Si hay un ciberataque que quita el sueño a los responsables de seguridad de la información (CISOS) de las empresas españolas ese sin duda es el ransomware. Así lo refleja el estudio de Deloitte sobre "El estado actual de la ciberseguridad en España 2024", elaborado a partir de las respuestas de CISOS de compañías una variada tipología de industrias en España, en el que los tres mayores retos reportados para los próximos años están relacionados, aunque no de forma exclusiva, con el ransomware: la sofisticación de las amenazas y el presupuesto elevado de los atacantes (82%); la seguridad en las operaciones y la continuidad del negocio (70%); y el control de la ciberseguridad en la cadena de suministro (third parties) (68%).
Según el estudio, publicado por quinto año consecutivo, el ransomware representa la principal inquietud no solo para los CISOS, también para la dirección de las organizaciones, cuyas dos principales preocupaciones en materia de ciberseguridad se ven comprometidas por este tipo de ciberataque: la continuidad de las operaciones del negocio y la protección de la marca a nivel organizacional ante ciberataques.
En esta línea, Deloitte invita a reflexionar si la dirección de las empresas es consciente del impacto "potencial y real" de un ciberataque de ransomware en las operaciones empresariales y del "posible gap" que puede existir en las medidas de seguridad que implementan para mitigarlo. "Solo planteándose estas cuestiones podrá el CISO reforzar el discurso con la Dirección, abordando una estrategia que fortalezca de manera efectiva la resiliencia de la organización y que cuente con el adecuado respaldo desde el Negocio", señala la consultora en el informe.
Aumento de ciberataques
Solo el 10% de las entidades encuestadas indica que los incidentes de ciberseguridad sufridos en el último año han descendido, frente a un 27% que dice que han aumentado y un 63% que se han mantenido. El reporte directo al CEO reduce las posibilidades de padecer incidentes, como evidencia que un 40% de esta muestra reportó una disminución.
Entre el 90% de las entidades que confirma haber aumentado o mantenido el número de ciberataques, solo un tercio (30%) es capaz de calcular de forma objetiva con cierto grado de certeza/veracidad los costes reales derivados del impacto del ataque. Mientras tanto, el 70% restante no dispone de la información y eleva a la dirección una aproximación.
Más de la mitad de las empresas carece de una estrategia de ciberseguridad dedicada a la IA
Además, el informe advierte que la creciente adopción de la inteligencia artificial (IA) en las diferentes áreas de negocio de las compañías constituye un nuevo reto para la ciberseguridad. En este contexto, señala que el 51% de las empresas españolas todavía carece de una estrategia de ciberseguridad dedicada a los sistemas de IA, por lo que destaca que existe un amplio margen de mejora en la implementación de medidas que protejan los sistemas frente a esta tecnología. Por ejemplo, implantando controles específicos (que ya usan el 25% de las compañías) o pruebas focalizadas (el 24% de las mismas).
Entre sus conclusiones, destaca igualmente que el 69% de las empresas tiene un enfoque reactivo hacia las ciberamenazas derivadas con una estrategia clara de integración y que, además, las compañías que ya han desplegado sistemas de IA en sus procesos de negocio son las que suelen ir más allá de un enfoque generalista de la ciberseguridad y los riesgos.
Para César Martín Lara, socio de Risk Advisory responsable de la práctica de ciberseguridad de Deloitte, "en el momento actual, la ciberseguridad se ha configurado como un pilar fundamental para la continuidad de negocio de las organizaciones. La Inteligencia Artificial es, tanto una formidable defensa, como un gran desafío en el ámbito de la ciberseguridad, cuyo impacto se multiplica en un mundo cada vez más interconectado. El estudio de Deloitte pone de manifiesto que la evolución tecnológica requiere de adaptar la estrategia de ciberseguridad y poner en marcha nuevas medidas que fortalezcan la postura de ciberseguridad de las organizaciones, un aspecto pendiente en muchas compañías".
Inversión en ciberseguridad, al alza
Por otra parte, el estudio anual de Deloitte pone de manifiesto que hasta el 98% de las organizaciones españolas ha aumentado o mantenido su presupuesto de ciberseguridad, siendo únicamente un residual 2% el que lo ha reducido. Este incremento del presupuesto de ciberseguridad también es consecuencia del aumento de ataques, ya que las empresas que más han elevado su presupuesto de ciberseguridad son las que sufrieron más ciberincidentes.
Asimismo, señala que los CISO que reportan al CEO adoptan un enfoque más estratégico y equilibrado, enfocado en la prevención, la concienciación y la alineación con los objetivos empresariales, más que en una respuesta muy condicionada por los incidentes pasados.
El informe también analiza un conjunto de palancas que suponen una mejora cualitativa de la ciberseguridad en las organizaciones. En este sentido, hay consenso entre los CISO acerca de que, cuando la dirección se implica en la ciberseguridad, esta mejora de manera mucho más significativa que con cualquier otra palanca. No obstante, Deloitte resalta que el CISO tiene el "gran reto" por delante de conseguir que la dirección entienda, de manera más adecuada, la asimetría presupuestaria entre los ciberdelincuentes y las empresas, así como el grado de sofisticación de las amenazas, para poder calibrar adecuadamente las estrategias y recursos de defensa de la organización.
En palabras de Miguel Olías de Lima, senior mánager de Risk Advisory especializado en ciberseguridad: "Para que la dirección comprenda adecuadamente los desafíos de la ciberseguridad, es esencial ampliar su visión sobre las amenazas. Para ello, es fundamental elevar los temas que permiten conocer mejor la postura real de ciberseguridad de una compañía, como pueden ser las amenazas o los puntos de mayor vulnerabilidad, aprovechando la oportunidad de trasladar una visión realista del estado de la ciberseguridad de la organización".
Principales tendencias en el sector de la ciberseguridad
Este trabajo también ha identificado las tres principales tendencias que en estos momentos dominan en el sector de la ciberseguridad.
La primera de ellas es la seguridad cloud, con un porcentaje del 92% que pone de relieve que los modelos de nube son ya el presente de las empresas y requieren de una estrategia propia.
En segundo lugar, el enfoque y tecnología Zero Trust, que se ha convertido en un componente fundamental en el roadmap de la mayoría de las empresas, como refleja el porcentaje del 62% de las compañías de la muestra. No obstante, este dato se debe contraponer la dificultad técnica de conseguir una implementación óptima de Zero Trust. Este es uno de los retos pendientes de los CISO en las organizaciones: conseguir un enfoque detallado y cuidadoso en la gestión de terceros y el desarrollo de estrategias de seguridad integral.
Por último, en tercer lugar, se sitúan los modelos MXDR o Managed Extended Detection and Response, una solución de ciberseguridad relativamente reciente pero que ya aplican más de la mitad de las empresas, un consenso que pone de relieve el papel relevante que jugará en los próximos años.
Amplia oportunidad para mejorar la integración de la ciberseguridad en los modelos de negocio
Según "El estado actual de la ciberseguridad en España 2024", actualmente, menos de una quinta parte (19%) de las empresas ha implementado con éxito un modelo más garantista de ciberseguridad, alineado por defecto (by default) con el negocio. La mayoría (47%) aún opera bajo un enfoque by design o transversal, sin una especialización concreta, lo que es un modelo insuficiente.
En este contexto, se identifica una oportunidad clara: el modelo actual by design debe evolucionar hacia un enfoque by default, en el que la ciberseguridad se integre de manera intrínseca y natural. "Esta transición es fundamental para garantizar una protección más efectiva y alineada con los objetivos y desafíos empresariales. Sin embargo, técnicamente la implementación de estas medidas es todo un desafío", apunta el informe.
Tal y como subraya Deloitte, este análisis tiene el objetivo fundamental de detectar y compartir la información más relevante para impulsar la ciberresiliencia de nuestro tejido empresarial y facilitar la toma de decisiones estratégicas por parte de la Alta Dirección. En esta última edición, además de los ya conocidos indicadores de carácter más táctico, se ha querido ofrecer una visión más estratégica y conectada al negocio, así como destacar extrapolar 10 ideas clave o insights en base a las respuestas de los responsables de ciberseguridad.