Accede a la nueva edición
El uso de la Inteligencia Artificial (IA) en las diferentes áreas de negocio de las compañías constituye un nuevo reto para la ciberseguridad. En este contexto desafiante, el 51% de las empresas todavía carece de una estrategia de ciberseguridad dedicada a los sistemas de IA, dejando, por tanto, un amplio margen de mejora para adoptar medidas que protejan los sistemas frente a esta tecnología. Ejemplo de ello es la implantación de controles específicos (que utiliza el 25% de las compañías) o la puesta en marcha de pruebas focalizadas (el 24% de las mismas).
Estos datos se desprenden del estudio “El estado actual de la ciberseguridad en España 2024”, elaborado por Deloitte. En él, se ofrece una panorámica de la ciberseguridad en las organizaciones de nuestro país a través de las respuestas de los responsables de seguridad de la información (CISO, por sus siglas en inglés) de empresas españolas.
Entre las principales conclusiones, el informe destaca que hay una mayoría de empresas -69%- con un enfoque reactivo hacia las amenazas derivadas de la Inteligencia Artificial, sin contar con una estrategia clara de integración.
El estudio de Deloitte, además, concluye que las empresas con sistemas de Inteligencia Artificial ya desplegados en procesos de negocio son las que van más allá de un enfoque generalista de la ciberseguridad y los riesgos.
Para César Martín Lara, socio de Risk Advisory responsable de la práctica de ciberseguridad de Deloitte, “en el momento actual, la ciberseguridad se ha configurado como un pilar fundamental para la continuidad de negocio de las organizaciones. La Inteligencia Artificial es, tanto una formidable defensa, como un gran desafío en el ámbito de la ciberseguridad, cuyo impacto se multiplica en un mundo cada vez más interconectado. El estudio de Deloitte pone de manifiesto que la evolución tecnológica requiere de adaptar la estrategia de ciberseguridad y poner en marcha nuevas medidas que fortalezcan la postura de ciberseguridad de las organizaciones, un aspecto pendiente en muchas compañías”.
Retos de la ciberseguridad
Los tres principales retos a los que se enfrentan los responsables de seguridad de la información o CISO en los próximos años son: la sofisticación de las amenazas y el presupuesto elevado de los atacantes -82%-; la seguridad en las operaciones y la continuidad del negocio -70%-; y el control de la ciberseguridad en la cadena de suministro (third parties) -68%-.
Estos retos apuntan claramente al ransomware como el tipo de ataque por excelencia. Esto es así porque muestra unos niveles de sofisticación muy elevados, una evolución y desarrollo continuos y porque pone en jaque la continuidad de las operaciones de una entidad, aprovechando, además, las relaciones necesarias con terceros en la cadena de suministro, bien como vía de entrada, o bien para propagarse.
El estudio resalta que el CISO tiene un gran reto por delante, como es conseguir que la dirección entienda, de manera adecuada, la asimetría presupuestaria entre los atacantes y las empresas, así como el grado de sofisticación de las amenazas, para poder calibrar adecuadamente las estrategias y recursos de defensa de la organización.
Además, el estudio analiza un conjunto de palancas que suponen una mejora cualitativa de la ciberseguridad en las organizaciones. En este sentido, hay consenso entre los CISO acerca de que, cuando la dirección se implica en la ciberseguridad, esta mejora de manera mucho más significativa que con cualquier otra palanca.
Ciberseguridad en los modelos de negocio
Existe una amplia oportunidad para mejorar la integración de la
ciberseguridad en los modelos de negocio.
Actualmente, solo una minoría de las empresas -19%- ha implementado con éxito un modelo más garantista de ciberseguridad, alineado por defecto (by default) con el negocio. La mayoría aún opera bajo un enfoque by design o transversal -47%-, sin una especialización concreta, lo que es un modelo insuficiente en relación con los desafíos ya analizados al inicio de este módulo.
En este contexto, se identifica una oportunidad clara: el modelo actual by design debe evolucionar hacia un enfoque by default, en el que la ciberseguridad se integre de manera intrínseca y natural.
Alta dirección
Los CISO creen, además, que las preocupaciones de la dirección están alineadas con las suyas En este sentido, las principales preocupaciones de la dirección señaladas por los CISO son: la continuidad de las operaciones de negocio como el aspecto que produce más intranquilidad -90%-, seguido, en un 80%, de la protección de la marca y la reputación de la organización ante ciberataques.
Miguel Olías de Lima, senior manager de Risk Advisory especializado en ciberseguridad, resalta que “para que la dirección comprenda adecuadamente los desafíos de la ciberseguridad, es esencial ampliar su visión sobre las amenazas. Para ello, es fundamental elevar los temas que permiten conocer mejor la postura real de ciberseguridad de una compañía, como pueden ser las amenazas o los puntos de mayor vulnerabilidad, aprovechando la oportunidad de trasladar una visión realista del estado de la ciberseguridad de la organización”.
Tendencias
El informe de Deloitte destaca 3 principales tendencias en el sector de la ciberseguridad.
La primera de ellas es la seguridad en cloud -92%-, lo que demuestra que los modelos de nube son ya el presente de las empresas y requieren de una estrategia propia.
En segundo lugar, el enfoque y tecnología Zero Trust, que se ha convertido en un componente fundamental en el roadmap de la mayoría de las empresas, como refleja el porcentaje del 62% de las compañías de la muestra. No obstante, a este dato se debe contraponer la dificultad técnica de conseguir una implementación óptima de Zero Trust. Este es uno de los retos pendientes de los CISO en las organizaciones: conseguir un enfoque detallado y cuidadoso en la gestión de terceros y el desarrollo de estrategias de seguridad integral.
Por otro lado, en el puesto número 3 se sitúan los modelos MXDR o Managed Extended Detection and Response. Pese a ser una solución de seguridad relativamente reciente, el estudio muestra un consenso (más de la mitad) sobre el papel relevante que jugará los próximos años.
Inversión
El informe de Deloitte pone de manifiesto que el 98% de las organizaciones o ha aumentado o ha mantenido su presupuesto de ciberseguridad, siendo únicamente un residual 2% el que lo ha reducido.
Este incremento del presupuesto de ciberseguridad también es consecuencia del aumento de ataques. Así, el informe pone de manifiesto el hecho de que las empresas que más han incrementado su presupuesto de ciberseguridad son las que sufrieron más ciberincidentes.
Asimismo, el informe revela que los CISO que reportan al CEO adoptan un enfoque más estratégico y equilibrado, enfocado en la prevención, la concienciación y la alineación con los objetivos empresariales, más que en una respuesta muy condicionada por los incidentes pasados.
Ciberataques
El 90% del total de las entidades encuestadas confirma haber aumentado o mantenido el número de ciberataques.
De este grupo, solo un 30% es capaz de calcular de forma objetiva con cierto grado de certeza/veracidad los costes reales derivados del impacto del ataque. El 70% no dispone de la información y eleva a la dirección una aproximación.