Contar con una estrategia de ciberseguridad sólida y adaptativa es crítico para las empresas, que en su mayoría ya han incorporado esta urgencia a las agendas de sus comités de dirección en España. Y es que el aumento de los ciberataques, la sofisticación cada vez mayor de las herramientas empleadas y los elevados presupuestos que manejan los atacantes plantean nuevos desafíos para las compañías, que deben encontrar el camino para salvar este entorno de amenazas en constante evolución. Entre los más importantes, la escasez de talento, la gestión de terceras partes en la cadena de suministro y la alineación con el negocio de la estrategia de ciberseguridad.
Gestionar los ciberincidentes es un reto, pero también una oportunidad y, sobre todo, un acelerador para mejorar en materia de ciberseguridad. En este sentido, el informe “El Estado de la ciberseguridad en España 2024” elaborado por Deloitte, da algunas pistas de dónde deben poner el foco las organizaciones, que ya han dado un primer paso involucrándose de forma cada vez más activa, a nivel de dirección, en la materia. Sin embargo, todavía son pocas las empresas que ha implementado un modelo de ciberseguridad alineado con el negocio por defecto (by default) y que permita su integración de manera intrínseca en todas las facetas del negocio. La mayoría aún sigue operando by design.
El CISO, clave para “traducir” la información de ciberseguridad a la dirección
En este contexto, la figura del CISO (Chief Information Security Officer) se impone como una pieza clave para hacer comprensible la información sobre ciberseguridad a la dirección, habitualmente de perfil menos técnico, y con quien debe mantener una comunicación fluida y constante, ya que una alta dirección bien informada deriva en un mayor compromiso y apoyo a la hora de implementar estrategias de protección más efectivas. De hecho, según el informe “Global Future of Cyber Survey 2023”, las compañías con mejores desempeños en ciberseguridad suelen informar a su dirección al menos cuatro veces al año.
El CISO también es fundamental para alinear la estrategia de ciberseguridad con el negocio. Sin embargo, según el informe de Deloitte antes citado, “un 52% de los Comités de Dirección aún no realiza simulaciones de cibercrisis”, fundamentales, por otra parte, para entender su impacto en el negocio. En este sentido, la dirección espera una evaluación objetiva del impacto financiero de los incidentes de seguridad, pero actualmente muy pocas empresas son capaces de hacerlo con precisión.
Actualmente, el CISO está enfocado a proteger los activos tangibles, pero esta nueva realidad hace necesario buscar un nuevo enfoque que le permita emplear nuevas métricas y herramientas para comunicarse con la dirección en términos financieros y de negocio para facilitar así una toma de decisiones más informada y estratégica en materia de ciberseguridad.
Su papel también es clave para que la dirección entienda la asimetría presupuestaria con los atacantes, que en la mayoría de los casos cuenta con más recursos y presupuesto que los de sus objetivos empresariales.
Externalización de la ciberseguridad
En cuestiones de ciberseguridad, en España la mayoría de las organizaciones (68%) se sigue apoyando más en recursos externos que en los internos, según revela el informe de Deloitte. La razón, la dificultad, debido a los problemas para atraer y retener talento especializado, de asegurar una cobertura end-to end de manera totalmente interna.
La evolución de la IA ha hecho pensar a numerosas compañías (47%) que su uso minimizará la dependencia del talento en ciberseguridad, pero es algo que todavía ven poco probable a corto plazo.
En lo que respecta al presupuesto en ciberseguridad, sigue aumentando de forma sostenida en el tiempo, si se compara con el de TI. Sin embargo, la prioridad de las empresas no está en este momento en hacer más eficiente en presupuesto, sino en mejorar la capacidad para hacer frente a los ciberdelincuentes, con más recursos de media.
Cadena de suministro: ¿una amenaza?
Los ataques a la cadena de suministro, también conocidos como ataques a terceros o ataques a la cadena de valor, son actualmente un punto débil para las organizaciones. Suelen pasarse por alto, ya que son difíciles de detectar y de prevenir si los proveedores no establecen unas políticas de seguridad estrictas, aunque pueden causar graves daños. De hecho, el control de la ciberseguridad en la cadena de suministro es otro de los grandes desafíos de hoy en día en el ámbito de la ciberseguridad. Algunos informes apuntan que el 50% de los ciberataques se dirigen ahora a la cadena de suministro. Un tipo de amenazas que en 2020 ya había aumentado un 430%. Sobre esta misma idea incide también el informe “The Estate of Cybersecurity and Third Party Remote Acces Risk”, de SecureLink, en 2022, en el que se apunta que el 49% de las organizaciones ha sufrido una filtración de datos a causa de un proveedor externo en el último año.
Los ataques a la cadena de suministro se aprovechan de las relaciones de confianza no seguras entre una compañía y otras organizaciones para realizar filtraciones de datos o entregar malware a una empresa objetivo. Según las previsiones de Gartner, en 2025, las organizaciones de todo el mundo habrán sufrido ataques en el software de sus cadenas de suministro, lo que supone un aumento tres veces superior al de 2021.
El reto en la gestión de terceros se centra en encontrar el equilibrio entre la confianza y los controles efectivos. Actualmente, solo un pequeño porcentaje de empresas consigue realizar revisiones exhaustivas, empleando mecanismos Zero Trust o pruebas avanzadas con terceros. El resto, confía en la buena fe de sus socios mediante cuestionarios de autoevaluación, y en muchos casos, debido a la dificultad y al coste que conllevaría realizar una gestión sólida de terceros. El futuro pasa por plantear y definir qué modelo sería el más adecuado, en base al tamaño de los proveedores, y el tipo de controles a exigir, que ahora son más procedimentales que técnicos.
Apuesta por el uso del Managed Extended Detection and Response (MXDR)
Gran parte de las empresas encuestadas por Deloitte apuestan para una detección y respuesta temprana de los ciberataques, es decir, por el uso del Managed Extended Detection and Response (MXDR), aunque esto es algo, por el momento, más aspiracional que real.
El MXDR es un enfoque integral de protección y vigilancia que se centra en la monitorización, detección y análisis continuos para ofrecer una mejor y más eficaz repuesta, en tiempo real, a incidentes de seguridad.
