Sólo 1 de cada 5 responsables de ciberseguridad considera que el enfoque de su organización es eficaz frente a las amenazas actuales y futuras, según el estudio Global Cybersecurity Leadership Insights 2023 de EY. Asimismo, el informe confirma una media de 44 incidentes al año relacionados con la ciberseguridad de las organizaciones.
La encuesta realizada a 500 responsables de ciberseguridad de 25 países, entre los que se encuentra España, revela que mientras el número de ciberamenazas y los costes asociados aumentan, los responsables de la seguridad de la información (CISO) parecen tener problemas con la eficacia de la seguridad de sus entornos digitales.
Los líderes de la seguridad empresarial encuestados revelan un aumento de los costes asociados a la inversión en ciberseguridad: el coste medio anual se sitúa en 35 millones de dólares, mientras que el coste medio de una brecha de seguridad para las organizaciones ha aumentado un 12% hasta los 2,5 millones de dólares en 2023.
Asimismo, y a pesar de los altos niveles de gasto, los tiempos de detección y respuesta parecen lentos. El 76% de los encuestados dicen que sus organizaciones tardan un promedio de seis meses o más en detectar y responder a un incidente.
La estrategia de los CISO divide a las empresas en ‘seguras’ y ‘vulnerables’
El estudio ha identificado dos tipos de organizaciones: ‘Empresas seguras’, aquellas con la ciberseguridad más desarrollada y eficiente (42%), y las ‘Empresas vulnerables’, compañías con una estrategia en ciberseguridad menos eficiente (58%). En este sentido y en comparación con las empresas vulnerables, las empresas seguras tienen menos incidentes de ciberseguridad (32 ciberataques frente a 52) y son más rápidas a la hora de detectar amenazas y responder ante ellas (5 meses frente a 11 meses). En cuanto a la estrategia de ciberseguridad, las ‘Empresas seguras’ están más satisfechas (51%) que las ‘Empresas vulnerables’ (36%) y se sienten más preparadas para las amenazas del futuro (53% frente a 41%, respectivamente).
El coste medio de una brecha de seguridad para las organizaciones ha aumentado un 12% hasta los 2,5 millones de dólares en 2023
El 70% ‘Empresas seguras’ se definen a sí mismas como “pioneras” en la adopción de tecnologías emergentes de automatización con el objetivo de simplificar su entorno, tales como: la inteligencia artificial y machine learning (62%); coordinación, automatización y respuesta de seguridad -SOAR- (51%); cloud (46%) y DevSecOps (35%).
Si bien una estrategia basada en la creación de un único ecosistema tecnológico integral es mucho más eficiente, también presenta un importante desafío de ciberseguridad. En total, el 53% de los líderes de ciberseguridad de las empresas seguras y el 52% de los responsables de las empresas vulnerables están de acuerdo en que no existe un perímetro seguro en la evolución del ecosistema digital actual.
La dificultad para equilibrar el ritmo de la innovación y el de la seguridad se posiciona como el segundo desafío más nombrado, tanto por las empresas vulnerables (55%) como por las empresas seguras (42%).
En cuanto a la preocupación por los riesgos relacionados con la ciberseguridad, la tipología de ambas organizaciones coincide en que su máxima preocupación son los riesgos financieros, los relacionados con la infraestructura tecnológica y los reputacionales. En este sentido, las ‘Empresas vulnerables’ se centran más en los riesgos financieros (52%), mientras que las ‘Empresas seguras’ son más propensas a reconocer la amenaza que suponen los riesgos de la infraestructura tecnológica (46%). Adicionalmente, el peligro que puede generar la cadena de suministro se posiciona como otra de las preocupaciones clave, pero existe una brecha entre la percepción de las empresas seguras y las empresas vulnerables (38% frente al 20%, respectivamente).
Finalmente, la mitad de los encuestados también se muestran escépticos sobre la eficacia de la formación de sus trabajadores y sólo el 36% está satisfecho con los niveles de adopción de las mejores prácticas por parte de equipos ajenos al departamento de TI. En este sentido, las ‘Empresas seguras’ incorporan la formación de ciberseguridad desde la alta dirección hasta la fuerza laboral. Como resultado de ello, los CISO de estas organizaciones dicen que es más probable que su enfoque tenga un impacto positivo en su ritmo de transformación e innovación (56%), así como en su capacidad para responder rápidamente a las oportunidades del mercado (58%) y centrarse en la creación de valor (63%).