Más de la mitad de las empresas carece de una estrategia de ciberseguridad dedicada a la IA

Los tres principales retos de ciberseguridad son: la sofisticación de las amenazas y el presupuesto elevado de los atacantes (82%); la seguridad de las operaciones y la continuidad del negocio (70%); y el control de la ciberseguridad en la cadena de suministro (68%). El uso de la IA en las diferentes áreas de negocio de las compañías constituye un nuevo reto para la ciberseguridad. Sin embargo, el 51% de las empresas todavía carece de una estrategia de ciberseguridad dedicada a los sistemas de IA, dejando, por tanto, un amplio margen de mejora para adoptar medidas que protejan los sistemas frente a esta tecnología. Ejemplo de ello es la implantación de controles específicos (25%) o la puesta en marcha de pruebas focalizadas (24%). 

Estos datos se desprenden del estudio “El estado actual de la ciberseguridad en España 2024”, elaborado por Deloitte. En él, se ofrece una panorámica de la ciberseguridad en las organizaciones de nuestro país a través de las respuestas de los responsables de seguridad de la información (CISO, por sus siglas en inglés) de empresas españolas.  Entre las principales conclusiones, el informe destaca que hay una mayoría de empresas (69%) con un enfoque reactivo hacia las amenazas derivadas de la Inteligencia Artificial, sin contar con una estrategia clara de integración. 

Los tres principales retos a los que se enfrentan los responsables de seguridad de la información o CISO en los próximos años son: la sofisticación de las amenazas y el presupuesto elevado de los atacantes (82%); la seguridad en las operaciones y la continuidad del negocio (70%) y el control de la ciberseguridad en la cadena de suministro (68%). Estos retos apuntan claramente al ransomware como el tipo de ataque por excelencia. Esto es así porque muestra unos niveles de sofisticación muy elevados, una evolución y desarrollo continuos y porque pone en jaque la continuidad de las operaciones de una entidad, aprovechando, además, las relaciones necesarias con terceros en la cadena de suministro, bien como vía de entrada, o bien para propagarse.

El estudio resalta que el CISO tiene un gran reto por delante, como es conseguir que la dirección entienda, de manera adecuada, la asimetría presupuestaria entre los atacantes y las empresas, así como el grado de sofisticación de las amenazas, para poder calibrar adecuadamente las estrategias y recursos de defensa de la organización. Actualmente, solo una minoría de las empresas (19%) ha implementado con éxito un modelo más garantista de ciberseguridad, alineado por defecto con el negocio. La mayoría aún opera bajo un enfoque by design o transversal (47%), sin una especialización concreta, lo que es un modelo insuficiente.

En este contexto, se identifica una oportunidad clara: el modelo actual by design debe evolucionar hacia un enfoque by default, en el que la ciberseguridad se integre de manera intrínseca y natural.Los CISO creen, además, que las preocupaciones de la dirección están alineadas con las suyas. En este sentido, las principales preocupaciones de la dirección señaladas por los CISO son:  la continuidad de las operaciones de negocio como el aspecto que produce más intranquilidad (90%), seguido, en un 80%, de la protección de la marca y la reputación de la organización ante ciberataques.