Recientemente, Deloitte ha publicado el informe Cybersecurity insights 2023: Budgets and benchmarks for financial services institutions , al cual haremos referencia a lo largo de este artículo como “FSI Cyber Budget Internacional 2023”.
Este estudio cuenta con la participación de 61 entidades financieras de todo el mundo.
Al mismo tiempo, Deloitte España publica anualmente el estudio “El estado de la ciberseguridad en España”, al cual haremos referencia como “Estado Cyber España 2023”.
Actualmente, esta quinta edición de este estudio español se encuentra en fase de análisis tras la recolección de los datos de más de 70 CISOs de diferentes sectores en España, de los que, al menos, 10 son de la industria financiera. Adicionalmente, y como viene siendo habitual, están participando algunos CISOs de gran relevancia, algunos del sector financiero, quienes están dando apoyo al equipo de Deloitte en la fase de análisis y validación de los insights obtenidos.
Teniendo este segundo estudio como punto de referencia principal, aunque no de forma exclusiva, el presente artículo realiza un breve análisis de los resultados del FSI Cyber Budget Internacional 2023, desde la óptica del mercado español.
Resulta necesario hacer un análisis de este insight para identificar si se puede obtener la misma conclusión del mercado español.
Del FSI Cyber Budget Internacional 2023 se puede observar cómo. en el transcurso del 2023, los presupuestos dedicados a ciberseguridad se han reducido en comparación a los del 2021.
Teniendo en cuenta que la ratio empleada es el presupuesto de ciberseguridad respecto al total de los ingresos, se aprecia cómo este pasa del 0,72% en 2021 al 0,54% en 2023.
Haciendo un análisis por sectores específicos, en el sector de la Banca y los Mercados de Capitales se observa un notable aumento en el presupuesto de 2020 a 2021, impulsado entre otros por el contexto de incertidumbre generado por la COVID-19 y por un uso masivo de los servicios digitales, registrándose posteriormente un ligero descenso desde 2021 hasta el 2023. Lamentablemente no se proporcionan datos para el año 2022.
Por otra parte, el sector de los servicios de inversión ha experimentado un crecimiento acumulado del 22% entre 2021 y 2023, mientras que el sector asegurador, sorprendentemente, ha descendido más del 50% en el mismo período.
Aunque el 2023 aún no ha finalizado, todo parece apuntar a que los datos del negocio para sector financiero serán mejores que los del 2022.
A esto se le puede sumar que la ratio del presupuesto de ciberseguridad respecto a los ingresos obtenidos por el negocio puede malinterpretarse, si tanto el presupuesto Cyber como los ingresos totales crecen pero este segundo lo hace en mayor proporción.
También se debe tener en cuenta que la falta de información del año 2022 puede dificultar la interpretación de los datos obtenidos en 2023, si queremos analizar la tendencia presupuestaria completa.
Saltando al análisis de los datos obtenidos en el Estado Cyber España 2023, se observa que los presupuestos de ciberseguridad han aumentado respecto a los de IT, manteniendo la tendencia de los últimos 4 años. Más específicamente, en el último año han aumentado los presupuestos de ciberseguridad de forma global -un 5%- sin apreciarse una variación significativa en el caso de la industria financiera.
Al mismo tiempo, el 58% de los CISOs han indicado que sus presupuestos han aumentado en el último año, un 40% los han mantenido y solo un 2% los han reducido. En el caso de la industria financiera en España, ninguno los ha reducido en el último año.
Finalmente, del análisis cualitativo del estudio “Estado Cyber España 2023”, realizado con la colaboración de CISOs del sector financiero, se extrae que, al menos en España, los presupuestos de ciberseguridad un año más han aumentado.
En definitiva, se puede afirmar que este insight no aplicaría en España y que en nuestro país se ha mantenido la tendencia alcista, aunque moderada, de incrementar los presupuestos de ciberseguridad.
El 83% de las empresas participantes ha indicado que el programa o estrategia de transformación requería de la ciberseguridad para su desarrollo, lo que muestra el alto grado de concienciación de la Dirección en materia de ciberseguridad y que esta se percibe como un habilitador del negocio.
Al mismo tiempo, el estudio hace referencia a la mayor presión regulatoria por parte de la SEC, lo que obligará a generar en menor tiempo informes más completos sobre ciber incidentes, así como un análisis de los datos de usuarios comprometidos.
Esta tendencia hacia una mayor presión por el cumplimiento de la regulación en ciberseguridad por parte de las entidades financieras estadounidenses no es muy diferente a la que se aprecia en Europa.
Por poner algunos ejemplos, un banco español podría estar sujeto a la siguiente regulación, que además emana de entidades reguladoras diferentes -CREO, PCSI DSS 4.0, EBA CNMV, GDPR, PSD2, TIBER-EU, SWIFT, NIS2 / LPIC / NIST, DORA - así como a códigos o buenas prácticas, como son el Código del Buen Gobierno de la Ciberseguridad, ISO 27001 o NIST CSF.
Teniendo en cuenta la relevancia que la transformación digital ha supuesto para el sector, el estudio “FSI Cyber Budget Internacional 2023” también muestra la evolución de las tendencias tecnológicas y su evolución hasta el 2023.
Se observa claramente que la nube se ha mantenido constante estos últimos 5 años en primera posición del ranking, seguido de data analytics.
También se aprecia cómo la inteligencia artificial y la computación cognitiva ha ido escalando posiciones, hasta situarse en tercer lugar estos últimos 3 años.
Finalmente, aparecen por primera vez en el TOP5 de prioridades la actualización/renovación del ERP y la tecnología operacional, seguido de blockchain y los criptoactivos.
Un 75% indica que la identificación de riesgos e incidentes debe contar con el apoyo de Ciberseguridad. Esto reafirma la percepción generalizada ante los ciber incidentes, situándolos como una de las TOP 5 amenazas mundiales.
La estrategia de transformación del sector financiero es una pieza clave para la estabilidad y crecimiento del sector. Por tanto, que la gran mayoría de las entidades señale a la Ciberseguridad como un aliado indispensable para lograr los objetivos estratégicos, es una muestra de cómo la ciberseguridad está evolucionando, convirtiéndose en un habilitador del negocio.
Otro punto para destacar, que se observa de la siguiente gráfica, es cómo las partidas presupuestarias de ciberseguridad no han variado significativamente, exceptuando las funciones de estrategia, gobierno y talento, que han aumentado un 71% los últimos dos años, mientras que las funciones de detección y respuesta habrían disminuido un 33%.
En primer lugar, se debe mantener cierta prudencia con estos datos. No todas las entidades pueden interpretar lo mismo cuando se hace referencia a estas categorías. Ello supone que las mismas partidas presupuestarias estén categorizadas de forma diferente por dos organizaciones.
En cualquier caso, el insight relevante que se puede extraer de este dato es el del aumento significativo de los recursos dedicados a estrategia, gobierno y talento. Este hecho es un reflejo del papel estratégico que está adoptando la Ciberseguridad, convirtiéndose en un facilitador y aliado fundamental para el negocio.
El primer insight adicional a destacar es que el 87% del presupuesto se destina a gastos operativos (OPEX), una tendencia similar a la observada en España, aunque en el mercado español la diferencia entre CAPEX y OPEX no es tan pronunciada.
En cualquier caso, sí que se observa del estudio Estado Cyber España 2023 como las entidades financieras, destinan más OPEX que CAPEX. Lo cual puede deberse a una mayor madurez y menor necesidad de inversión en nuevas iniciativas.
Por otro lado, este estudio muestra que las organizaciones siguen apostando por la externalización de parte de las tareas de ciberseguridad. No obstante, es cierto que este dato es mayor incluso en España, puesto que las entidades financieras se apoyan en estos terceros expertos hasta cubrir un 60% de los servicios de ciberseguridad.
La externalización se concentra fuertemente en tareas muy operativas, como son las propias de la actividad del SOC, detección y respuesta de incidentes o los ejercicios de red team.
Analizando las funciones externalizadas, destaca el dato que arroja la siguiente gráfica, donde prácticamente una unanimidad de las organizaciones apuesta por gestionar la nube sin contar con el apoyo de terceros.
Con relación al modelo operativo de la función de ciberseguridad, se observa una tendencia hacia la centralización y globalización, donde las decisiones de las organizaciones a nivel mundial a través de las funciones de holding/corporate marcan la pauta para los países y sedes subsidiarias.
Sin embargo, destaca que solo el 2% logra un alineamiento real con las unidades de negocio. Una asignatura pendiente, que coincide con los hallazgos obtenidos del estudio “Estado Cyber España 2023”.
Este dato sugiere una necesidad de mayor alineamiento con el negocio para que la ciberseguridad se integre con el mismo por defecto y por diseño.
Aunque el estudio “FSI Cyber Budget Internacional 2023” muestra un descenso de los presupuestos de ciberseguridad este último año para el sector financiero, los datos obtenidos recientemente en España apuntan a que realmente ha habido un ligero incremento.
La transformación digital y la creciente presión regulatoria son los motores que mueven el presupuesto de Ciberseguridad actualmente.
Finalmente, se destaca el papel estratégico de la ciberseguridad para impulsar el negocio. Esto está transformando esta función dentro de las organizaciones.