Conclusiones de la Encuesta Global de Confianza Digital 2025

2%

ha aplicado medidas de ciberresiliencia en toda su organización en todas las áreas encuestadas.
< 50%

de los CISO participan en gran medida en actividades empresariales clave.
13%

brecha en la confianza entre CISO/ CSO y CEO frente al cumplimiento de IA y resiliencia.

Con la superficie de ataque en continua expansión a través de los avances en IA, dispositivos conectados y tecnologías en la nube, sumado a un entorno normativo en constante cambio, lograr la resiliencia cibernética a nivel empresarial es fundamental.

Sin embargo, a pesar de la concienciación generalizada sobre los retos, siguen existiendo importantes brechas. Para salvaguardar sus organizaciones, los ejecutivos deben tratar la ciberseguridad como un punto permanente de la agenda empresarial, integrarla en todas las decisiones estratégicas y exigir la colaboración de los directivos.

La Encuesta Global de Confianza Digital 2025 de PwC, realizada a 4.042 ejecutivos empresariales y tecnológicos de 77 países, reveló la existencia de importantes brechas que las empresas deben superar antes de alcanzar la ciberresiliencia.

Brechas en la implementación de la ciberresiliencia: a pesar de la mayor preocupación por el riesgo cibernético, solo el 2% de los ejecutivos afirma que su empresa ha implementado acciones de ciberresiliencia en toda su organización en todas las áreas encuestadas.
Brechas en la preparación: las organizaciones se sienten menos preparadas para enfrentar las ciberamenazas que consideran más preocupantes, como los riesgos relacionados con la nube y las infracciones de terceros.
Brechas en la participación de los CISO: menos de la mitad de los ejecutivos afirman que sus CISO participan en gran medida en la planificación estratégica, la presentación de informes al Directorio y la supervisión de la implementación de tecnología..
Brechas en la confianza en el cumplimiento regulatorio: los CEO y los CISO/CSO tienen diferentes niveles de confianza en la capacidad de su empresa para cumplir con las regulaciones, particularmente en lo que respecta a la IA, la resiliencia y la infraestructura crítica.
Brechas en la medición del ciberriesgo: aunque los ejecutivos reconocen la importancia de medir el riesgo cibernético, menos de la mitad lo hace de manera eficaz, y sólo el 15% mide el impacto financiero de los riesgos cibernéticos en un grado significativo.

Todo esto apunta a la necesidad de una mejor colaboración entre la C-Suite y una inversión estratégica para reforzar la ciberresiliencia. Al abordar estas brechas y hacer de la ciberseguridad una prioridad empresarial, los ejecutivos pueden tender un puente hacia un futuro más seguro. Los CISO pueden ayudar a impulsar este resultado compartiendo conocimientos tecnológicos y explicando las prioridades cibernéticas en términos empresariales (costo, oportunidad, riesgo).

Navegar por las ciberamenazas: Establecer una visión compartida de la preparación

Mientras el panorama de la ciberseguridad sigue evolucionando, las organizaciones se enfrentan a amenazas cada vez más volátiles e impredecibles. Una superficie de ataque en expansión -estimulada por la creciente dependencia de la nube, la IA, los dispositivos conectados y terceros- exige un enfoque ágil y de toda la empresa para la resiliencia. Alinear las prioridades y la preparación de la organización es esencial para mantener la seguridad y la continuidad del negocio.

Sin preparación para las amenazas más preocupantes

Lo que más preocupa a las organizaciones es aquello para lo que están menos preparadas. Las cuatro ciberamenazas más preocupantes -las relacionadas con la nube, las operaciones de pirateo y filtración, las infracciones de terceros y los ataques a productos conectados- son las mismas para las que los ejecutivos de seguridad se sienten menos preparados. Esta brecha pone de manifiesto la urgente necesidad de mejorar las inversiones y reforzar las capacidades de respuesta.

Llamada de atención

Subraya al resto de la C-suite las amenazas que más ponen en peligro la empresa, sobre todo si hay que reorientar los esfuerzos de inversión.

A partir de las conversaciones con los responsables de riesgos, calibra de qué manera determinadas amenazas pueden dañar la seguridad de la información y de las infraestructuras en general y qué amenazas plantean el mayor desafío a la capacidad de resiliencia.

Reúnete periódicamente con el CRO y el CISO para conocer los vectores de amenaza que más les preocupan. Asegúrate de que recibes informes periódicos sobre los esfuerzos actuales para mitigar las amenazas.

Conoce los principales riesgos cibernéticos para la organización y haz las preguntas difíciles a la dirección. ¿Cómo se mitigan los riesgos? ¿Disponemos de planes y financiación adecuados para abordar los riesgos de forma proactiva y responder en caso de que se produzca un incidente?

GenAI y tecnología emergente: equilibrar oportunidades y riesgos

Aunque el rápido avance de la IA generativa (GenAI) está abriendo nuevas oportunidades en todos los sectores, también presenta riesgos de ciberseguridad. A medida que las organizaciones adoptan la GenAI y otras tecnologías emergentes, los directivos deben sortear vectores de ataque más complejos e impredecibles, obstáculos de integración y la naturaleza de doble filo de la GenAI tanto en la ciberdefensa como en el ataque.

"La ciberseguridad es predominantemente un problema de ciencia de datos. Se está convirtiendo en un imperativo para los ciberdefensores aprovechar el poder de la IA generativa y el aprendizaje automático para acercarse a los datos e impulsar perspectivas oportunas y procesables que son las que más importan”.

Mike Elmore, CISO Global de GSK.

Aprovechamiento de la GenAI para la ciberdefensa: Oportunidades y retos

Aunque GenAI está aumentando la superficie de ataque del riesgo cibernético para la mayoría de las organizaciones, los ejecutivos también están utilizando esa misma tecnología para la defensa cibernética. Las tres formas principales en que están aprovechando GenAI incluyen la detección y respuesta a amenazas, la inteligencia de amenazas y la detección de malware/phishing.

Llamado de atención

Ayuda a impulsar la normalización en todo el parque tecnológico para contribuir a la integración de la IA. Aplica los derechos de acceso usuario-por-usuario para identificar probables vectores de ataque.

Desarrolla una evaluación del impacto de la IA para educar a los ejecutivos de las empresas sobre dónde tiene más sentido la inversión y la implementación. Prepara tus plataformas para la escalabilidad a medida que crece el uso de GenAI.

Un mundo cibernético altamente regulado: ¿Están realmente preparadas las empresas?

Los marcos regulatorios están pidiendo a las empresas que cumplan rápidamente con una creciente variedad de requisitos. Una oleada de nuevas normativas -DORA, Ley de Ciberresiliencia, Ley de IA, CIRCIA, Ley de Ciberseguridad de Singapur, etc.- subraya la urgencia de que las organizaciones adapten sus prácticas a estas mayores expectativas. Abordar estos retos es esencial para construir una postura de ciberseguridad resistente y conforme que pueda resistir tanto el escrutinio normativo como las amenazas emergentes.

Brecha de confianza: Los CISO se sienten menos seguros que los CEO sobre el cumplimiento cibernético

A pesar de la creencia de que las regulaciones cibernéticas están ayudando a la organización, existe una diferencia significativa entre la confianza de los CEO y los CISO/CSO en su capacidad para cumplir con estas regulaciones.

Las mayores brechas se refieren al cumplimiento de los requisitos en materia de IA, resistencia e infraestructuras críticas. Los CISO, que están en primera línea de la ciberseguridad, son menos optimistas que los CEO sobre la capacidad de su organización para cumplir estos requisitos normativos.

Llamado de atención

Informa con frecuencia a los directivos sobre el estado de las normativas que afectan directamente a las necesidades de los respectivos sectores o territorios, y trabaja para implementar procesos de gestión de cambios tecnológicos y normativos.

Verifica la exactitud, integridad y defensibilidad de todas las divulgaciones reglamentarias de la gestión del riesgo cibernético y la postura del programa. Desarrolla una comprensión clara de la materialidad y el impacto específico de un incidente cibernético, incorporando la cuantificación del riesgo cibernético para evaluar y comunicar con precisión los riesgos potenciales.

Comprende las responsabilidades de supervisión para guiar los esfuerzos de cumplimiento, incluida cualquier coordinación necesaria entre las diferentes unidades de negocio. Identifica las preguntas clave que deben hacerse a los CISO para colmar cualquier brecha de conocimiento sobre la postura de cumplimiento.

Mantente al día de los requisitos de cumplimiento normativo y colabora con el CISO y el CRO para incorporar medidas proactivas de cumplimiento y supervisión para confirmar periódicamente el cumplimiento.

Determina la cantidad correcta de detalles de divulgación necesarios para cumplir con las obligaciones de información del programa cibernético, logrando un equilibrio entre la transparencia y la confidencialidad.

Mantente al corriente de los nuevos requisitos normativos y solicitar información a la dirección sobre las medidas proactivas que se están tomando para prepararse para los nuevos requisitos. Comprende el enfoque de la dirección para evaluar y divulgar los incidentes cibernéticos.

Liberar el potencial de la cuantificación del ciberriesgo: ¿Qué frena a las organizaciones?

A medida que las amenazas cibernéticas evolucionan rápidamente en alcance y sofisticación, la cuantificación del riesgo cibernético se ha convertido en una herramienta crítica que las organizaciones no pueden permitirse pasar por alto. Sin embargo, a pesar de sus ventajas ampliamente reconocidas, varios retos (problemas de calidad de los datos, fiabilidad de los resultados, etc.) han impedido una adopción más amplia.

Medir el riesgo cibernético es fundamental, pero limitado

Mientras que los ejecutivos están de acuerdo en que la medición del ciberriesgo es crucial para priorizar las inversiones en ciberriesgos (88%) y asignar recursos a las áreas de mayor riesgo (87%), sólo el 15% de las organizaciones lo están haciendo en gran medida (por ejemplo, cuantificación exhaustiva del ciberriesgo con automatización y elaboración de informes exhaustivos).

Llamado de atención

Considera la posibilidad de empezar poco a poco con un resultado específico en mente. Aprovecha la información de que dispone en su organización (por ejemplo, eficacia de los controles, madurez, datos sobre incidentes o pérdidas, etc.). Las nuevas herramientas pueden ayudar a cuantificar el riesgo, pero no son un requisito. Define tu programa y busca tecnologías que apoyen lo diseñado.

Muestra a los ejecutivos C-Level los resultados más impactantes de la medición del riesgo financiero a partir de herramientas y prácticas de cuantificación. Estos ejemplos pueden ayudar a persuadir a los directivos para que prioricen y asignen los recursos adecuados a las áreas de mayor riesgo.

Trabaja con tu CISO y CRO para obtener una comprensión más profunda del valor empresarial de la cuantificación del riesgo cibernético y los costes potenciales y las oportunidades perdidas por no medir los riesgos cibernéticos.

Conoce los métodos que utiliza actualmente tu organización para evaluar el ciberriesgo. Presiona a la dirección sobre sus planes para aplicar la cuantificación del riesgo de forma más amplia con el fin de evaluar e informar mejor sobre la postura de la empresa ante el ciberriesgo.

Invertir en resiliencia, generar confianza

A medida que la ciberseguridad sigue evolucionando hasta convertirse en una prioridad empresarial fundamental, las organizaciones empiezan a ver su potencial como elemento diferenciador clave y como forma de mejorar su reputación y fiabilidad. Para prepararse, muchas están aumentando sus presupuestos cibernéticos, centrándose especialmente en la protección de datos y la confianza. Al invertir estratégicamente en estas áreas, las empresas no sólo están creando resiliencia, sino que se están posicionando positivamente ante sus clientes.

Invertir en lo que más importa: La nube y la confianza en los datos van de la mano

En los próximos 12 meses, las organizaciones darán prioridad a la protección/confianza en los datos y a la seguridad en la nube por encima de otras inversiones cibernéticas. Entienden que proteger la información sensible es vital para mantener la confianza de los stakeholders y la integridad de la marca.

Los ejecutivos empresariales y tecnológicos clasifican una lista diferente de prioridades en función de las áreas específicas de sus funciones.

Los ejecutivos empresariales afirman que la protección de datos/confianza es su principal prioridad de inversión cibernética (48%), seguida de la modernización y optimización de la tecnología (43%).

Para los ejecutivos tecnológicos, la seguridad en la nube sigue siendo su principal prioridad (34%), siguiendo la misma tendencia del año pasado. La protección de datos y la confianza es la siguiente prioridad (28%).

Ciberseguridad y confianza: La nueva ventaja competitiva

Las organizaciones ven cada vez más la ciberseguridad como un diferenciador clave para una ventaja competitiva, con el 57% de los ejecutivos citando la confianza del cliente y el 49% citando la integridad de la marca y la lealtad como áreas de influencia. A medida que se intensifican las amenazas cibernéticas, una postura de ciberseguridad sólida no es sólo cuestión de protección, sino de construir una reputación en la que los clientes y stakeholders puedan confiar.

"El panorama de las amenazas es cada vez más impredecible, ya que estamos viendo amenazas multivectoriales en entornos físicos y digitales. Estamos invirtiendo recursos en capacidades integradas de respuesta y recuperación para mejorar la seguridad física y la ciberseguridad. Los actores de las amenazas no hacen distinciones. Tenemos que estar preparados a todos los niveles con nuestros programas de continuidad de negocio y resiliencia".

Dr. Georg Stamatelopoulos, CEO de EnBW AG

Llamado de atención

Traduce el argumento comercial para la protección de datos y las prioridades de inversión en seguridad en la nube a los CFO basándose en el valor comercial de los resultados clave (por ejemplo, reducir el tiempo para recuperar datos de misión crítica o parchear un sistema).

Determina el valor empresarial de la protección de datos y la seguridad en la nube para ganarte la confianza de las partes interesadas y tomar decisiones de inversión en ciberseguridad más informadas.

Colabora con los ejecutivos de tecnología, seguridad y finanzas para determinar las prioridades más esenciales en materia de seguridad e integridad de los datos para orientar la estrategia de inversión en seguridad de la información y de la nube. Es necesario confirmar la calidad y la preparación de los datos para aumentar las inversiones en seguridad.

¿Impulsan tu estrategia y liderazgo cibernéticos una verdadera resistencia?

Desde el retraso en los esfuerzos de resiliencia hasta las brechas en la participación del CISO en las decisiones estratégicas, hay áreas claras en las que se necesita una alineación estratégica. Para conseguirlo, las organizaciones deben emular las prácticas de ciberseguridad de sus homólogas con mejores resultados. También deben ir más allá de abordar las amenazas conocidas y aplicar un enfoque ágil y seguro desde el diseño del negocio, que se esfuerce por generar confianza y resistencia duradera.

"El trabajo del CISO consiste en contextualizar y conectar las amenazas existentes con las vulnerabilidades de la organización. Eso significa educar a la gente sobre las amenazas para las que la empresa está preparada y para las que no lo está. Con un enfoque educativo, tiende a haber más cooperación en toda la organización".

David Bruyea, CISO de Moneris.

La implementación parcial no es suficiente

A pesar de la creciente preocupación por los riesgos cibernéticos, la mayoría de las empresas tienen dificultades para implementar plenamente la ciberresiliencia en sus prácticas básicas. Un análisis de 12 acciones de resiliencia entre personas, procesos y tecnología indica que el 42% o menos de los ejecutivos creen que sus organizaciones han implantado plenamente alguna de esas acciones. Y lo que es más preocupante, sólo el 2% afirma haber implementado las 12 medidas de resiliencia en su organización. Esto deja una vulnerabilidad evidente: sin capacidad de recuperación en toda la empresa, las compañías siguen peligrosamente expuestas a las crecientes amenazas que podrían comprometer toda la operación.

He aquí algunas áreas clave que se beneficiarían de la atención de toda la organización.

Creación de un equipo de resiliencia (sólo el 34% afirma que se ha implementado en toda la organización).
Desarrollar un manual de ciberrecuperación para situaciones de pérdida de TI (sólo el 35% afirma haberlo implantado en toda la organización).
Trazar un mapa de dependencias tecnológicas (sólo el 31% afirma haberlo hecho en toda la organización).

Elevar al CISO: alinear la estrategia con la seguridad

Muchas organizaciones pierden oportunidades críticas al no implicar plenamente a sus CISO en iniciativas clave. Menos de la mitad de los ejecutivos nos dicen que sus CISO participan en gran medida en la planificación estratégica de las inversiones cibernéticas, la presentación de informes al Directorio y la supervisión de la implementación de tecnología. Esta brecha hace que las organizaciones sean vulnerables a estrategias desalineadas y posturas de seguridad más débiles.

Llamado de atención

Explica al resto de la C-suite por qué es imperativo que los CISO participen en la estrategia, la planificación y la supervisión de la estrategia de mitigación de riesgos cibernéticos y de resistencia.

Participa en evaluaciones y ejercicios de ciberresiliencia para comprender mejor las brechas y los enfoques a los que podrían enfrentarse los CISO para integrar prácticas, normas y controles de vanguardia.

Mantente informado y educado sobre los desarrollos del programa de riesgos cibernéticos, especialmente en relación con el riesgo cibernético de la organización y la exposición a amenazas, para cumplir con las crecientes responsabilidades de supervisión y gobernanza.

La Encuesta de Confianza Digital 2025 se realizó a 4.042 líderes empresariales y tecnológicos entre mayo y julio de 2024.

Una cuarta parte de los líderes pertenecen a grandes empresas con ingresos de US$ 5.000 millones o más. Los encuestados operan en una amplia gama de industrias, incluyendo industriales y servicios (21%), tecnología, medios de comunicación, telecomunicaciones (20%), servicios financieros (19%), mercados minoristas y de consumo (17%), energía, servicios públicos y recursos (11%), salud (7%) y gobierno y servicios públicos (4%).

Los encuestados proceden de 77 países. El desglose regional es Europa Occidental (30%), Norteamérica (25%), Asia-Pacífico (18%), Latinoamérica (12%), Europa Central y Oriental (6%), África (5%) y Oriente Medio (3%).

La encuesta, con su nombre original en inglés Global Digital Trust Insights, se conocía hasta ahora como Global State of Information Security Survey (GSISS). Ahora, en su 27º año, es la encuesta anual más antigua sobre tendencias de ciberseguridad. También es la mayor encuesta del sector de la ciberseguridad y la única que cuenta con la participación de altos ejecutivos de empresas, no sólo de seguridad y tecnología.

PwC Research, el Centro de Excelencia global de PwC para la investigación de mercado y el conocimiento, llevó a cabo esta encuesta.

Cerrar la brecha de la ciberresiliencia: el manual de la C-suite