Sólo 1 de cada 5 responsables de ciberseguridad considera que el enfoque de su organización es eficaz frente a las amenazas actuales y futuras, según el estudio Global Cybersecurity Leadership Insights 2023 de EY. Asimismo, el informe confirma una media de 44 incidentes al año relacionados con la ciberseguridad de las organizaciones.
La encuesta realizada a 500 responsables de ciberseguridad de 25 países, entre los que se encuentra España, revela que mientras el número de ciberamenazas y los costes asociados aumentan, los responsables de la seguridad de la información (CISO) parecen tener problemas con la eficacia de la seguridad de sus entornos digitales.
Según se desprende del estudio de ciberseguridad de EY, los líderes de la seguridad empresarial encuestados revelan un aumento de los costes asociados a la inversión en ciberseguridad: el coste medio anual se sitúa en 35 millones de dólares, mientras que el coste medio de una brecha de seguridad para las organizaciones ha aumentado un 12% hasta los 2,5 millones de dólares en 2023.
Asimismo, y a pesar de los altos niveles de gasto, los tiempos de detección y respuesta parecen lentos. Más de tres cuartas partes de los encuestados (76%) dicen que sus organizaciones tardan un promedio de seis meses o más en detectar y responder a un incidente.
En palabras de Elena Maestre, socia responsable de Ciberseguridad en Consulting de EY España: “Después de todo el tiempo y el dinero invertido en ciberseguridad, los responsables de la seguridad de la información todavía no se sienten seguros y preparados contra las ciberamenazas. Una situación que, además, se agrava aún más en un contexto de inestabilidad geopolítica, de incertidumbre económica y de un rápido crecimiento de la adopción de las tecnologías emergentes. Una circunstancia que genera un incremento del número incidentes y una mayor sofisticación de las amenazas por los ciberdelicentes”.
‘Empresas seguras’ vs ‘Empresas vulnerables’
El estudio ha identificado dos tipos de organizaciones: ‘Empresas seguras’, aquellas con la ciberseguridad más desarrollada y eficiente (42%), y las ‘Empresas vulnerables’, compañías con una estrategia en ciberseguridad menos eficiente (58%). En este sentido y en comparación con las empresas vulnerables, las empresas seguras tienen menos incidentes de ciberseguridad (32 ciberataques frente a 52) y son más rápidas a la hora de detectar amenazas y responder ante ellas (5 meses frente a 11 meses). En cuanto a la estrategia de ciberseguridad, las ‘Empresas seguras’ están más satisfechas (51%) que las ‘Empresas vulnerables’ (36%) y se sienten más preparadas para las amenazas del futuro (53% frente a 41%, respectivamente).
Según el estudio de EY, la mayoría de las ‘Empresas seguras’ (70%) se definen a sí mismas como “pioneras” en la adopción de tecnologías emergentes de automatización con el objetivo de simplificar su entorno, tales como: la inteligencia artificial y machine learning (62%); coordinación, automatización y respuesta de seguridad -SOAR- (51%); Cloud (46%) y DevSecOps (35%). Lo que les permite consolidar su tecnología en una única plataforma y tener una visión más clara de los incidentes de ciberseguridad.
Si bien una estrategia basada en la creación de un único ecosistema tecnológico integral es mucho más eficiente, también presenta un importante desafío de ciberseguridad. En total, el 53% de los líderes de ciberseguridad de las empresas seguras y el 52% de los responsables de las empresas vulnerables están de acuerdo en que no existe un perímetro seguro en la evolución del ecosistema digital actual.
La dificultad para equilibrar el ritmo de la innovación y el de la seguridad se posiciona como el segundo desafío más nombrado, tanto por las empresas vulnerables (55%) como por las empresas seguras (42%).
En cuanto a la preocupación por los riesgos relacionados con la ciberseguridad, la tipología de ambas organizaciones coincide en que su máxima preocupación son los riesgos financieros, los relacionados con la infraestructura tecnológica y los reputacionales. En este sentido, las ‘Empresas vulnerables’ se centran más en los riesgos financieros (52%), mientras que las ‘Empresas seguras’ son más propensas a reconocer la amenaza que suponen los riesgos de la infraestructura tecnológica (46%). Adicionalmente, el peligro que puede generar la cadena de suministro se posiciona como otra de las preocupaciones clave, pero existe una brecha entre la percepción de las empresas seguras y las empresas vulnerables (38% frente al 20%, respectivamente).
Así, afirma Elena Maestre: “La complejidad de la cadena de suministro hace que cualquier incidente de ciberseguridad en la misma pueda poner en riesgo a múltiples organizaciones y, por ello, la gestión de la ciberseguridad debe ser una responsabilidad compartida”.
Finalmente, la mitad de los encuestados también se muestran escépticos sobre la eficacia de la formación de sus trabajadores y sólo el 36% está satisfecho con los niveles de adopción de las mejores prácticas por parte de equipos ajenos al departamento de TI. En este sentido, las ‘Empresas seguras’ incorporan la formación de ciberseguridad desde la alta dirección hasta la fuerza laboral. Como resultado de ello, los CISO de estas organizaciones dicen que es más probable que su enfoque tenga un impacto positivo en su ritmo de transformación e innovación (56%), así como en su capacidad para responder rápidamente a las oportunidades del mercado (58%) y centrarse en la creación de valor (63%).
“Cuando se trata de tecnología, cuanto más desorden tiene una organización en su entorno tecnológico, más difícil será captar las señales y solucionar los problemas de manera óptima. Los CISO no deberían centrarse en incorporar nuevas tecnologías, sino en integrar mejor las existentes. Las organizaciones ahora están muy vinculadas digitalmente a las empresas en su cadena de suministro y deberían de crear un ecosistema integral único para reducir los puntos acceso y trabajar en una estrategia de ciberseguridad óptima y eficiente; así como inculcar la cultura de la ciberseguridad en toda la organización”: confirma Maestre.
Descubre más desde Revista Ciberseguridad
Suscríbete y recibe las últimas entradas en tu correo electrónico.