas involucra terceros en sus pruebas.

4. Resiliencia: una prioridad para la Alta Dirección, un reto para el CISO
 

El 84% de los líderes empresariales reconoce la continuidad operativa como una prioridad en ciberseguridad. No obstante, el 55% de los CISO considera que la Alta Dirección no es plenamente consciente de las medidas reales frente a una parada total de sistemas y sólo un 10% puede estimar con detalle los costes asociados a un ciberataque. Además, casi la mitad de las empresas no ha probado su Plan de Recuperación ante Desastres.

5. La Inteligencia Artificial, un potenciador de ciberamenazas del ahora, donde el enfoque de ciberseguridad tradicional no es suficiente.

La IA está revolucionando la ciberseguridad, pero también abre nuevas brechas. Aunque el 49% de las empresas ya usa IA en sus operaciones, más de la mitad de las organizaciones no contemplan medidas específicas de seguridad en estos sistemas. Su uso en ciberseguridad también se destaca como clave en esta edición, especialmente en la respuesta ante incidentes y automatización del reporte.

6. Presupuestos al alza en ciberseguridad, pero sin un entendimiento claro de la Alta Dirección

Los presupuestos en ciberseguridad siguen aumentando, pero sin una visión clara de la Alta Dirección sobre su impacto. Aunque las inversiones han crecido, hay un reto en comprender el presupuesto desde Dirección, como reportan el 28% de los CISO, o la efectivad real de los controles, pues el 40% de las organizaciones desconoce el tiempo de recuperación en caso de una caída total de sistemas. 
 

7. Se agrava el reto de la escasez de talento de ciberseguridad en un mercado local con competencia internacional.

El déficit de profesionales en ciberseguridad continua siendo una preocupación creciente. La competencia internacional hace que atraer y retener talento sea un reto para las empresas españolas, lo que impacta directamente en su capacidad para gestionar amenazas y fortalecer su postura de seguridad. De hecho, el problema de la captación de talento se ha intensificado de manera muy acusada, con un incremento de un 188% en este reto.