La ciberresiliencia se ha consolidado como una de las áreas clave de interés para el sector cibernético en los últimos años. Incluso el gobierno la ha mencionado en un proyecto de ley crucial que está pendiente de aprobación. Sin embargo, lograrla está resultando bastante difícil para los seis millones de empresas del Reino Unido. Si nos guiamos por las últimas investigaciones del gobierno británico, la brecha entre las ambiciones del sector en materia de resiliencia y los logros reales de las organizaciones sigue siendo considerable.
Este año, el Encuesta sobre violaciones de seguridad cibernética Ya está disponible. Y es prueba, una vez más, de que las empresas del país están estancadas en lo que respecta a sus esfuerzos de ciberseguridad. Solo la mitad (57%) de las empresas medianas y tres cuartas partes (74%) de las grandes empresas cuentan con una estrategia de seguridad, cifras prácticamente sin cambios respecto al año pasado. Aún queda mucho trabajo por hacer.
El camino hacia la resiliencia
La resiliencia consiste en replantear la ciberseguridad en el contexto de un panorama de amenazas volátil, un creciente escrutinio regulatorio y las insaciables demandas de inversión digital por parte de los consejos de administración. En un mundo donde la economía del cibercrimen es que valen billones, el Centro Nacional de Ciberseguridad (NCSC) es tratar con cuatro ataques “de importancia nacional” por semana, y miles de millones de comprometidos Las credenciales están circulando, y los equipos de seguridad deben aceptar que ninguna organización es 100% inmune a las filtraciones de datos.
En este contexto, el enfoque va más allá de la prevención y se centra en la capacidad de prepararse, responder, recuperarse y aprender de cualquier ataque que logre infiltrarse. Esto es más importante que nunca, ya que las superficies de ataque se expanden con la proliferación de dispositivos IoT, agentes de IA, chatbots y LLM, muchos de los cuales se utilizan sin el conocimiento del departamento de TI. IO (anteriormente ISMS.online) Informe sobre el estado de la seguridad de la información 2025 Revela que un tercio (34%) de los encuestados están preocupados por la IA en la sombra durante el próximo año, una de las respuestas más populares.
Lo que encontró el gobierno
La verdadera resiliencia exige defensas por capas. Lamentablemente, el último informe gubernamental sobre brechas de seguridad revela que muchas organizaciones no están implementando las medidas básicas. Estos son algunos de los hallazgos más destacados:
Formación y concienciación del personal han aumentadoAunque el porcentaje de encuestados que participan en estas actividades aumentó en las empresas más grandes (del 76% el año pasado al 84% este año), en general se mantuvo estancado en un decepcionante 19%.
Evaluaciones de riesgo: Se observó un ligero incremento anual en el número de encuestados que realizan evaluaciones de riesgos de ciberseguridad, tanto en empresas medianas (del 57 % al 62 %) como en grandes (del 70 % al 72 %). Sin embargo, la cifra global se mantuvo prácticamente sin cambios en el 30 %.
Gestión de riesgos de la cadena de suministro: Menos de un tercio (30%) de las empresas medianas y la mitad (48%) de las grandes empresas analizan los riesgos cibernéticos que plantean sus proveedores directos. Estas cifras son prácticamente idénticas a las del año pasado (32% y 45%, respectivamente). En el caso de la cadena de suministro en general, los porcentajes fueron aún menores: 13% y 24% frente al 15% y 25%. En total, solo el 15% de las empresas analizaron a sus proveedores directos y el 6% a la cadena de suministro en general, cifras similares a las del año pasado (14% y 7%).
Seguro: La mitad (47%) de las empresas afirma estar asegurada contra riesgos cibernéticos, cifra que ha aumentado en el caso de las empresas medianas (61%). Esta cifra se mantiene prácticamente en línea con la del año pasado (45% y 65%). Sin embargo, resulta aún más preocupante que solo el 10% declare tener una póliza de seguro cibernético específica, y más de una quinta parte (22%) lo desconozca por completo. Ambas estadísticas fueron similares a las del año pasado (7% y 20%).
El tablero: La ciberseguridad es considerada una "alta prioridad" por la alta dirección en el 72% de los encuestados. Pero, ¿es realmente así? La responsabilidad del consejo de administración en este ámbito aumentó solo ligeramente, del 27% al 31%.
Respuesta al incidente: El porcentaje de encuestados con un plan formal de relaciones con los inversores se mantuvo prácticamente sin cambios (25%), al igual que las cifras para las empresas medianas (del 53% al 57%) y grandes (del 75% al 76%).
Conocimiento de las iniciativas gubernamentales: Más encuestados que el año pasado afirman haber oído hablar de programas gubernamentales como Cyber Aware (del 24 % al 30 %), la guía de los 10 pasos (del 12 % al 17 %) y Cyber Essentials (del 12 % al 17 %). Sin embargo, estas cifras, junto con las del nuevo Código de Buenas Prácticas de Seguridad del Software (22 %) y el Código de Buenas Prácticas de Gobernanza Cibernética (16 %), siguen siendo demasiado bajas.
Además, el porcentaje de encuestados que poseen Cyber Essentials ha aumentado solo ligeramente, del 3% al 5% en general, y del 21% al 35% en el caso de las grandes empresas.
AI: Alrededor de una quinta parte (21%) de los encuestados afirma haber adoptado algunas herramientas de IA en su organización. Sin embargo, casi la mitad (45%) sostiene que la IA no es relevante para su organización.
Más allá de la seguridad basada en casillas de verificación
Merlin Gillespie, director de tecnología de Cybanetix, declaró a IO que el informe ilustra una vez más dos realidades: las empresas más grandes son, en general, competentes, mientras que sus competidoras más pequeñas están expuestas.
“La receta estándar es bien conocida. Adopte una postura de asumir una brecha de seguridad, elabore un plan de respuesta a incidentes probado con rutas de escalamiento claras, implemente una serie de controles de seguridad, MDR, gestión de identidades, refuerzo de la autenticación y comience a revisar formalmente su cadena de suministro”, explica.
Todas estas opciones son adecuadas para empresas con una función de seguridad formalizada y recursos capaces de implementarlas. El problema es que esta solución presupone una capacidad que la mayoría de las empresas del Reino Unido no poseen.
Richard Groome, especialista en ciberseguridad de tecnología operativa en e2e-assure, está preocupado por la deficiente capacidad de respuesta ante incidentes. «La mayoría de las empresas pueden escalar los problemas internamente, pero solo un tercio cuenta con procesos claros de notificación externa. Eso no es resiliencia, es reacción», comenta a IO.
Las empresas deben ir más allá de la seguridad superficial y centrarse en la observabilidad y la resiliencia operativa. Esto requiere monitorización continua, detección más rápida y una respuesta a incidentes que haya sido probada, no solo documentada. Con la entrada en vigor de los requisitos de informes las 24 horas, no se puede responder a un incidente que no se haya detectado. La visibilidad y la rapidez son fundamentales.
Dan Lattimer, vicepresidente de Semperis para EMEA, añade que la gestión de identidades debe formar parte de cualquier plan de respuesta a incidentes. «Invertir en la monitorización y recuperación de identidades, junto con la prevención, es fundamental para reducir el tiempo de inactividad, la repetición de incidentes y los daños a largo plazo para el negocio», afirma. «Una respuesta a incidentes sin recuperación de identidades es una respuesta incompleta».
Formalización de las mejores prácticas
A pesar del escaso conocimiento y la baja adopción de las normas y marcos de buenas prácticas, estos pueden ser un aliado útil en el impulso por mejorar la ciberresiliencia, según otros expertos consultados por IO. Graeme Stewart, director del sector público para el Reino Unido e Irlanda en Check Point, describe las conclusiones del informe como una llamada de atención para organizaciones de todos los tamaños.
“El triángulo mágico formado por personas, procesos y tecnología requiere atención. El personal debe estar informado y consciente. Los procesos deben ser sólidos, abarcando tanto la prevención como la respuesta posterior a incidentes, y la tecnología debe estar debidamente actualizada, utilizada correctamente y recibir los parches necesarios”, explica a IO.
“Marcos de referencia como Cyber Essentials, ISO 27001 y las directrices del NIST proporcionan salvaguardas fundamentales, especialmente para las organizaciones más pequeñas cuyos líderes no son expertos en ciberseguridad. Estos marcos ofrecen a las empresas una hoja de ruta estructurada, lo cual representa un progreso realmente positivo.”
Muhammad Yahya Patel, vCISO de Huntress, coincide. «Los marcos de trabajo como Cyber Essentials y las normas ISO son valiosos porque proporcionan un enfoque coherente y regulado para la gestión de controles, riesgos y políticas», explica a IO. «Cyber Essentials, en particular, se centra en gran medida en los controles de higiene fundamentales, y la realidad es que muchos de los ataques que vemos hoy en día tienen éxito precisamente porque esos controles básicos no están implementados».
En nuestros Informe sobre la encuesta del año pasado También observamos cómo los esfuerzos de resiliencia se habían estancado en todo el Reino Unido. Esperemos no tener que decir lo mismo el año que viene.
Amplíe su conocimiento
Guía: Informe sobre el estado de la seguridad de la información 2025
