El Índice de Preparación en Ciberseguridad 2024 de Cisco arroja luz sobre un preocupante escenario para las empresas españolas en el ámbito de la ciberseguridad.
Con apenas un 2% de las organizaciones catalogadas en un estado de madurez avanzada, el estudio subraya la subestimación de riesgos y el exceso de confianza entre las empresas, pese a la creciente complejidad y diversidad de las amenazas cibernéticas.
Este paisaje amenazante se extiende más allá del ransomware y phishing, incluyendo ataques de credenciales, ataques a la cadena de suministro, ingeniería social y criptojacking, aprovechando a menudo vulnerabilidades en software desactualizado.
La llegada de avances en inteligencia artificial (AI) y la disponibilidad generalizada de capacidades como la IA generativa, han dotado a los actores maliciosos de herramientas para lanzar ataques más sofisticados y dirigidos. Sin embargo, las empresas se encuentran obstaculizadas por sus propias infraestructuras de seguridad excesivamente complejas y la falta de profesionales cualificados, dejando muchos de estos puestos sin cubrir.
El estudio, basado en una encuesta a más de 8,000 líderes empresariales y de ciberseguridad en 30 mercados globales, evalúa la preparación organizativa en cinco pilares de ciberseguridad: Inteligencia de Identidad, Resiliencia de Red, Fiabilidad de Máquina, Refuerzo de Nube y Fortificación de IA. En comparación con 2023, se observa un declive marcado en la preparación, con solo un 3% de organizaciones a nivel global consideradas maduras, frente al 15% del año anterior. En España, esta cifra es aún más baja, resaltando una alarmante brecha en la preparación.
A pesar de este panorama, hay señales positivas. Un 91% de las organizaciones han aumentado sus presupuestos de ciberseguridad en los últimos dos años, y la mayoría espera incrementos adicionales. Este es un indicativo de que, aunque existe una confianza posiblemente mal colocada, las organizaciones reconocen las amenazas y están dispuestas a invertir en medidas de protección.
El estudio también revela que la preparación en ciberseguridad se correlaciona con el tamaño de la organización, siendo las más grandes las que muestran tasas de madurez más altas. Sin embargo, incluso con inversiones crecientes en seguridad, las empresas necesitan acelerar la implementación de soluciones de ciberseguridad y adoptar un enfoque de plataforma para integrar las diversas soluciones en su infraestructura, maximizando su capacidad.
Entre las recomendaciones de Cisco se incluye acelerar la inversión en medidas de ciberseguridad, cerrar urgentemente las brechas de vulnerabilidad, mantenerse al día con los avances en tecnología de IA generativa para mejorar los programas de seguridad, intensificar la actividad de reclutamiento para cerrar las brechas de talento en seguridad, y establecer una línea base de «preparación» en las cinco áreas principales de seguridad, monitoreando continuamente y actuando donde sea necesario.
Principales conclusiones
- Ciber-incidentes esperados. El 77% de los consultados en España esperan que un incidente grave de ciberseguridad afecte a su negocio en los próximos 12 a 24 meses. El coste de no estar preparados puede ser sustancial, ya que cuatro de cada diez (el 41%) sufrieron un ciber-ataque durante el último año con un coste cercano a los 280.000 euros para el 28% de los afectados.
- Sobrecarga de soluciones puntuales. El enfoque tradicional de adoptar múltiples soluciones puntuales de ciberseguridad no ha proporcionado resultados efectivos. El 86% de las organizaciones españolas admiten que ralentiza la capacidad de su equipo para detectar, responder y recuperarse frente a los incidentes. Esto genera preocupaciones importantes, ya que una de cada dos empresas consultadas (el 51%) han implementado diez o más soluciones puntuales, mientras el 9% tienen 30 o más.
- Los dispositivos no seguros y no administrados añaden complejidad. El 83% de los encuestados en España afirman que los trabajadores acceden a las plataformas de la empresa desde dispositivos no administrados, y el 21% de ellos pasan una quinta parte de su tiempo conectados a las redes de la empresa desde estos equipos. Además, el 15% creen que los empleados utilizan al menos seis redes distintas durante la semana.
- La brecha de talento persiste. Casi nueve de cada diez organizaciones españolas (el 87%) consideran un problema la falta de profesionales de ciberseguridad. De hecho, el 67% de las empresas consultadas tenían cinco o más puestos vacantes relacionados con la ciberseguridad en el momento de la encuesta.
- Aumento de las inversiones en seguridad. Conscientes del desafío al que se enfrentan, casi la mitad de las empresas españolas (el 44%) prevén actualizar significativamente su infraestructura de TI en los próximos 12 a 24 meses. Se trata de un marcado aumento frente al 25% que pretendían hacerlo el pasado año. Lo más destacado es que planean actualizar las soluciones de ciberseguridad existentes (64%), implementar nuevas soluciones (57%) e invertir en tecnologías impulsadas por IA (56%). Además, el 97% de las empresas en España esperan incrementar su presupuesto específico para ciberseguridad en los próximos 12 meses, y el 80% afirman que esta inversión aumentará en un 10% o más.
