Clientes, juntas directivas y reguladores coinciden. Si las brechas de ciberseguridad son imposibles de prevenir al 100%, el enfoque debe estar en mejorar la resiliencia para que las organizaciones estén mejor preparadas para resistirlas y recuperarse de ellas. Pero medir el progreso en esta área no es tarea fácil. El gobierno Encuesta sobre violaciones de ciberseguridad Es bastante detallado. Pero, lo que es crucial, no encuesta exactamente a las mismas organizaciones cada año para comprobar cómo evoluciona su postura.
Aquí es donde el gobierno Encuesta longitudinal sobre ciberseguridad Entra en escena. Ahora en su quinto año (o “ola”), busca mostrar cómo cambian las organizaciones con el tiempo. Los hallazgos son reveladores. Si bien hay aspectos positivos que destacar de la quinta ola, el informe resalta una propensión a la seguridad reactiva que contradice las mejores prácticas.
¿Qué está saliendo bien (y qué está saliendo mal)?
El informe revela que la mayoría de las organizaciones continuaron experimentando algún tipo de “incidente cibernético” el año pasado: 82% frente al 79% del año anterior. Pero, como aspecto positivo, están tomando medidas al respecto. De hecho:
- El porcentaje de organizaciones que informaron "cumplimiento" de Cyber Essentials aumentó del 23% al 30% entre la cuarta y la quinta ola.
- El porcentaje de empresas con pólizas de ciberseguro aumentó del 29% al 35%.
- El porcentaje de empresas que afirmaron desconocer los seguros descendió del 20% al 13%.
- Las empresas tenían más probabilidades de declarar que invertían en inteligencia sobre amenazas (44% frente al 36%).
- Los encuestados fueron más propensos a realizar una auditoría de vulnerabilidades de ciberseguridad (60% frente al 56%).
- Más de un tercio de las organizaciones (37%) informaron de un aumento en sus presupuestos de ciberseguridad.
Sin embargo, también hay motivos de preocupación. Si bien el año pasado se observó un aumento en la adhesión a las normas y marcos de buenas prácticas, una gran proporción (37%) de las empresas no cumplen con las normas ISO 27001, Cyber Essentials ni Cyber Essentials Plus.
La gestión de riesgos en la cadena de suministro siguió siendo un punto ciego para muchos. Tan solo el 28 % de las empresas afirma haber realizado una evaluación formal de sus proveedores en los últimos 12 meses. «Desde un punto de vista cualitativo, las organizaciones generalmente carecían de conocimiento sobre los incidentes de ciberseguridad en sus cadenas de suministro, aunque reconocen que probablemente ocurren sin su conocimiento», señala el informe.
También revela que, si bien el 90% de las empresas afirman integrar el riesgo cibernético en la gestión de riesgos empresariales más amplia, "esto no siempre se traduce en presupuestos eficaces o en formación para la junta directiva".
El problema de la seguridad reactiva
El principal problema que se destaca en el informe no es necesariamente que las empresas del Reino Unido no estén haciendo esfuerzos para mejorar la resiliencia, ya que en muchos casos sí lo hacen. El problema radica en la forma en que se realizan estas inversiones. Los autores del informe hacen un seguimiento de las organizaciones participantes a lo largo de dos ciclos de entrevistas diferentes («momento 1» y «momento 2»), generalmente durante el transcurso de un año, para medir el cambio longitudinal.
Descubrieron que más de un tercio (34%) de las organizaciones que sufrieron un incidente con impacto y/o resultado en el momento 1, posteriormente sufrieron un incidente sin impacto y/o resultado en el momento 2. Esto sugiere que la organización mejoró su resiliencia de forma reactiva, o que el segundo incidente no fue tan intrusivo.
Hay más. Las organizaciones que no sufrieron ningún incidente en el primer momento no parecieron realizar cambios proactivos para mejorar su postura de seguridad, lo que podría indicar que estaban esperando que algo desencadenara un cambio positivo. Por otro lado, si una organización sí sufrió un incidente, fue más probable que implementara cambios positivos en ocho variables, entre ellas la respuesta a incidentes, la gestión de riesgos de la cadena de suministro y la participación de la junta directiva.
“La imprevisibilidad de los incidentes cibernéticos como catalizadores del cambio es preocupante”, advierten los autores del informe.
Otros ejemplos de postura de seguridad reactiva incluyen los siguientes hallazgos:
- Es más probable que las organizaciones obtengan la acreditación ISO 27001/Cyber Essentials en el momento 2 si experimentaron un incidente con un impacto y/o resultado en el momento 1.
- Los riesgos para la reputación fueron citados con frecuencia por los encuestados como una motivación para el cambio, especialmente para los equipos de ciberseguridad y la alta dirección.
- Las “influencias externas” fueron un factor clave para generar impulso para el cambio, como los ataques de ransomware en minoristas de la calle principal El año pasado. “Los participantes mencionaron que estos incidentes públicos los impulsaron a realizar controles adicionales o permitieron obtener financiación debido a la realidad del impacto potencial para su propia organización”, dice el informe.
Barreras para el éxito
«La seguridad reactiva siempre deja a las organizaciones un paso atrás. Para cuando se activa una alerta, el atacante ya ha logrado su objetivo de alguna forma», explica Michael Downs, vicepresidente de SecureEnvoy, a IO (antes ISMS.online). «Desarrollar la resiliencia de forma proactiva, especialmente en la capa de identidad, ya no es una opción; es la única manera de reducir el riesgo antes de que se materialice».
Sin embargo, si la seguridad proactiva fuera tan sencilla, todo el mundo la implementaría. Andy Ward, vicepresidente sénior internacional de Absolute Security, señala varias barreras clave.
“Uno de los retos es conseguir el apoyo de la junta directiva y de los líderes en ciberseguridad para elevar la resiliencia a los niveles más altos de gobernanza, con estrategias claras para la restauración operativa completa tras una interrupción. Sin esta participación, las medidas proactivas pueden retrasarse o aplicarse de forma inconsistente”, explica a IO.
Otra barrera clave es el rápido aumento de dispositivos y aplicaciones de software, lo que hace que los sistemas de TI sean más complejos y difíciles de gestionar. Esta proliferación dificulta mantener los sistemas actualizados e implementar medidas proactivas de ciberresiliencia en todos los puntos finales.
Ward también señala que la financiación y el acceso al talento son factores que limitan a las empresas en estos esfuerzos, especialmente a las más pequeñas. «Muchas pequeñas empresas creen erróneamente que son demasiado pequeñas para atraer a los ciberdelincuentes, o que almacenar datos en la nube las protege automáticamente», añade.
El camino hacia la seguridad proactiva
Sin embargo, con el enfoque adecuado, estas barreras no deberían ser insuperables, argumenta James Mackay, director ejecutivo de MetaCompliance.
"“Para adoptar un enfoque más proactivo, es fundamental replantear el objetivo de la concienciación sobre seguridad, pasando de impartir formación a gestionar el riesgo humano”, explica a IO. “Con el tiempo, este enfoque fomenta una cultura de seguridad basada en el comportamiento. Los empleados se enfrentan a la seguridad no como un ejercicio ocasional en el aula, sino como parte de su trabajo diario”.
Mackay añade que las normas de buenas prácticas, como la ISO 27001, pueden ser "poderosos facilitadores" de este cambio de enfoque, siempre y cuando no se las considere una lista de verificación.
«La norma ISO 27001 exige que comprendas los riesgos de seguridad de la información, implementes los controles adecuados y te asegures de que el personal sea competente y esté al tanto de sus responsabilidades en materia de seguridad», continúa. «Establecen las bases de cómo se debe gestionar la seguridad en toda la organización».
Si más organizaciones adoptan este tipo de enfoque estructurado, la encuesta longitudinal del próximo año podría ofrecer resultados más alentadores.
Amplíe su conocimiento
Blog: El factor resiliencia: Desglosando el ataque de ransomware BridgePay
Descargar: Informe sobre el estado de la seguridad de la información 2025
