El estado de la ciberseguridad en España Ha sido salvado
Publicaciones
El estado de la ciberseguridad en España
El alineamiento entre el negocio y la participación de la Dirección es clave para hacer frente al aumento de ciberataques y la sofisticación de las técnicas empleadas.
La ciberseguridad está transformándose y ya es una realidad en la mayoría de las agendas de los Comités de Dirección en España, según nuestro informe El estado de la ciberseguridad en España 2024.
En esta quinta edición, también abordamos cuestiones muy relevantes que pueden ayudar al CISO a elevar su discurso con la Dirección y así entender mejor cuáles son los desafíos e inquietudes de estos.
En la actualidad, se observa que el alineamiento entre el negocio y la participación de la Dirección es clave para hacer frente al aumento de ciberataques y la sofisticación de las técnicas empleadas.
En 2024 también están aconteciendo disrupciones como la IA y el MXDR que, sin lugar a duda, ayudarán a mejorar las medidas más garantistas de protección, detección y respuesta, a la vez que se hace frente a desafíos como la gestión de las terceras partes en la cadena de suministro o la escasez de talento en ciberseguridad.
El informe recoge 10 ideas clave que proceden de la recopilación y análisis de las respuestas obtenidas de las empresas que han formado parte de esta edición, del propio conocimiento experto de nuestros profesionales y de un proceso de calibración y reflexión, que se ha realizado junto a varios CISO en sesiones de trabajo específicas.
El estado de la ciberseguridad en España
PRINCIPALES INSIGHTS
Palancas que han supuesto una mejora cualitativa en las organizaciones
Es revelador ver cómo hay consenso entre los CISO en que, cuando la Dirección se implica en la ciberseguridad, esta mejora de manera mucho más significativa que con cualquier otra palanca.
Una consecuencia evidente de la sensibilización en ciberseguridad llevada a cabo con la Dirección en años recientes es haber conseguido esa participación más activa.
Dada la dificultad de alcanzar un nivel elevado de experiencia en todas las capacidades de ciberseguridad por las propias empresas, el respaldo de terceros expertos se vuelve esencial. Estos aportan una perspectiva más especializada que puede ser valiosa en la identificación y mitigación de riesgos emergentes y en un mayor aprovechamiento de nuevas tendencias.
Alineamiento de la ciberseguridad con las necesidades de negocio
La oportunidad para mejorar la integración de la ciberseguridad en las operaciones de negocio se refleja en que solo el 35% de las organizaciones logra una involucración real y efectiva de Negocio en estos procesos.
Además, tomando como analogía los roles de una matriz RACI, se puede concluir que, en muchas empresas, el negocio es tratado como un rol más tipo Consulted o informed pero no como el Responsible o Accountable de la ciberseguridad que realmente es. Las prácticas recientes y regulaciones emergentes, como el Código del Buen Gobierno de la Ciberseguridad de la CNMV, la Directiva NIS2 y legislaciones como DORA o CROE, están subrayando la necesidad de un cambio en este enfoque.
La ciberseguridad en los procesos de negocio
Actualmente, solo una minoría de las empresas ha implementado con éxito un modelo más garantista de ciberseguridad, alineado por defecto (by default) con el negocio. La mayoría aún opera bajo un enfoque “by design” o transversal, sin una especialización concreta, lo que es un modelo insuficiente en relación con los desafíos ya analizados al inicio de este módulo.
En este contexto, se identifica una oportunidad clara: el modelo actual “by design” debe evolucionar hacia un enfoque “by default”, en el que la ciberseguridad se integre de manera intrínseca y natural en todas las facetas del negocio desde la base. Esta transición es fundamental para garantizar una protección más efectiva y alineada con los objetivos y desafíos empresariales.
Riesgo de ciberseguridad en terceros
El control efectivo de la ciberseguridad en la cadena de suministro, identificado como una de las tres principales preocupaciones, representa un desafío significativo: solo un pequeño porcentaje de organizaciones logra realizar revisiones exhaustivas (mecanismos de Zero Trust o pruebas avanzadas con los terceros). En oposición, una proporción considerable de empresas opta por no aplicar controles rigurosos, confiando en la buena fe de sus asociados, mediante cuestionarios de autoevaluación.
Esta situación se deriva también de la dificultad y el coste relativo de realizar una gestión sólida de terceros, de ahí que, actualmente, predominen las medidas más procedimentales que las técnicas. Un último añadido proviene de la dificultad de exigir medidas específicas a grandes proveedores tecnológicos (los grandes players casi en situación de oligopolio).
El estudio de Deloitte pone de manifiesto que la evolución tecnológica requiere una adaptación de la estrategia de ciberseguridad y poner en marcha nuevas medidas que fortalezcan la postura de ciberseguridad de las organizaciones, un aspecto pendiente en muchas compañías.
César Martín Lara, socio de Risk Advisory responsable de la práctica de ciberseguridad.
Contenido relacionado
Future of Cyber 2023
Un informe que recoge la opinión de cerca de 1.000 responsables de seguridad de empresas de todo el mundo y que confirma que la ciberseguridad se ha convertido en uno de los focos principales a la hora de tomar decisiones relacionadas con las estrategias de más alto nivel
Descargar informe >
