A lo largo de la historia, los negocios han ido evolucionado de forma constante, ya sea en su estructura, en sus objetivos o en la tecnología que han ido aplicando, adaptándose al contexto y a las necesidades de sus clientes. Pero esta transformación ha supuesto un reto para los responsables de ciberseguridad, quienes tienen la misión de desplegar controles específicos adaptados a estos cambios.
En este contexto de evolución, es necesario que la función de ciberseguridad se adapte para acercarse al negocio y poder conseguir una ciberseguridad por defecto y por diseño en los procesos de negocio de las organizaciones.
Para alcanzar este objetivo, y en el marco de este complejo panorama, el estudio de Deloitte El estado de la Ciberseguridad en España 2024 realiza un análisis exhaustivo del sector a través de las respuestas de los CISO de las principales compañías españolas e identifica las claves para hacer frente con más garantías a las ciberamenazas en la actualidad.
Alta dirección y ciberseguridad
Los responsables de ciberseguridad tienen que adoptar un enfoque más holístico y conectado con la capa directiva de las compañías. En este sentido, la pregunta que ha de hacerse es: en el entorno de transformación e incertidumbre actual, ¿hasta qué punto los líderes de la organización están comprendiendo e impulsando las acciones de ciberseguridad de mi compañía?
La participación real y directa de los líderes empresariales en temas de ciberseguridad es vital para asegurar una protección robusta y efectiva. Esta involucración, además, supone la mejor palanca con la que cuenta el CISO.
Asimismo, la ciberseguridad debe evolucionar, de ser una función técnica que provee soluciones cross a toda la organización, a convertirse en un componente esencial de la estrategia empresarial que comprende y atiende las necesidades por verticales de cada negocio. Y el CISO, precisamente, juega un papel crucial en esta transformación, pero necesita el apoyo activo de la alta dirección.
Al respecto, el informe de Deloitte pone el foco en la importancia de la integración de la ciberseguridad en la estrategia corporativa, mostrando que las organizaciones que han sufrido más ciberincidentes son las que más valoran la cuantificación del riesgo y la integración de la ciberseguridad en la estrategia empresarial. Además, estas compañías tienden a adoptar medidas más garantistas y a involucrar más activamente a la alta dirección en la gestión de riesgos.
Cambio de enfoque
Una de las mayores oportunidades identificadas en El estado de la ciberseguridad en España 2024 es la necesidad de un enfoque by default y by design en la ciberseguridad. Esto significa que la seguridad debe estar integrada de manera intrínseca en todos los procesos de negocio desde su concepción, no añadida posteriormente como una capa adicional.
Este enfoque preventivo es especialmente crucial en un entorno donde la tecnología es cada vez más relevante en los ciberataques. Adicionalmente, se ha de tener en cuenta que todo proceso de transformación digital que no incluya la ciberseguridad desde su diseño está generando un coste oculto para la factura futura de ciberseguridad.
Además, el CISO debe entender profundamente los activos intangibles del negocio, como la marca o la reputación, para poder proteger lo que realmente es crítico. La inteligencia artificial (IA), por ejemplo, se integrará en gran parte de la cadena de valor de las organizaciones, desde la optimización de procesos hasta la mejora del servicio al cliente. Sin una ciberseguridad adecuada, estos avances pueden convertirse en vulnerabilidades explotables y estos activos intangibles, que cada vez son más relevantes, verse expuestos a un mayor riesgo.
Nuevas tecnologías
La IA es una tecnología cuya utilización conlleva la transformación de los negocios tal como los conocemos. En función de su aplicación, por un lado, puede ser utilizada por los atacantes para desarrollar amenazas más sofisticadas y difíciles de detectar. Y por otro, puede ser empleada para fortalecer las defensas de ciberseguridad mediante la automatización de la detección y respuesta a incidentes, reduciendo así la dependencia del talento humano, un recurso escaso en ciberseguridad.
No obstante, por la asimetría estadística del éxito entre atacantes y defensores, todo apunta a que los primeros pueden obtener un mayor rédito en el uso de la IA. Ante este panorama, sin embargo, solo el 49 por ciento de las organizaciones cuenta con protección específica adaptada en el uso de esta tecnología en el negocio.
Es destacable también que aquellas empresas que tienen ya un roadmap claro en el uso de la IA cuentan, además, con un programa de ciberseguridad específico y adaptado a ésta hasta en el 71 por ciento de los casos. Esto pone de relieve que las organizaciones que no varían su framework de control con la entrada de la IA en su negocio, probablemente, estén llegando tarde.
Este desafío se intensifica, asimismo, con la creciente sofisticación de las amenazas y con la magnitud del ciberriesgo al que se enfrentan las empresas. Según el estudio de Deloitte, solo un 42 por ciento de las compañías se encuentra razonablemente confiada en las medidas de control que está aplicando. Pero esta cifra refleja no solo la complejidad técnica de las amenazas, sino también uno de los grandes aspectos de mejora de los equipos de ciberseguridad: la desconexión crítica que tienen con los objetivos de negocio.
Ciberseguridad en la cadena de suministro
Uno de los mayores desafíos identificados en el informe es la gestión de riesgos en terceros. Las empresas dependen significativamente de proveedores, lo que implica incrementar la complejidad en la gestión de ciberseguridad en estos casos, para evitar vulnerabilidades críticas.
A pesar de ello, solo un pequeño porcentaje de organizaciones logra realizar revisiones exhaustivas y efectivas de sus terceros, utilizando enfoques como Zero Trust o pruebas avanzadas, cuya viabilidad técnica y económica están al alcance de muy pocos hoy en día.
El enfoque actual, predominantemente basado en cuestionarios de autoevaluación y auditorías ocasionales, es insuficiente para mitigar los riesgos asociados a terceros. Las organizaciones deben adoptar estrategias más rigurosas y técnicas que ofrezcan ciertas garantías para intentar asegurar la integridad de toda la cadena de suministro.
El desafío es mayúsculo, puesto que el 41 por ciento de los ciberincidentes tiene su origen en un tercero, del cual, como queda evidenciado, no se tiene control.
En conclusión, tras el análisis de estas palancas, la ciberseguridad debe estar profundamente conectada al negocio para ser efectiva. Los CISO deben trabajar estrechamente con la alta dirección para asegurar que la seguridad no solo protege, sino que también habilita el éxito empresarial en un entorno cada vez más digital y automatizado.
La era de la IA requiere una ciberseguridad integrada, proactiva y alineada con los objetivos estratégicos de la organización. Sin esta conexión, las medidas de seguridad pueden no ser suficientemente garantistas, dejando a las compañías vulnerables en un mundo digital en constante evolución.