La seguridad en el epicentro de la innovación: ese no es el mundo en el que vivimos hoy, pero ¿y si lo fuera?
Mientras aumentan el entusiasmo y los presupuestos para programas de seguridad de vanguardia, el progreso en la mejora real de la seguridad es lento, incluso está estancado. La encuesta Global Digital Trust Insights 2024 de PwC, realizada a 3.876 ejecutivos de empresas y de tecnología de las mayores compañías mundiales -el 30% de los encuestados tiene unos ingresos de US$10.000 millones o más-, muestra un considerable margen de mejora en ciberseguridad.
Tenga en cuenta estas conclusiones. Los costes de las filtraciones y el número de filtraciones de gran cuantía siguen aumentando. Aunque los ataques a la nube son la principal preocupación cibernética, alrededor de un tercio de las organizaciones no tienen un plan de gestión de riesgos para hacer frente a los retos de los proveedores de servicios en la nube. Sólo la mitad está "muy satisfecha" con sus capacidades tecnológicas en áreas clave de ciberseguridad. Más del 30% de las empresas no siguen sistemáticamente lo que deberían ser prácticas estándar de ciberdefensa.
Imagine un mundo con la seguridad en el epicentro de la innovación, el campo donde florecen las ideas brillantes y las ambiciones audaces. Imagínese al CISO allí mismo, trabajando para proteger las grandes ambiciones y los valiosos activos de la organización.
Hemos observado que 179 encuestados parecen estar haciendo precisamente eso. Este 5% -nuestros guardianes de la confianza digital- está cosechando beneficios que otros no están obteniendo. Sufren menos infracciones y los ataques que sufren no son tan costosos. Gestionar el riesgo es más fácil porque han racionalizado sus soluciones de seguridad. Y se han posicionado para una mayor productividad y un crecimiento más rápido, superando a la competencia a medida que se sumergen en las nuevas tecnologías con la confianza de que están bien protegidas.
Los equipos cibernéticos que "usualmente" (del 80% al 100% de las veces) practican una fuerte defensa y tienen una disposición al crecimiento.
Q26. Indique la frecuencia con la que el equipo de ciberseguridad de su organización hace lo siguiente.
Base: 3.876 encuestados.
Fuente: PwC, 2024 Global Digital Trust Insights.
9 grados de separación: los que más rinden frente al resto
El Top 5% es:
6 veces más probable a ya haber implementado iniciativas de ciberseguridad transformadoras de las que están obteniendo beneficios.
5 veces más probable a estar muy satisfechos con sus capacidades tecnológicas cibernéticas actuales.
4 veces más propenso a actualizar continuamente su plan de gestión de riesgos para mitigar los riesgos de la nube.
9 veces más propenso a ser maduras en sus prácticas de ciberresiliencia.
El Top 5% se inclina más por:
Invertir más en presupuesto cibernético, con un 85% aumentando su presupuesto cibernético en 2024 (frente al 79% general), de los cuales el 19% está aumentando el presupuesto cibernético en 2024 en un 15% o más, frente al 10% general.
Afirmar que la brecha cibernética más perjudicial de los últimos tres años les costó menos de US$ 100.000 (28% frente al 19% general).
Estar totalmente de acuerdo en que su organización desarrollará nuevas líneas de negocio utilizando GenAI (49% frente al 33% general).
Planear desplegar herramientas GenAI para la ciberdefensa (44% frente a 27%).
No estar de acuerdo con que "GenAI provoque un ciberataque catastrófico" (33% frente al 22% en general).
Fuente: PwC, 2024 Global Digital Trust Insights.
Con la tecnología ahora en el corazón del negocio, salvaguardarla equivale a salvaguardar la empresa. Es por eso que en 2023 PwC creó un libro de jugadas para ejecutivos C-level para ayudarles a centrarse en las preguntas que deben responder con su CISO.
Hemos actualizado el manual para 2024. Es probable que este sea un año decisivo. La ciberseguridad se enfrenta a cuatro grandes cambios, cada uno de los cuales podría ser perturbador por sí mismo.
Las empresas se reinventan. Los responsables políticos están pensando en nuevos enfoques regulatorios. ¿Son sus altos ejecutivos igual de innovadores a la hora de proteger sus organizaciones? ¿Hasta qué punto puede ser usted audaz y qué podría hacer de forma diferente?
Gestión del ciberriesgo: madurar para la reinvención
Mitigar el ciberriesgo es una de las principales prioridades para 2024, según la encuesta Global Digital Trust Insights 2024 de PwC. Tras caer al cuarto puesto en la Encuesta de CEOs de PwC del año pasado, ahora ocupa el segundo lugar para nuestros encuestados, solo por detrás de los riesgos digitales y tecnológicos en la lista de riesgos prioritarios. Y en la mente de nuestros encuestados, los riesgos digitales y tecnológicos son inextricables de los riesgos cibernéticos.
En el clima empresarial actual, simplemente no podemos hablar de transformación digital o reinvención sin mencionar la ciberseguridad al mismo tiempo. Los ataques a la nube y a los dispositivos conectados son las ciberamenazas que más preocupan a nuestros encuestados, dos tecnologías en el centro de la transformación empresarial actual.
Las mega brechas están aumentando en número, escala y coste. El porcentaje de los que informan costes de US$ 1 millón o más por su peor brecha en los últimos tres años aumentó al 36% desde el 27% del año pasado.
El ritmo de reinvención e innovación de las empresas a través de la tecnología no disminuye. No cuando casi el 40% de los CEO en el mundo piensa que sus empresas podrían dejar de ser económicamente viables dentro de una década si siguieran por el camino actual.
El reto para los C-suite es el siguiente: ¿está la gestión del riesgo cibernético de su organización a la altura de los cambios?
Las filtraciones son cada vez más costosas
Costes estimados de la filtración de datos más perjudicial para las organizaciones en los últimos tres años.
Porcentaje que afirma haber sufrido una filtración de más de US$ 1 millón: total 2024 = 36%, total 2023 = 27%
Coste medio de la filtración en millones y porcentaje de las filtraciones más perjudiciales que costaron US$ 1 millón o más, por sector
Q5. En relación con la filtración de datos más perjudicial que haya sufrido en los últimos tres años, indique una estimación del coste para su empresa.
Base de encuestados sobre seguridad, TI y directores financieros = 1.651
Fuente: PwC, 2024 Digital Trust Insights.
Simplificación de las ciberherramientas: la perdición de los malos actores
La modernización y la optimización encabezan las prioridades de ciberinversión para 2024. Casi la mitad (49%) de los líderes empresariales eligieron la modernización tecnológica, incluida la de la infraestructura cibernética, y el 45% la optimización de las tecnologías e inversiones existentes.La modernización y la optimización encabezan las prioridades de ciberinversión para 2024. Casi la mitad (49%) de los líderes empresariales eligieron la modernización tecnológica, incluida la de la infraestructura cibernética, y el 45% la optimización de las tecnologías e inversiones existentes.
Los presupuestos de ciberseguridad para 2024 pretenden aprovechar al máximo las herramientas existentes
Líderes empresariales - Prioridades de inversión en ciberseguridad en los próximos 12 meses (clasificación de las tres principales)
Fuente: PwC, 2024 Digital Trust Insights.
En nuestra encuesta de 2022, descubrimos que a los CEO en particular les preocupaba mucho que sus organizaciones se hubieran vuelto demasiado complejas para protegerlas. En ese momento, el 32% había consolidado los proveedores de tecnología en un esfuerzo por simplificar, así como realinear su combinación de servicios gestionados e internos.
En la encuesta de 2024, el 44% afirma utilizar un conjunto integrado de soluciones de cibertecnología, y el 39% tiene previsto pasarse a uno en los próximos dos años. Casi una quinta parte, el 19%, afirma que tiene demasiadas soluciones cibernéticas y necesita consolidarlas.
El reto de los C-suite no es la falta de herramientas o de inversión. Se trata más bien de averiguar cómo puede aprovechar su organización los beneficios de sus inversiones. ¿Es su arquitectura informática demasiado compleja para protegerla adecuadamente? ¿Está facilitando que los actores de amenazas encuentren lagunas en su defensa?
Seguridad en la nube: Una atención concertada que llega con retraso
La seguridad en la nube es la principal preocupación en materia de ciberriesgos para casi la mitad (47%) de los encuestados. Las vías de entrada de los malos actores pueden parecer prácticamente ilimitadas. Las organizaciones deben colocar controles en todas partes: en la identidad y el acceso, el movimiento lateral, las cuentas de correo electrónico, los portales de sitios web, las aplicaciones, la información propietaria, las interacciones con los clientes, los sistemas operativos, los dispositivos conectados, y la lista continúa.
Muchos de nuestros encuestados (42%) utilizan más de una nube, y la preocupación por la seguridad en la nube aumenta entre los usuarios de nubes múltiples (híbridas). El 54% de estos encuestados citan la nube como su riesgo de ciberseguridad más apremiante. Los usuarios de nubes híbridas también son los más propensos a seleccionar la nube entre sus tres prioridades de inversión en seguridad para el próximo año (36% frente al 33% general).
Pero casi todas las organizaciones (97%) tienen lagunas en su plan de gestión de riesgos en la nube. Sólo el 3% mantiene planes actualizados que abordan las nueve áreas de seguridad de la nube. Por ejemplo, el 42% aún no ha abordado los riesgos que plantea la fragmentación de la normativa; el 41% no tiene un plan para hacer frente al riesgo de concentración; el 36% aún no ha abordado el riesgo de terceros en la nube.
Seguridad en la nube: principal amenaza, principal inversión, pero mal gestionada
Q19. ¿En qué medida ha abordado su organización los siguientes retos con su(s) proveedor(es) de servicios en la nube?
Base: Usuarios de proveedores de servicios en la nube= 3.648
Fuente: PwC, 2024 Global Digital Trust Insights.
El reto de los C-suite es el siguiente: ¿Cómo trabajar juntos y con sus proveedores de seguridad en la nube para avanzar en la defensa de los puntos de entrada más importantes a sus sistemas y activos a través de la nube?
El auge de la IA generativa para la ciberdefensa
Casi siete de 10 afirman que su organización utilizará IA generativa (GenAI) para la ciberdefensa. Las herramientas GenAI pueden ayudar a reducir la desventaja de los equipos cibernéticos abrumados por el gran número y complejidad de los ciberataques dirigidos por humanos, ambos en continuo aumento.
GenAI para la ciberdefensa
Q7. ¿En qué medida está de acuerdo o en desacuerdo con las siguientes afirmaciones sobre la IA Generativa?
Base: Todos los encuestados= 3.876
Fuente: PwC, 2024 Global Digital Trust Insights.
Las plataformas están concediendo licencias de sus grandes modelos lingüísticos (LLM, su sigla en inglés) junto con sus soluciones de cibertecnología. Microsoft Security Copilot pretende ofrecer funciones de GenAI para la gestión de la postura de seguridad, la respuesta a incidentes y la elaboración de informes de seguridad. Google anunció Security AI Workbench para casos de uso similares.
Muchos proveedores están forzando los límites de la GenAI, probando lo que es posible. Podría pasar algún tiempo antes de que veamos un uso a gran escala de las GPT de defensa. Mientras tanto, he aquí las tres áreas más prometedoras para el uso de GenAI en ciberdefensa.
El reto de los C-suite es el siguiente: ¿Cómo utilizar las nuevas herramientas sin provocar nuevos riesgos en la organización y en la sociedad? ¿Qué hacer para utilizar GenAI de forma ética y responsable?
Regulaciones: un lugar seguro para jugar y crecer
La opinión generalizada es que las nuevas normas y regulaciones obstaculizan los ingresos, pero ésta es la opinión de al menos un tercio de los encuestados: las barreras que ponen los reguladores pueden dar a las empresas más confianza para explorar, experimentar, inventar y competir.
Alrededor de un tercio de los encuestados de este año coinciden en que cuatro tipos de regulación serán los más importantes para garantizar el crecimiento futuro de su organización: la regulación de la IA (37%), la armonización de las leyes de ciberprotección y protección de datos (36%), el reporte obligatorio de la gestión de riesgos cibernéticos, estrategia y gobernanza de riesgos cibernéticos (35%) y los requisitos de resiliencia operativa (32%).
Hasta tres cuartas partes esperan que el cumplimiento de estas normativas requiera importantes desembolsos de dinero y tiempo. Los elevados costes y el impacto en los ingresos pueden evitarse si las empresas se implican desde el principio y con frecuencia en los procesos normativos. Por ejemplo, reuniéndose con las fuerzas de orden, participando en comentarios públicos e incluso sentándose a la mesa con los reguladores para ayudar a elaborar o influir en las directivas propuestas.
El reto para los C-suite es el siguiente: en medio de la incertidumbre normativa, ¿puede dar a su organización el margen necesario para innovar, manteniendo al mismo tiempo la seguridad y la privacidad desde el diseño? ¿Cómo convertir este nuevo entorno normativo en una fuente de ventaja competitiva?
Regulaciones que podrían cambiar la ciberseguridad
Objetivos y principios regulatorios con mayor repercusión en el futuro crecimiento de los ingresos de la organización (los tres más importantes)
Fuente: PwC, 2024 Global Digital Trust Insights.
Atrévase a romper con lo cibernético habitual: el manual para C-suite de 2024
Ya no es el negocio de siempre en su organización. Pero la mayoría de las empresas siguen atrapadas en la ciberseguridad de siempre, como muestra la encuesta Global Digital Trust Insights 2024.
Iniciativas fragmentadas. Un abanico de complejidades tecnológicas en constante expansión. Un programa de gestión de riesgos que, con sus lagunas, es arriesgado en sí mismo. Transformaciones y proyectos que no producen los resultados deseados. Estos y otros escollos siguen obstaculizando el camino hacia una ciberseguridad que sea realmente digna de confianza.
¿Su programa cibernético está centrado en la cibernética o en el negocio?
Las iniciativas de la parte superior de este gráfico están centradas en la cibernética; las de la parte inferior, en la empresa.
Q10. ¿En qué medida su organización aplica o tiene previsto aplicar las siguientes iniciativas de ciberseguridad?
Base: Todos los encuestados= 3.876. La técnica de análisis utilizada es el análisis factorial
Fuente: PwC, 2024 Global Digital Trust Insights.
En el libro de jugadas 2023, identificamos los retos críticos que los ejecutivos de la C-suite deben abordar juntos, como socios. Estos retos siguen siendo relevantes.
En 2024, planteamos el reto: ¿Se atreve, como líder de la C-suite, a salir de la inmovilidad y hacer uno o dos movimientos audaces que sean importantes para su organización? ¿O a dar ese salto imaginativo que podría despejar por fin los obstáculos que impiden a su empresa alcanzar sus objetivos?
Vemos que algunas empresas ya están eligiendo sus mejores apuestas. El abanico de opciones es amplio. ¿Cuál es la más adecuada para su organización?
Hable un nuevo idioma.
CISO, CFO, consejo general
Situarse en el epicentro de la innovación significa ir al encuentro de sus equipos de liderazgo donde ellosse encuentren y ayudarles a superar la intimidación que puedan sentir con respecto a lo que usted hace. Utilizar términos de iniciados como "ciberpaisaje", "superficie de ataque" e incluso "confianza cero" sólo puede desconcertar aún más a los ajenos a su profesión.
Atrévase a hablar de cibernética en lenguaje empresarial, tecnológico, financiero o cotidiano. Hable a sus clientes, inversionistas y socios comerciales en los informes anuales de seguridad ide forma que informen y atraigan. Utilizar vocabularios comunes puede ayudar a los ejecutivos a lidiar con las compensaciones, las tensiones y el caos que inevitablemente se producen en el epicentro de la innovación.
Pruebe nuevas y audaces formas de gestionar el ciberriesgo.
CISO, CRO, IA, CCO, COO
Utilice enfoques más sofisticados para la modelización del riesgo cibernético, como la búsqueda de amenazas mediante fórmulas específicas para el sector, la visión y la estrategia de su empresa. Cree un incentivo de rendimiento vinculado al riesgo para cada empleado de la empresa con derecho a bonificación, a fin de crear una cultura del riesgo. Invente nuevas formas de encontrar y reforzar sus puntos débiles, quizás con un moderno programa de recompensas por fallos que incentive la investigación independiente en materia de seguridad. Por último, adquiera y empiece a utilizar unasolución de identidad gestionada centralmente que dé prioridad a la nube para garantizar sus objetivos de expansión empresarial.
Dar forma a los guardarraíles.
CISO, CIO, GC, asuntos reglamentarios
Hable el lenguaje de la confianza, no sólo el del cumplimiento normativo. Involúcrese desde el principio y con frecuencia para tener más posibilidades de influir en las nuevas normas y garantizar que impulsen, y no obstaculicen, el éxito empresarial. La inteligencia artificial, el metaverso, las criptomonedas, la privacidad... estos temas normativos candentes podrían beneficiarse de su experiencia y conocimientos. Recuerde que los reguladores pueden sentirse tan desconcertados como cualquiera por el funcionamiento de la cibernética y la tecnología.
Libere a sus equipos para el pensamiento creativo (automatización, GenAI, servicios gestionados).
CISO, CIO, CTO, CRO, COO
Una de las ventajas de la automatización, GenAI y los servicios gestionados es que le permiten estar atento las 24 horas del día. Realizar tareas mundanas para que sus equipos no tengan que hacerlo es otra. Liberado de la tiranía de las tareas tediosas, su personal puede encontrar tiempo y espacio para reflexionar sobre las nuevas amenazas cibernéticas y crear nuevas formas de frustrar las amenazas en evolución.
Dé la bienvenida a la cibernética en la sala de juntas.
CISO, junta directiva, CEO
La cibernética encabeza el registro de riesgos en la mayoría de las empresas y en muchas encuestas a ejecutivos. Pero ¿es un tema básico en la sala de juntas? ¿Obtiene información de calidad no sólo sobre los riesgos y controles cibernéticos, sino también sobre cómo las principales iniciativas estratégicas están impulsando el crecimiento del negocio y los ingresos? La seguridad es la base de todo lo que hace la organización: finanzas, desarrollo, personal, tecnología y otras áreas de la empresa de las que probablemente hable cada vez que se reúna.
Mirar de frente a su programa cibernético puede ser un paso atrevido.
Piense como el dueño de la empresa.
CISO, CEO
La transformación empresarial es una cosa. La cibertransformación no es otra. Son lo mismo. El CISO y el CEO necesitan adoptar ahora la cibernética como un esfuerzo de toda la empresa, poniéndose en el lugar del propietario de la empresa. ¿No querrían que todos los aspectos -registros financieros, investigación patentada, desarrollo de aplicaciones, datos de clientes y similares- estuvieran protegidos de la visualización o el uso no autorizados? ¿No querrían salvaguardar su marca? ¿No podría la ciberseguridad estimular innovaciones que ahorren dinero y ayuden a la empresa a crecer? Esta es la raison d’etre de la ciberseguridad.
Descarga el reporte completo
Acerca de la encuesta
Global Digital Trust Insights 2024 es una encuesta realizada a 3.876 ejecutivos de empresas, tecnología y seguridad (CEOs, directores corporativos, CFOs, CISOs, CIOs y oficiales C-Suite) entre mayo y julio de 2023.
Cuatro de cada 10 ejecutivos pertenecen a grandes empresas con ingresos de US$ 5.000 millones o más. Y lo que es más importante, el 30% pertenece a empresas con ingresos de US$ 10.000 millones o más.
Los encuestados operan en una amplia gama de industrias, incluyendo la fabricación industrial (20%), servicios financieros (20%), tecnología, medios de comunicación, telecomunicaciones (19%), mercados minoristas y de consumo (17%), energía, servicios públicos y recursos (11%), salud (9%) y gobierno y servicios públicos (3%).
Los encuestados proceden de 71 países. El desglose regional es Europa Occidental (32%), Norteamérica (28%), Asia Pacífico (18%), Latinoamérica (10%), Europa del Este (5%), África (4%) y Oriente Medio (3%).
La encuesta Global Digital Trust Insights se conocía hasta ahora como Global State of Information Security Survey (GSISS). En su 26º año, es la encuesta anual más antigua sobre tendencias de ciberseguridad. También es la mayor encuesta del sector de la ciberseguridad y la única que cuenta con la participación de altos ejecutivos de empresas, no sólo de seguridad y tecnología.
PwC Research, el Centro de Excelencia global de PwC para la investigación de mercado y el conocimiento, llevó a cabo esta encuesta.
