El Informe sobre el estado de la seguridad de la información Reveló los complejos desafíos y oportunidades cibernéticas que los líderes de seguridad enfrentaron durante los últimos 12 meses. Desde abordar los riesgos de la IA hasta mejorar la concienciación sobre seguridad de los empleados, el cambiante panorama de ciberamenazas está obligando a las empresas a reevaluar sus prioridades de seguridad y realinear sus estrategias.

Los encuestados del Informe sobre el Estado de la Seguridad de la Información de este año incluyeron profesionales de seguridad que trabajan en el sector legal de Estados Unidos y el Reino Unido. Sus respuestas destacaron las principales amenazas a la seguridad de la información que enfrenta el sector, las medidas que han adoptado los líderes para abordar los desafíos cibernéticos y sus prioridades para desarrollar la resiliencia digital durante los próximos 12 meses.

Descubra las 11 principales estadísticas de seguridad de la información que todo líder de la industria legal debe conocer.

Estadísticas clave de seguridad de la información para el sector jurídico

El panorama cibernético

  1. Las organizaciones legales citaron las tareas que están siendo reemplazadas por IA sin controles humanos de cumplimiento y la protección de tecnologías emergentes como IA, ML y blockchain como sus dos principales desafíos de seguridad de la información (46%).
  2. La desinformación y la información errónea generada por IA son la principal amenaza emergente que preocupa a las organizaciones legales (53%).
  3. El 32% de las organizaciones legales experimentaron incidentes de phishing o vishing y amenazas internas en los últimos 12 meses.

Conciencia de los empleados

  1. Los principales errores de seguridad de la información cometidos por los empleados de organizaciones legales son hacer clic en enlaces o archivos adjuntos sospechosos y no mantener los dispositivos bloqueados o seguros cuando se dejan sin supervisión (ambos 42%).
  2. El 64% de las organizaciones legales planean aumentar el gasto en programas de concientización y capacitación sobre ciberseguridad para empleados.

Incidentes en la cadena de suministro

  1. El 42% de las organizaciones legales se han visto afectadas debido a un incidente de ciberseguridad o seguridad de la información causado por un proveedor externo o un socio de la cadena de suministro en los últimos 12 meses; el 32% se ha visto afectado varias veces.
  2. El 68% de las organizaciones legales han fortalecido la gestión de riesgos de terceros y proveedores en los últimos 12 meses.

Liderazgo en seguridad de la información

  1. El 84% de las organizaciones legales han mejorado la visibilidad y la notificación de riesgos de seguridad a los directivos en los últimos 12 meses.
  2. El 79% de las organizaciones legales están de acuerdo en que cada empresa debería tener a alguien responsable de la seguridad de la información a nivel directivo.

Inversión AI

  1. Las organizaciones legales clasificaron la mejora de las defensas contra amenazas generadas por IA (por ejemplo, phishing, deepfakes) como su principal prioridad de seguridad de la información (53%).
  2. El 68% de las organizaciones legales planean aumentar su gasto en aplicaciones de seguridad de inteligencia artificial y aprendizaje automático en los próximos 12 meses.

Amenazas cibernéticas

Abordar las amenazas impulsadas por la IA es una lucha cada vez mayor para las organizaciones legales. Los encuestados en nuestro Informe sobre el Estado de la Seguridad de la Información mencionaron dos problemas relacionados con la IA como sus principales desafíos en materia de seguridad de la información (46%). Estos desafíos son: la sustitución de tareas por IA sin verificación humana de cumplimiento normativo, y la protección de tecnologías emergentes como la IA, el aprendizaje automático y la cadena de bloques.

La IA también representó la mayor preocupación en cuanto a amenazas emergentes para los encuestados del sector: más de la mitad (53%) afirmó estar preocupada por el impacto de la desinformación generada por la IA en su negocio. Además, casi siete de cada diez (68%) coincidieron en que las tecnologías de IA y aprendizaje automático (ML) están obstaculizando la seguridad de la información de su organización.

La tecnología de IA fue el centro de atención de los encuestados en cuanto a desafíos y preocupaciones, pero muchas empresas legales se vieron afectadas por métodos de ataque más tradicionales. Casi una de cada tres organizaciones legales (32%) sufrió un incidente de phishing o vishing en los últimos 12 meses, y el mismo porcentaje experimentó amenazas internas, un porcentaje superior al de cualquier otro sector encuestado.

¿Cómo pueden las empresas legales abordar los ataques internos, ya sean intencionales o accidentales? Implementar una arquitectura de Confianza Cero (y su filosofía de «nunca confiar, siempre verificar») y un control de acceso con privilegios mínimos puede contribuir en cierta medida a mitigar el riesgo. Este enfoque garantiza que los usuarios solo puedan acceder a lo que necesitan para sus funciones laborales. Al aplicar estos principios, las organizaciones pueden minimizar la superficie de ataque y limitar el impacto potencial de una amenaza interna o una filtración de datos.

Concientización sobre la seguridad de la información de los empleados

Los dos principales errores de seguridad de la información cometidos por los empleados de las organizaciones legales fueron hacer clic en enlaces o archivos adjuntos sospechosos y no bloquear o proteger los dispositivos cuando se dejaban desatendidos. Ambos errores fueron citados por más de dos de cada cinco (42%) encuestados. Ambos problemas reflejan una falta generalizada de formación y concienciación sobre seguridad de la información de los empleados, y ambos pueden ser catalizadores de incidentes cibernéticos importantes.

Afortunadamente, la mayoría (64%) de las organizaciones planea aumentar la inversión en programas de capacitación y concientización sobre ciberseguridad para sus empleados; mejorar la concientización y el comportamiento de los empleados en materia de seguridad ocupó el segundo lugar (37%) entre las prioridades de seguridad de la información de las organizaciones legales para el próximo año. A medida que las empresas se enfrentan a crecientes desafíos de cumplimiento normativo y aumenta el escrutinio regulatorio, construir una cultura de cumplimiento es más esencial que nunca.

Seguridad de la cadena de suministro

Más de dos de cada cinco (42%) de las organizaciones legales encuestadas afirmaron haberse visto afectadas por un incidente de ciberseguridad o seguridad de la información causado por un proveedor externo o un socio de la cadena de suministro en los últimos 12 meses. Peor aún, el 32% se había visto afectado por múltiples incidentes.

Las organizaciones afectadas enfrentaron repercusiones que abarcaron desde pérdidas financieras o costos imprevistos, como remediación, multas u honorarios legales (50 %), hasta demoras o interrupciones en las cadenas de suministro o la prestación de servicios (también el 50 %). El 50 % también experimentó interrupciones temporales del sistema o interrupciones operativas.

Incidentes cibernéticos de alto perfil como los ataques a Jaguar Land Rover (JLR) En septiembre, se evidencia la disrupción que pueden causar los incidentes en la cadena de suministro. Se prevé que el incidente haya costado 1.9 millones de libras en pérdidas y haya afectado a un total de 5,000 empresas, con proveedores que se enfrentan a retrasos en los pagos e interrupciones en el flujo de caja. Los informes del Centro de Monitoreo Cibernético del Reino Unido y la Oficina Nacional de Estadísticas sugieren que... El incidente del JLR afectó el crecimiento del PIB.

A medida que los actores de amenazas atacan cada vez más la cadena de suministro, las organizaciones legales priorizan la seguridad de la cadena de suministro y de los proveedores. Casi siete de cada diez (68%) encuestados del sector legal afirmaron que su organización ha reforzado la gestión de riesgos de terceros y proveedores en los últimos 12 meses, y el 21% afirmó que planea hacerlo en los próximos 12 meses. El 37% también planea aumentar su inversión en seguridad de la cadena de suministro y de proveedores en los próximos 12 meses.

Liderando desde el frente

Nuestros encuestados en el sector jurídico dejaron claro que la seguridad de la información debe ser una responsabilidad de toda la organización y que la responsabilidad de modelar el compromiso y la concientización recae en el liderazgo.

Si bien uno de cada tres (32%) encuestados del sector jurídico coincide en que la alta dirección de su organización no comprende la importancia de la seguridad de la información, un porcentaje mayor (37%) discrepó con esta afirmación. Los líderes de seguridad están tomando medidas para abordar el problema: el 84% de las organizaciones jurídicas han mejorado su visibilidad y la comunicación de riesgos de seguridad a la dirección en los últimos 12 meses, mientras que el 11% planea hacerlo en los próximos 12 meses.

Además, casi ocho de cada diez (79 %) organizaciones legales coinciden en que toda empresa debería contar con un responsable de seguridad de la información en la junta directiva. Un CISO eficaz puede traducir sin problemas el riesgo de seguridad de la información en riesgo empresarial y su posible impacto financiero. De esta manera, puede obtener el respaldo de la junta directiva, lo que contribuye a construir una cultura de cumplimiento de la seguridad de la información en toda la organización.

Amenazas y oportunidades de la IA

Las organizaciones legales son conscientes de las ventajas y desventajas de la IA y están preparadas para abordar sus posibles dificultades. Si bien la IA ofrece a las empresas la oportunidad de mejorar las defensas, optimizar procesos y reducir el trabajo manual, también refuerza la amenaza que representan los actores maliciosos.

Los encuestados manifestaron una clara preocupación por los riesgos de la IA, pero también indicaron que sus organizaciones planean aprovechar esta tecnología para reforzar sus esfuerzos de seguridad. El 68 % de los encuestados del sector legal afirmó que su organización planea aumentar la inversión en aplicaciones de seguridad de IA y ML en los próximos 12 meses. Por otro lado, más de uno de cada tres (37 %) encuestados afirmó que su organización ya había adoptado nuevas tecnologías como IA, ML y blockchain para la seguridad. Un 53 % adicional planea hacerlo en los próximos 12 meses.

Gestionar las amenazas de la IA también es prioritario para las organizaciones legales. Los encuestados consideraron la mejora de las defensas contra amenazas generadas por IA, como el phishing y los deepfakes, como su principal prioridad en seguridad de la información (53 %) para el próximo año. Además, el 95 % de las organizaciones del sector legal planean invertir en la detección y defensa de amenazas mediante IA generativa (GenAI), así como en la gobernanza de la IA y la aplicación de políticas.

Resiliencia

Los líderes de seguridad en la industria legal se enfrentan a un panorama de amenazas a la seguridad de la información que cambia rápidamente.

Sin embargo, sus respuestas al Informe de este año demuestran que están trabajando estratégicamente: identificando las amenazas y oportunidades de la IA, reforzando los requisitos de seguridad de la cadena de suministro y trabajando para mejorar la concienciación sobre la seguridad de la información de los empleados, desde la junta directiva hasta los nuevos empleados. Están invirtiendo en medidas de seguridad de la información, gestión de amenazas de la IA y, fundamentalmente, gobernanza de la IA.

Al fomentar una cultura de cumplimiento normativo e implementar las mejores prácticas de seguridad de la información, las empresas legales pueden gestionar los riesgos de forma más eficaz, fomentar la confianza de los clientes y mejorar la resiliencia digital. Esperamos ver cómo las empresas del sector legal se han adaptado al cambiante panorama cibernético en el Informe del próximo año.