Me complace presentar los resultados de nuestro último Informe sobre el estado de la seguridad de la información, realizado en asociación con la firma independiente de investigación de mercado Censuswide. Este año, ampliamos nuestra encuesta para incluir a encuestados del Reino Unido, EE. UU. y Australia, brindando una visión verdaderamente integral del panorama actual de cumplimiento y seguridad de la información.
Para mí, el informe subraya una evolución fundamental en la seguridad de la información. En medio de los rápidos avances tecnológicos y cambios en el entorno empresarial global, nuestros hallazgos resaltan el profundo impacto de la seguridad de la información en la resiliencia y el éxito empresarial.
El papel de las prácticas sólidas de seguridad de la información ha pasado de ser una medida preventiva a un motor fundamental del crecimiento empresarial. El informe revela que las organizaciones que integran profundamente la seguridad de la información en su espíritu operativo mejoran su defensa contra las amenazas cibernéticas y fortalecen su posición en el mercado, logrando en última instancia importantes ventajas competitivas y financieras.
Trazando el panorama de riesgos actual
Al reflexionar sobre los desafíos de la industria, queda claro que los líderes empresariales de TI de hoy están entrando en aguas inexploradas. La pandemia y las incertidumbres económicas posteriores han acelerado la transformación digital; sin embargo, cada nueva inversión y asociación amplía nuestra superficie de ataque digital.
A medida que las cadenas de suministro se convierten cada vez más en el elemento vital del comercio global, su vulnerabilidad a los ciberataques aumenta, y los ciberdelincuentes a menudo apuntan a proveedores más pequeños para infiltrarse en organizaciones más grandes. Nuestra encuesta indica que el 64 % de los encuestados ve riesgos de seguridad en la cadena de suministro más frecuentes, y el 79 % experimentó al menos un incidente en el último año.
Esta realidad subraya por qué el 38% de los encuestados señalaron la gestión del riesgo de proveedores y terceros como el desafío más importante al que se enfrentan sus negocios, ocupando el puesto número uno. Además, la gestión y seguridad de los dispositivos IoT y BYOD (30%) también se sitúa entre las cinco principales preocupaciones. Estas inversiones tienen un valor comercial sustancial, pero ese valor sólo puede materializarse si los riesgos se gestionan adecuadamente.
El cumplimiento de una compleja red de regulaciones nacionales e internacionales fue el segundo mayor desafío, citado por el 33% de los líderes de seguridad de la información.
La gestión eficaz de riesgos y el cumplimiento no consisten sólo en evitar sanciones. Son fundamentales para garantizar la integridad y confiabilidad de las operaciones comerciales, mejorar la ventaja competitiva e impulsar el valor comercial. Agilizar los procesos de cumplimiento es esencial para mantenerse a la vanguardia.
La implacable amenaza de los ciberactores
A medida que el panorama de riesgos se intensifica, la incesante innovación de los ciberdelincuentes nos recuerda constantemente las vulnerabilidades contra las que debemos protegernos. Durante el año pasado, las infecciones de malware fueron los incidentes más reportados, particularmente en el sector tecnológico. El aumento de los paquetes de malware "como servicio" ha facilitado a los atacantes la ejecución de ataques complejos, lo que ha provocado filtraciones de datos y ataques de ransomware. Los resultados van desde la minería de criptomonedas y el acceso a la red hasta el cifrado completo del sistema y el robo de datos confidenciales o de credenciales.
Además de estos riesgos crecientes, la ingeniería social sigue siendo una amenaza crítica: el 32 % de los encuestados informaron incidentes. La sofisticación de los deepfakes impulsados por IA también es particularmente preocupante, ya que se vuelven más frecuentes en los esquemas de vulneración del correo electrónico empresarial, y más del 40 % de las empresas informan haberse visto afectadas por los deepfakes, un aumento desde el 0 % en el informe de 2023.
A medida que las amenazas cibernéticas se vuelven más sofisticadas, es esencial mantener la vigilancia y actualizar continuamente sus estrategias de seguridad. No abordar estas amenazas podría tener consecuencias graves, incluida una pérdida significativa de datos, interrupciones del servicio y daños financieros y de marca.
El papel fundamental de la protección de datos
Podría decirse que los datos siguen siendo el bien más valioso de una organización. Este valor es el motivo regulaciones como GDPR han establecido estándares tan altos para proteger y manejar la información de forma segura. También es la razón por la que los actores de amenazas están muy motivados para acceder a estos datos, ya sea con fines fraudulentos, extorsión o con fines estratégicos.
Las violaciones de datos de socios son las más reportadas: el 41% de los encuestados citaron este tipo de incidentes en los últimos 12 meses. Esto pone de relieve los riesgos persistentes que plantean los proveedores, ya que estos datos suelen estar menos protegidos. En particular, estas infracciones son más frecuentes en el sector tecnológico, con un 55%, que en los minoristas, con un 27%.
Los datos financieros fueron el segundo tipo más comprometido, 39%, seguidos de activos, 34%, clientes, 33) y datos de productos, 32%. Sorprendentemente, sólo el 27 % de los encuestados informaron que su información de identificación personal (PII) estaba comprometida a pesar de ser un objetivo común en los ataques de ransomware. Este tipo de datos está particularmente en riesgo en los sectores de energía y servicios públicos, 38%, y 35% minorista.
El informe destacó que la mejora de la formación y la sensibilización de los empleados está teniendo un impacto positivo. Sin embargo, el uso persistente de dispositivos personales para trabajar sin las medidas de seguridad adecuadas sigue siendo un riesgo importante. Las organizaciones deben continuar educando a los empleados y aplicar estrictos protocolos de seguridad para mitigar estas amenazas.
El doble papel de la IA en la ciberseguridad
La IA es a la vez un desafío y una oportunidad en ciberseguridad. El 76 % de los profesionales de seguridad cree que la tecnología de inteligencia artificial y aprendizaje automático (ML) mejorará la seguridad de la información, y el 64 % planea aumentar sus presupuestos en consecuencia. De hecho, estas herramientas pueden ayudar a cerrar las brechas de habilidades, automatizar la detección de amenazas y mejorar los tiempos de respuesta, por nombrar algunos beneficios.
A pesar del revuelo en torno a la IA generativa (GenAI), solo el 26% de los encuestados informaron haber adoptado nuevas tecnologías como IA, ML y blockchain para seguridad durante el año pasado. Esto es sorprendente dado que las aplicaciones de IA en ciberseguridad se extienden mucho más allá de GenAI, y el aprendizaje automático se utiliza en el filtrado de spam y otras áreas durante años. La renuencia a participar en nuevos proyectos podría explicar por qué sólo el 11% considera que gestionar y proteger las tecnologías emergentes es un desafío importante.
Incluso menos encuestados, el 7%, están preocupados por las violaciones de la privacidad de la IA, que se está convirtiendo en un problema emergente a medida que las organizaciones integran la GenAI en sus operaciones. Los incidentes de alto perfil, como cuando los empleados de Samsung comparten inadvertidamente información confidencial a través de mensajes de GenAI, resaltan los riesgos. Forrester predice importantes violaciones de datos y multas regulatorias para los usuarios de GenAI en 2024. enfatizando la amenaza del código inseguro generado por estas herramientas. el Reino Unido El Centro Nacional de Seguridad Cibernética (NCSC) también advirtió que GenAI podría exacerbar las amenazas de ransomware facilitando la vigilancia y la ingeniería social.
Sin embargo, el panorama regulatorio está evolucionando. El La Ley de IA de la UE responsabiliza a todos los proveedores de IA, introduciendo evaluaciones de conformidad para sistemas de IA de alto riesgo. Estados Unidos depende de órdenes ejecutivas presidenciales, con posibles leyes federales en el futuro. El Reino Unido también está dando muestras de su intención de regular el uso de la IA. Normas como la ISO 42001 serán cruciales para que las organizaciones proporcionen garantías a los reguladores.
Aunque actualmente solo el 13% de los encuestados utiliza la seguridad de la información y el cumplimiento para impulsar la adopción segura de nuevas tecnologías, se espera que esta cifra aumente a medida que aumenten las acciones regulatorias y el uso de la tecnología se generalice.
El valor empresarial del cumplimiento
Históricamente, las salas de juntas han considerado el cumplimiento como un mal necesario: un medio para evitar multas punitivas y mala publicidad. Sin embargo, nuestra investigación revela un cambio significativo en esta percepción. En el Reino Unido, hay un aumento de las multas: el 26% de los encuestados reciben multas de entre 250 y 500 libras esterlinas (frente al 21% en 2023) y el 35% reciben multas de 100 a 250 libras esterlinas (frente al 18%). Si bien las multas son un factor, son sólo una parte del proceso de cumplimiento.
Las motivaciones de cumplimiento van mucho más allá de evitar sanciones. El 34% de los encuestados considera que el cumplimiento es crucial para mantener una ventaja competitiva, y un porcentaje igual está impulsado por la creciente demanda de los clientes de medidas de seguridad sólidas. Proteger la información empresarial (30%) y de los clientes (29%) también es un motivador clave, mientras que el 27% considera que el cumplimiento es esencial para ingresar a nuevos mercados y cadenas de suministro.
Invertir en programas de cumplimiento genera beneficios tangibles: el 34% de los encuestados reportó una mejor reputación como entidades seguras y confiables. El 30% ha logrado ahorros de costos al reducir los incidentes de ciberseguridad y el 29% ha logrado ahorrar tiempo a través de procesos de seguridad más eficientes. El cumplimiento también atrae a inversores que buscan empresas de bajo riesgo (28%) y ayuda a optimizar la infraestructura de seguridad (28%), haciendo que su gestión sea más fácil y menos costosa. Además, el 26% ha mejorado la toma de decisiones comerciales a través de datos seguros y confiables, mientras que solo el 19% prioriza el cumplimiento para evitar multas.
A pesar de los beneficios, los desafíos persisten. Casi la mitad (46%) de los encuestados informaron que cumplir con la norma ISO 27001 les llevó entre seis y 12 meses. Un 11% adicional dice que tomó entre 12 y 18 meses, y un 5% afirma que tomó más de un año y medio.
Este cronograma indica la necesidad de procesos más optimizados y socios de cumplimiento confiables. Al aprovechar socios experimentados, las organizaciones pueden acelerar los esfuerzos de cumplimiento, reducir los costos asociados y mantener medidas de seguridad sólidas.
¿Qué sigue para la seguridad de la información?
Lo que está claro es que las organizaciones continúan enfrentando innumerables amenazas y requisitos regulatorios mientras impulsan importantes iniciativas de cambio, entre ellas el papel emergente de la IA. El cumplimiento de los marcos y estándares de mejores prácticas no se trata solo de cumplir con las demandas regulatorias sino también de construir un negocio resiliente y confiable.
En ISMS.online, Nuestro compromiso es apoyar a nuestros clientes en este viaje, ayudándolos a optimizar los procesos de cumplimiento y asegurar su futuro digital. De cara al futuro, confío en que la integración de prácticas sólidas de seguridad de la información será fundamental para el crecimiento y el éxito sostenibles.
Quiero agradecer a todos los encuestados que contribuyeron a esta invaluable investigación. Si deseas leer el informe completo, puedes hacerlo aquí: https://es.isms.online/state-of-infosec-24/
