La mediana empresa avanza en cultura de ciberseguridad
- Estrategias
La mediana empresa representa uno de los pilares del tejido económico español, pero su nivel de exposición a las amenazas digitales crece más rápido que su capacidad de respuesta. La concienciación avanza, pero la inversión, la madurez operativa y el cumplimiento normativo siguen siendo asignaturas pendientes.
La ciberseguridad gana peso en la agenda de la mediana empresa española. El II Barómetro de la Ciberseguridad en la Mediana Empresa, elaborado por Cylum (unidad de negocio de Factum), revela un aumento del 30% en el apoyo de la alta dirección a las iniciativas de seguridad. Sin embargo, este avance en concienciación no se traduce todavía en una inversión suficiente ni en una madurez operativa acorde a los riesgos actuales.
Según el estudio, el 70% de las medianas empresas destina menos del 5% de su presupuesto de TI a ciberseguridad, apenas un punto más que el año anterior. Aunque un 60% prevé incrementar esta partida a lo largo de 2026, un 10% planea reducirla, lo que evidencia una brecha entre la percepción del riesgo y la capacidad real de respuesta.
La madurez en ciberseguridad sigue siendo insuficiente
El informe muestra que cuatro de cada diez responsables de TI sitúan a su organización en un nivel intermedio de madurez, con medidas básicas implantadas, pero sin procesos formalizados. Estas compañías requieren inversión en infraestructura, capacitación y mejores prácticas para avanzar hacia modelos más robustos.
Un 30% adicional se encuentra en un nivel de protección intermedio-alto, con estrategias definidas, pero con áreas de mejora claras, especialmente en políticas internas, monitorización y capacidad de respuesta ante incidentes. La falta de recursos y la escasez de personal cualificado siguen siendo barreras críticas para avanzar.
La externalización gana terreno. El 30% trabaja ya con uno o dos proveedores especializados, y un 10% con más de cinco. Esto refleja un cambio de tendencia respecto a años anteriores, cuando muchas medianas empresas dependían de proveedores generalistas o de equipos internos con capacidades limitadas.
Cumplimiento normativo y amenazas
Uno de los datos más preocupantes del barómetro es que el 62% de las medianas empresas aún tiene dificultades para cumplir con regulaciones clave como GDPR y NIS2. Para el 80% de los responsables de TI, la falta de recursos económicos y de personal especializado es el principal obstáculo. Cylum recomienda adoptar marcos como ISO 27001 para estandarizar procesos y reducir el riesgo de sanciones.
En cuanto a las amenazas, los responsables de TI señalan como principales riesgos el phishing e ingeniería social, que encabezan la lista; ransomware, que sigue siendo una de las ciberamenazas más críticas; y vulnerabilidades en sistemas y aplicaciones, reflejo de la dificultad para gestionar entornos cada vez más complejos y distribuidos.
“Los resultados muestran que existe una creciente concienciación sobre los riesgos, pero muchas organizaciones tienen todavía dificultades para traducir esa preocupación en capacidades reales de defensa”, explica David López, director de operaciones y preventa de Cylum.
