La inteligencia artificial va a suponer un salto de gigante para las empresas en términos de productividad. Pero también va a abrir brechas de seguridad impensables hasta la fecha. Así lo constata el estudio “El estado actual de la ciberseguridad en España 2024”, elaborado por la consultora Deloitte. En este contexto complicado, el 51% de las empresas todavía carece de una estrategia de ciberseguridad dedicada a los sistemas de IA, dejando, por tanto, un amplio margen de mejora para adoptar medidas que protejan los sistemas frente a esta tecnología. Ejemplo de ello es la implantación de controles específicos (que utiliza el 25% de las compañías) o la puesta en marcha de pruebas focalizadas (el 24% de las mismas).
En el estudio se ofrece una panorámica de la ciberseguridad en las organizaciones de nuestro país a través de las respuestas de los responsables de seguridad de la información (CISO, por sus siglas en inglés) de un centenar de grandes empresas de este país.
Entre las principales conclusiones, el informe destaca que hay una mayoría de empresas (69%) con un enfoque reactivo hacia las amenazas derivadas de la inteligencia artificial, sin contar con una estrategia clara de integración. El estudio de Deloitte, además, concluye que las empresas con sistemas de IA ya desplegados en procesos de negocio son las que van más allá de un enfoque generalista de la ciberseguridad y los riesgos.
El CISO tiene un gran reto por delante, como es conseguir que la dirección entienda, de manera adecuada, la asimetría presupuestaria entre los atacantes y las empresas
Para César Martín Lara, socio de risk advisory responsable de la práctica de ciberseguridad de Deloitte, “la IA es tanto una formidable defensa, como un gran desafío en el ámbito de la ciberseguridad, cuyo impacto se multiplica en un mundo cada vez más interconectado”. “El estudio de Deloitte pone de manifiesto que la evolución tecnológica requiere de adaptar la estrategia de ciberseguridad y poner en marcha nuevas medidas que fortalezcan la postura de ciberseguridad de las organizaciones, un aspecto pendiente en muchas compañías”.
Índice de temas
El ransomware es el ataque por excelencia
Pero los agujeros de la IA no son lo que más le quitan el sueño a los CISO españoles. Los tres principales retos a los que se enfrentan los responsables de seguridad de la información en los próximos años son: la sofisticación de las amenazas y el presupuesto elevado de los atacantes (82%); la seguridad en las operaciones y la continuidad del negocio (70%); y el control de la ciberseguridad en la cadena de suministro (third parties) (68%).
Estos retos apuntan claramente al ransomware como el tipo de ataque por excelencia. Esto es así porque muestra unos niveles de sofisticación muy elevados, una evolución y desarrollo continuos y porque pone en jaque la continuidad de las operaciones de una entidad, aprovechando, además, las relaciones necesarias con terceros en la cadena de suministro, bien como vía de entrada, o bien para propagarse.
Tendencias en ciberseguridad
El estudio resalta que el CISO tiene un gran reto por delante, como es conseguir que la dirección entienda, de manera adecuada, la asimetría presupuestaria entre los atacantes y las empresas, así como el grado de sofisticación de las amenazas, para poder calibrar adecuadamente las estrategias y recursos de defensa de la organización.
Además, el estudio analiza un conjunto de palancas que suponen una mejora cualitativa de la ciberseguridad en las organizaciones. En este sentido, hay consenso entre los CISO acerca de que, cuando la dirección se implica en la ciberseguridad, esta mejora de manera mucho más significativa que con cualquier otra palanca.
La continuidad del negocio, lo que más sueño quita
Existe una amplia oportunidad para mejorar la integración de la ciberseguridad en los modelos de negocio. Actualmente, solo una minoría de las empresas (19%) ha implementado con éxito un modelo más garantista de ciberseguridad, alineado por defecto (by default) con el negocio. La mayoría aún opera bajo un enfoque by design o transversal (47%), sin una especialización concreta, lo que es un modelo insuficiente. En este contexto, se identifica una oportunidad clara: el modelo actual by design debe evolucionar hacia un enfoque by default, en el que la ciberseguridad se integre de manera intrínseca y natural.
Los CISO creen, además, que las preocupaciones de la dirección están alineadas con las suyas. En este sentido, las principales preocupaciones de la dirección señaladas por los CISO son: la continuidad de las operaciones de negocio como el aspecto que produce más intranquilidad (90%), seguido, en un 80%, de la protección de la marca y la reputación de la organización ante ciberataques.
Miguel Olías de Lima, senior manager de risk advisory especializado en ciberseguridad en Deloitte, resalta que “para que la dirección comprenda adecuadamente los desafíos de la ciberseguridad, es esencial ampliar su visión sobre las amenazas”. “Para ello, es fundamental elevar los temas que permiten conocer mejor la postura real de ciberseguridad de una compañía, como pueden ser las amenazas o los puntos de mayor vulnerabilidad, aprovechando la oportunidad de trasladar una visión realista del estado de la ciberseguridad de la organización”.
Tendencias en el mundo de la ciberseguridad
El informe de Deloitte destaca 3 principales tendencias en el sector de la ciberseguridad. La primera de ellas es la seguridad en cloud (92%), lo que demuestra que los modelos de nube son ya el presente de las empresas y requieren de una estrategia propia.
En segundo lugar, el enfoque y tecnología zero trust, que se ha convertido en un componente fundamental en el roadmap de la mayoría de las empresas, como refleja el porcentaje del 62% de las compañías de la muestra. No obstante, a este dato se debe contraponer la dificultad técnica de conseguir una implementación óptima de zero trust. Este es uno de los retos pendientes de los CISO en las organizaciones: conseguir un enfoque detallado y cuidadoso en la gestión de terceros y el desarrollo de estrategias de seguridad integral.
Por otro lado, en el puesto número tres se sitúan los modelos MXDR o Managed Extended Detection and Response. Pese a ser una solución de seguridad relativamente reciente, el estudio muestra un consenso (más de la mitad así opina) sobre el papel relevante que jugará los próximos años.
Casi todas las empresas invierten más o lo mismo
El informe de Deloitte pone de manifiesto que el 98% de las organizaciones o ha aumentado o ha mantenido su presupuesto de ciberseguridad, siendo únicamente un residual 2% el que lo ha reducido. Este incremento del presupuesto de ciberseguridad también es consecuencia del aumento de ataques. Así, el informe pone de manifiesto el hecho de que las empresas que más han incrementado su presupuesto de ciberseguridad son las que sufrieron más ciberincidentes.
Asimismo, el informe revela que los CISO que reportan al CEO adoptan un enfoque más estratégico y equilibrado, enfocado en la prevención, la concienciación y la alineación con los objetivos empresariales, más que en una respuesta muy condicionada por los incidentes pasados.
Por último, el 90% del total de las entidades encuestadas confirma haber aumentado o mantenido el número de ciberataques. De este grupo, solo un 30% es capaz de calcular de forma objetiva con cierto grado de certeza/veracidad los costes reales derivados del impacto del ataque. El 70% no dispone de la información y eleva a la dirección una aproximación.
Redacción Channel Partner
