ESTUDIO
El estado de la ciberseguridad en España 2024
ESTUDIO
El estado de la ciberseguridad en España 2024
CONTEXTO
¿Cuál es el estado actual de la ciberseguridad?
Durante 2023, se ha verificado un aumento en el número, frecuencia, sofisticación y severidad del impacto de los ciberataques a escala global.
La Agencia de la Unión Europea para la Ciberseguridad (ENISA) registró alrededor de 2.580 ciberincidentes críticos entre julio de 2022 y junio de 2023. Además, cabe destacar que el sector de la Administración pública fue el más afectado, representando el 19 % del total de incidentes.
Número de ciberincidentes registrados por ENISA (2022 – 2023)
Fuente: ENISA Threat Landscape 2023 | Agencia de la Unión Europea para la Ciberseguridad (ENISA).
NUESTRO ANÁLISIS A NIVEL NACIONAL
La ciberseguridad en la empresa española
Por quinto año consecutivo, publicamos nuestro estudio anual para conocer de primera mano cuál es el estado de la ciberseguridad en las compañías en España.
Y lo hacemos con el objetivo fundamental de detectar y compartir la información más relevante para impulsar la ciberresiliencia de nuestro tejido empresarial y facilitar la toma de decisiones estratégicas por parte de la Alta Dirección. Para ello, hemos contado con la experiencia y la visión de los responsables de ciberseguridad y los CISO de empresas de una variada tipología de industrias en España.
La novedad más importante del análisis realizado para 2024 es que hemos extrapolado 10 ideas clave, o insights, tras recopilar y analizar las respuestas de los responsables de ciberseguridad. Dichas respuestas han entrado en un proceso posterior de calibración y reflexión en el que hemos aportado nuestro conocimiento experto y la puesta en común junto a varios CISO en diferentes sesiones de trabajo.
Conozcamos algunas de esas ideas clave al detalle:
Por quinto año consecutivo, publicamos nuestro estudio anual para conocer de primera mano cuál es el estado de la ciberseguridad en las compañías en España.
Y lo hacemos con el objetivo fundamental de detectar y compartir la información más relevante para impulsar la ciberresiliencia de nuestro tejido empresarial y facilitar la toma de decisiones estratégicas por parte de la Alta Dirección. Para ello, hemos contado con la experiencia y la visión de los responsables de ciberseguridad y los CISO de empresas de una variada tipología de industrias en España.
La novedad más importante del análisis realizado para 2024 es que hemos extrapolado 10 ideas clave, o insights, tras recopilar y analizar las respuestas de los responsables de ciberseguridad.
Conozcamos algunas de esas ideas clave al detalle:
#INSIGHT
Un reto para el CISO es entender en mayor profundidad el negocio (incluidos los activos intangibles), para lograr una verdadera integración y alineamiento con este y así lograr una seguridad por defecto y diseño.
HALLAZGOS SIGNIFICATIVOS
Aún existe una oportunidad de mejora en el alineamiento entre la ciberseguridad y las necesidades de negocio ya que se sigue percibiendo la falta de involucración de actores clave.
El modelo actual por diseño debe evolucionar hacia un enfoque por defecto en el que la ciberseguridad se integre de manera intrínseca y natural en todas las facetas del negocio desde la base. Esta evolución resulta fundamental para garantizar una protección más efectiva y alineada con los objetivos y desafíos empresariales.
"Solo el 19 % de las respuestas obtenidas reconoce que la ciberseguridad se incluye en los procesos de negocio de su organización por defecto".
#INSIGHT
La gestión de terceros es uno de los grandes desafíos. Solo un porcentaje residual de organizaciones consigue implantar medidas que ofrecen ciertas garantías. La complejidad para implantar este modelo obliga a hacer uso de mecanismos basados en grados de confianza.
HALLAZGOS SIGNIFICATIVOS
El control efectivo de la ciberseguridad en la cadena de suministro sigue siendo una de las principales preocupaciones y representa un desafío significativo ya que aún predominan las medidas procedimentales sobre las técnicas.
Resulta más que necesario explorar y adoptar enfoques más estructurados y garantistas (Zero Trust) para consolidar la confianza y elevar la seguridad a lo largo de toda la cadena de suministro gracias al desarrollo de estrategias de seguridad integral.
"El 20 % de las respuestas obtenidas reconoce que en su organización no se realiza la revisión de ciberseguridad en terceros".
#INSIGHT
El presupuesto de ciberseguridad sigue aumentando y, mientras que el CISO no lo ve como una cuestión relevante, los CxO no sienten tener el control del mismo ni lo entienden correctamente.
HALLAZGOS SIGNIFICATIVOS
El aumento del presupuesto de ciberseguridad es una tendencia consolidada que contrasta con la perspectiva del CISO, quien prioriza más la mejora de las capacidades de defensa frente a los atacantes que la eficiencia presupuestaria en sí.
Curiosamente, los CxO a menudo carecen de comprensión y control sobre el gasto en ciberseguridad, lo cual señala la necesidad de una mejor visibilidad y comprensión del flujo y la asignación de recursos.
"El Plan Director de Ciberseguridad es el elemento reportado que más condiciona el presupuesto de ciberseguridad".
#INSIGHT
La mayor parte de las empresas apuesta por el uso de MXDR para una detección y respuesta temprana ante incidentes, aunque hoy en día sigue siendo un aspiracional en la mayoría de los casos.
HALLAZGOS SIGNIFICATIVOS
El enfoque en Managed Extended Detection and Response (MXDR) ha cobrado una especial importancia en esta edición del informe, situándose como un elemento clave en la hoja de ruta de la mayoría de las empresas.
"El 52 % de las organizaciones considera el MXDR como un objetivo a alcanzar en su estrategia de ciberseguridad".
#INSIGHT
Un reto para el CISO es entender en mayor profundidad el negocio (incluidos los activos intangibles), para lograr una verdadera integración y alineamiento con este y así lograr una seguridad por defecto y diseño.
#INSIGHT
La gestión de terceros es uno de los grandes desafíos. Solo un porcentaje residual de organizaciones consigue implantar medidas que ofrecen ciertas garantías. La complejidad para implantar este modelo obliga a hacer uso de mecanismos basados en grados de confianza.
#INSIGHT
El presupuesto de ciberseguridad sigue aumentando y, mientras que el CISO no lo ve como una cuestión relevante, los CxO no sienten tener el control del mismo ni lo entienden correctamente.
#INSIGHT
La mayor parte de las empresas apuesta por el uso de MXDR para una detección y respuesta temprana ante incidentes, aunque hoy en día sigue siendo un aspiracional en la mayoría de los casos.
DEL ÁMBITO NACIONAL AL GLOBAL
2023 Global Future of Cyber Survey
En 2023, también realizamos un estudio internacional centrado en los procesos de transformación digital de las compañías desde la perspectiva de ciberseguridad en el que contamos con la participación de más de 1.000 responsables de seguridad (perfil de director o superior) de todas las geografías e industrias.
El 91 % de las organizaciones informan de, al menos, un incidente cibernético o brecha de seguridad.
El 91 % de las organizaciones de alta madurez en ciberseguridad disponen de un plan operativo y estratégico para defenderse de las ciberamenazas.
El 71 % de las empresas con ingresos de entre 500 y 5.000 millones de dólares gastan menos de 250 millones al año en ciberseguridad.
El 70 % de los responsables informaron que el ciberespacio figura en el orden del día de sus juntas directivas de forma mensual o trimestral.
El 55 % de las organizaciones con más madurez en términos de ciberseguridad afirman que la cibernética les ofrece la confianza necesaria para probar cosas nuevas.
El 54 % de las empresas con ingresos iguales o superiores a 5.000 millones de dólares gastan más de 250 millones al año en ciberseguridad.
El 91 % de las organizaciones informan de, al menos, un incidente cibernético o brecha de seguridad.
El 91 % de las organizaciones de alta madurez en ciberseguridad disponen de un plan operativo y estratégico para defenderse de las ciberamenazas.
El 71 % de las empresas con ingresos de entre 500 y 5.000 millones de dólares gastan menos de 250 millones al año en ciberseguridad.
El 70 % de los responsables informaron que el ciberespacio figura en el orden del día de sus juntas directivas de forma mensual o trimestral.
El 55 % de las organizaciones con más madurez en términos de ciberseguridad afirman que la cibernética les ofrece la confianza necesaria para probar cosas nuevas.
El 54 % de las empresas con ingresos iguales o superiores a 5.000 millones de dólares gastan más de 250 millones al año en ciberseguridad.
NUESTROS PROGRAMAS
Executive Board Programs de Deloitte
Desarrollamos los Executive Board Programs con el objetivo de ayudar a los líderes empresariales a lo largo de su carrera y asegurar su éxito personal y profesional, focalizándonos en sus prioridades y principales preocupaciones.
El estado de la ciberseguridad en España 2024 destaca como la iniciativa principal del CISO Program, que forma parte de los Executive Board Programs. A través del estudio, buscamos mantenerlos a la vanguardia de los crecientes desafíos y demandas del mercado. La figura del CISO se ha convertido en una pieza imprescindible para conseguir alinear la estrategia de ciberseguridad con el negocio en un entorno cada vez más cambiante.
¿Por qué un CISO Program? Porque el papel del CISO está evolucionando:
Desarrollamos los Executive Board Programs con el objetivo de ayudar a los líderes empresariales a lo largo de su carrera y asegurar su éxito personal y profesional, focalizándonos en sus prioridades y principales preocupaciones, a la vez que fomentamos relaciones de confianza.
El estado de la ciberseguridad en España 2024 destaca como la iniciativa principal del CISO Program, que forma parte de los Executive Board Programs. A través del estudio, diseñado para asistir a los líderes en seguridad de la información, buscamos mantenerlos a la vanguardia de los crecientes desafíos y demandas del mercado. La figura del CISO se ha convertido en una pieza imprescindible para conseguir alinear la estrategia de ciberseguridad con el negocio en un entorno cada vez más cambiante.
¿Por qué un CISO Program? Porque el papel del CISO está evolucionando:
La ciberseguridad se ha convertido en una necesidad primordial para cualquier compañía.
Es necesario reorientar el rol del CISO para responder al desafío de diseñar una estructura de reporte para los programas de seguridad de la información que equilibre los requerimientos de cada una de las partes implicadas a nivel empresarial.
Este profesional asume una elevada presión para responder a las expectativas del negocio: revisiones de seguridad, entornos Cloud y nuevas tendencias tecnológicas que requieren ser conscientes de la importancia de realizar revisiones periódicas sobre las aplicaciones imprescindibles para cada modelo de negocio.
Incremento de la relevancia de las tecnologías blockchain, inteligencia artificial (IA), machine learning y algoritmos predictivos, que se implantan como herramientas clave en la ciberseguridad de las empresas.
La ciberseguridad se ha convertido en una necesidad primordial para cualquier compañía.
Es necesario reorientar el rol del CISO para responder al desafío de diseñar una estructura de reporte para los programas de seguridad de la información.
Este profesional asume una elevada presión para responder a las expectativas del negocio.
Incremento de la relevancia de las tecnologías blockchain, inteligencia artificial (IA), machine learning y algoritmos predictivos.
Esta publicación contiene exclusivamente información de carácter general, y ni Deloitte Touche Tohmatsu Limited, ni sus firmas miembro o entidades asociadas (conjuntamente, la “Red Deloitte”), pretenden, por medio de esta publicación, prestar un servicio o asesoramiento profesional. Antes de tomar cualquier decisión o adoptar cualquier medida que pueda afectar a su situación financiera o a su negocio, debe consultar con un asesor profesional cualificado. Ninguna entidad de la Red Deloitte será responsable de las pérdidas sufridas por cualquier persona que actúe basándose en esta publicación.
© 2024 Para más información, póngase en contacto con Deloitte, S.L.