Lo último de IO Informe sobre el estado de la seguridad de la información Se destaca una industria indispensable para la economía digital y especialmente expuesta al riesgo. Los proveedores de TI y las organizaciones MSP se encuentran en el corazón de cadenas de suministro interconectadas, gestionan entornos de clientes complejos y están adoptando tecnologías emergentes con rapidez. Los hallazgos de este año revelan cómo estas presiones están redefiniendo sus prioridades de seguridad y por qué muchos están reevaluando cómo estructuran la gobernanza, el cumplimiento normativo y la resiliencia.

Entre nuestros encuestados se encontraban altos directivos de ciberseguridad del Reino Unido y Estados Unidos. Sus análisis revelan las amenazas más urgentes que enfrenta el sector hoy en día, los desafíos operativos que configuran el trabajo diario de seguridad y la dirección estratégica que están adoptando las organizaciones para fortalecer su resiliencia.

A continuación, analizamos 11 estadísticas clave que todo líder de TI y MSP debe comprender del informe de este año.

Estadísticas clave de seguridad de la información para el sector de TI y MSP

Gobernanza y estrategia

  1. El 50% afirma que los altos directivos aún tratan el cumplimiento de la seguridad de la información como una cuestión de último momento.
  2. El 67% dice que la velocidad y el volumen de los cambios regulatorios hacen que sea cada vez más difícil cumplir con las normas.

Habilidades, capacidad y presión operativa

  1. El 42% cita la brecha de habilidades en seguridad de la información como uno de los principales desafíos.
  2. El 34% informa de agotamiento en los equipos de seguridad de la información y cumplimiento debido al aumento de la carga de trabajo.
  3. El 41% dice que las tareas están siendo reemplazadas por IA sin la supervisión humana adecuada para garantizar el cumplimiento.

Fragmentación y desafíos del proceso

  1. El 38% tiene problemas con la proliferación tecnológica y el 24% afirma que los esfuerzos de seguridad aislados son un problema clave.
  2. El 44% afirma que la TI en la sombra es ahora el error de seguridad más común de los empleados.

Ejecución y resultados del cumplimiento

  1. Solo el 35% se siente completamente equipado para gestionar el cumplimiento de GDPR, NIS 2 y DORA internamente.
  2. El 74% de las organizaciones recibieron al menos una multa regulatoria en los últimos 12 meses.
  3. La mejora de la calidad de las decisiones comerciales (46%) y la retención de clientes (44%) son los principales retornos de la inversión (ROI) derivados del cumplimiento de la seguridad de la información.

Riesgo e impacto empresarial

  1. El 66% se vio afectado por incidentes de terceros, con consecuencias que van desde pérdidas financieras (36%) hasta interrupciones operativas (34%) y escrutinio regulatorio (33%).

Seguridad de terceros y de la cadena de suministro

Pocos sectores sufren con tanta intensidad las repercusiones de la vulnerabilidad de la cadena de suministro como las organizaciones de TI y MSP, especialmente aquellas integradas directamente en la infraestructura de sus clientes. El hallazgo de que el 66 % experimentó un incidente de seguridad originado por un tercero o proveedor subraya la interdependencia del ecosistema. Estos incidentes rara vez se controlan: los encuestados informaron de pérdidas financieras, escrutinio por parte de los reguladores, interrupciones operativas e interrupciones en la atención al cliente como resultado de fallos de los proveedores.

Esta creciente dependencia explica por qué el 80 % reforzó su gestión de riesgos de terceros durante el último año. Para muchos, la transición consiste en pasar de una diligencia debida reactiva a un enfoque más continuo y basado en la evidencia: supervisar, validar y documentar los controles de los socios de forma continua. Las empresas con mayor riesgo son aquellas que dependen de procesos fragmentados o una gobernanza inconsistente, precisamente donde las prácticas de cumplimiento estructuradas y repetibles marcan una diferencia significativa.

El cambiante panorama de amenazas

Si bien las amenazas habituales aún dominan las cargas de trabajo de seguridad, el sector está experimentando un fuerte aumento de ataques basados ​​en IA y dirigidos a ella. La estadística más destacada es que el 41 % afirma que la IA está sustituyendo tareas sin suficiente supervisión humana. Esto, sumado al 27 % que sufre contaminación de datos, ilustra la rapidez con la que las organizaciones pueden perder visibilidad de la integridad de los procesos cuando las tecnologías emergentes superan a la gobernanza.

Al mismo tiempo, los datos de incidentes siguen siendo obstinadamente altos en todos los ámbitos:

  • El 32% sufrió violaciones de datos
  • El 29% se vio afectado por brechas en la nube
  • El 31% informó infecciones de malware
  • El 22% experimentó amenazas internas

A esto se suma el continuo aumento de la ingeniería social, la manipulación de los sistemas de autenticación y los ataques multivectoriales que combinan el engaño técnico y humano. En entornos de TI y MSP, donde un solo conjunto de credenciales puede desbloquear el acceso a múltiples redes de clientes, incluso pequeños fallos pueden tener consecuencias de gran alcance, un riesgo que se intensifica cuando la TI en la sombra (reportada por el 44%) se convierte en parte de los flujos de trabajo cotidianos.

Habilidades, agotamiento y sobrecarga operativa

El Informe también revela un sector que enfrenta limitaciones de recursos y desafíos de capacidad estructural. El 42% que menciona la brecha de habilidades en ciberseguridad representa una industria donde la demanda de experiencia supera la oferta, especialmente en áreas como la seguridad en la nube, la seguridad de la IA y el cumplimiento normativo.

Sin embargo, no se trata solo de habilidades. El 34 % que reporta agotamiento en sus equipos de seguridad de la información y cumplimiento normativo refleja un aumento de las expectativas sin un aumento correspondiente en la plantilla, las herramientas ni el presupuesto. Muchos encuestados describieron cargas de trabajo que se han expandido junto con las nuevas tecnologías, las nuevas regulaciones y las mayores dependencias upstream/downstream.

Esta presión se ve intensificada por la proliferación tecnológica, citada por el 38% como un desafío importante, y por los equipos aislados (24%), lo que genera duplicación de esfuerzos, procesos inconsistentes y una mayor dependencia de las acciones individuales. A medida que los equipos de seguridad manejan múltiples herramientas, paneles de control superpuestos y flujos de trabajo inconexos, se vuelve más difícil mantener una única fuente de información, garantizar la coherencia de los registros de evidencia y mantener la coherencia de las prácticas de gobernanza.

Presión regulatoria y complejidad del cumplimiento

La regulación evoluciona a un ritmo mayor que la capacidad de adaptación de muchas organizaciones. Este año, el 67 % afirmó que la velocidad y el volumen de los cambios regulatorios dificultan el cumplimiento normativo, un indicador significativo de la rapidez con la que se expanden los requisitos en materia de protección de datos, gobernanza de la IA, resiliencia operativa y seguridad de la cadena de suministro.

Los datos también muestran que las organizaciones no están igualmente preparadas. Solo el 35% se siente plenamente capaz de gestionar GDPR, NIS 2 y DORA Cumplimiento interno. La mayoría requiere apoyo externo, cuenta con experiencia limitada o carece del tiempo y el respaldo de la junta directiva necesarios para cumplir con sus obligaciones.

Esta brecha de capacidad se refleja en los resultados: el 74% de las organizaciones recibieron al menos una multa regulatoria en los últimos 12 meses, incluidas sanciones sustanciales por infracciones, pérdida de datos y controles inadecuados.

Lo que surge de los datos es una imagen de organizaciones que intentan cumplir, pero a menudo lo hacen a través de enfoques manuales, inconsistentes o aislados que son difíciles de escalar.

Sin embargo, los datos también muestran que cuando las organizaciones implementan correctamente el cumplimiento normativo, los beneficios son sustanciales. Los encuestados identificaron la mejora en la calidad de las decisiones empresariales (46%) y la retención de clientes (44%) como los principales beneficios de un sólido cumplimiento de la seguridad de la información. Esto subraya un cambio en la forma en que los líderes de TI y MSP ven la gobernanza: no como una obligación, sino como una ventaja estratégica cuando se ejecuta de forma consistente.

Comportamiento de los empleados y riesgos internos

La cultura de seguridad sigue siendo un desafío importante. La TI en la sombra es el error más común reportado por los empleados (44%), seguido de cerca por uso no autorizado de herramientas de IA generativa (38%) y prácticas inseguras en el uso de dispositivos o redes.

Estos comportamientos apuntan a un problema más amplio: cuando los procesos no son claros, consistentes o no están integrados en los flujos de trabajo diarios, los empleados subsanan las deficiencias con herramientas y métodos que introducen nuevos riesgos. Esto es especialmente arriesgado en entornos de TI y MSP, donde el personal suele tener acceso privilegiado a los sistemas de los clientes o a datos confidenciales.

El desafío, entonces, no es simplemente capacitar, sino equipar a los equipos con procesos bien estructurados y sin fricciones que hagan que el camino seguro sea el camino fácil.

Liderazgo y Dirección Estratégica

Uno de los hallazgos más alentadores del Informe es que el 87% afirma que su organización cuenta con una estrategia de seguridad clara y bien comunicada, y el 88% cree que toda empresa debería tener un responsable de seguridad de la información en la junta directiva. Este cambio hacia la participación ejecutiva sugiere una comprensión más madura del riesgo cibernético como un problema estratégico, no meramente técnico.

Sin embargo, este progreso coincide con el hallazgo de que el 50% todavía cree que los altos directivos tratan el cumplimiento como una cuestión de último momento, lo que revela una brecha notable entre la intención estratégica y la priorización diaria.

Para las organizaciones que ya se ven limitadas por la escasez de habilidades, los riesgos operativos y las exigencias regulatorias, esta falta de alineación puede tener consecuencias reales. El liderazgo define qué es lo "bueno", y sin señales consistentes, los equipos se ven obligados a cubrir las deficiencias.

Mantenerse a la vanguardia mediante la resiliencia estructurada

El sector de TI y MSP se enfrenta a un entorno donde los riesgos se multiplican, las expectativas aumentan y la capacidad interna se encuentra bajo presión. Sin embargo, el rumbo es claro: las organizaciones están invirtiendo en resiliencia, reforzando la supervisión de la cadena de suministro y priorizando la gobernanza estratégica y la alineación del liderazgo.

Los desafíos que se destacan en el Informe, desde la proliferación tecnológica hasta la escasez de personal cualificado, desde la TI en la sombra hasta las sanciones regulatorias, no son problemas aislados. Son indicadores de un ecosistema que ha superado los procesos manuales y las herramientas fragmentadas. Las organizaciones mejor posicionadas para los próximos 12 meses serán aquellas que adopten sistemas integrados, repetibles y que abarquen toda la organización y que fomenten la coherencia entre las personas, los procesos y la tecnología.

Al incorporar enfoques sólidos en toda la organización respecto de la seguridad de la información y el cumplimiento, las empresas pueden reducir el riesgo, fortalecer la confianza del cliente y crear una base más estable para la innovación en un panorama cada vez más impredecible.

Lea el informe completo sobre el estado de la seguridad de la información aquí.