Global Digital Trust Insights 2025

Solo el 2%

Han implementado acciones de ciberresiliencia en su organización
< 50%

De los CISO participan en gran medida en actividades comerciales claves
13 %

Es la brecha de confianza entre los CISO y los CEO con respecto al cumplimiento de regulaciones

Con la magnitud del ataque que continúa expandiéndose a través de los avances en inteligencia artificial, dispositivos conectados y tecnologías en la nube, así como un entorno regulatorio en constante cambio, lograr resiliencia cibernética a nivel empresarial es fundamental.

Sin embargo, a pesar de la conciencia generalizada de los desafíos y situaciones vividas del pasado, aún persisten brechas significativas. Para proteger a sus organizaciones, los ejecutivos deben tratar la ciberseguridad como un tema permanente en la agenda empresarial, incorporándolo en cada decisión estratégica y exigiendo la colaboración de altos ejecutivos.

La Encuesta Global Digital Trust Insights 2025 de PwC reveló que existen brechas importantes que las empresas deben superar antes de llegar a ser ciberesilientes.

Brechas en la implementación: A pesar de las crecientes preocupaciones sobre el riesgo cibernético, solo el 2% de los ejecutivos asegura que su empresa ha implementado acciones de ciberresiliencia en todas las áreas de su organización.

Brechas en la preparación: Las organizaciones se sienten menos preparadas para abordar las amenazas cibernéticas que más les preocupan, como los riesgos asociados a la nube y violaciones de seguridad de terceros.

Brechas en la participación de los CISO: Menos de la mitad de los ejecutivos dicen que sus Chief Information Security Officers (CISO, por sus siglas en inglés) están involucrados en gran medida en la planificación estratégica, los informes a la junta y la supervisión de las implementaciones de tecnología.

Brechas en la confianza del cumplimiento normativo: Los directores ejecutivos y los CISO presentan diferentes niveles de confianza en la capacidad de sus empresas para cumplir con las regulaciones, especialmente con respecto a la inteligencia artificial, la resiliencia y la infraestructura.

Brechas en la medición del riesgo cibernético: Si bien los ejecutivos reconocen la importancia de medir este riesgo, menos de la mitad lo hace de manera efectiva y solo el 15% mide el impacto financiero de manera significativa.

Todo esto indica la necesidad de una mejor colaboración entre la alta dirección y una inversión estratégica para fortalecer la resiliencia cibernética. Al abordar estas brechas y hacer de la ciberseguridad una prioridad empresarial, los ejecutivos pueden apuntar hacia un futuro más seguro. Los CISO pueden contribuir a este resultado compartiendo conocimientos basados en la tecnología y explicando las prioridades cibernéticas en términos empresariales (costo, oportunidad y riesgo).

Navegando ante las amenazas cibernéticas: Estableciendo una visión compartida para la preparación

Mientras el panorama de la ciberseguridad continúa evolucionando, las organizaciones se enfrentan a amenazas cada vez más inestables e impredecibles. La posibilidad de un ataque, impulsada por una mayor dependencia de la nube, la IA, los dispositivos conectados y terceros, exige un enfoque ágil y resiliente en toda la empresa. Alinear las prioridades y la preparación de la organización es esencial para mantener la seguridad y la continuidad del negocio.

Sin preparación para las amenazas más preocupantes

Las organizaciones están más preocupadas por aquello para lo que están menos preparadas. Las cuatro amenazas cibernéticas más preocupantes (amenazas relacionadas con la nube, operaciones de piratería informática y fuga de información, infracciones de terceros y ataques a productos conectados) coinciden con las áreas en las que los ejecutivos de seguridad se sienten menos preparados para abordar. Esta brecha resalta la urgente necesidad de realizar mejores inversiones y desarrollar capacidades de respuesta más sólidas.

Además, existe una brecha de percepción entre los ejecutivos de seguridad y el resto de la organización, ya que los CISO y CSO tienden a clasificar el ransomware entre las tres amenazas más preocupantes. Esto puede reflejar en su función, ya que el ransomware es más central para las tareas cibernéticas/de TI, y quienes desempeñan esa función probablemente comprenden las vulnerabilidades mejor que sus pares comerciales. Esto refuerza aún más la importancia de un mejor intercambio de información entre los equipos de liderazgo para crear una alineación en las prioridades.

Llamado a la acción ejecutiva

A medida que las organizaciones se enfrentan a un panorama de amenazas más sofisticado, es importante que los ejecutivos de todos los niveles superiores asuman un papel proactivo en la evaluación de los riesgos actuales y emergentes. Al alinear las estrategias de ciberseguridad con objetivos empresariales más amplios, los ejecutivos pueden preparar mejor a sus organizaciones para gestionar el riesgo y generar resiliencia.

señala al resto de la alta gerencia las amenazas que más ponen en peligro su negocio, especialmente si es necesario reorientar los esfuerzos de inversión.

basándose en conversaciones con los ejecutivos de riesgo, evalúan cómo ciertas amenazas pueden dañar la seguridad de la información y la infraestructura en general, determinan cuáles representan el mayor desafío para la resiliencia.

realizan reuniones periódicamente con el CRO y el CISO para comprender los vectores de amenazas que más les preocupan y se aseguran de recibir informes regulares sobre los esfuerzos actuales de mitigación de amenazas.

Comprende los principales riesgos cibernéticos para la organización y plantea preguntas difíciles a la gerencia, como: ¿Cómo se están mitigando los riesgos? ¿Contamos con los planes y la financiación adecuados para abordar los riesgos de manera proactiva y responder en caso de que ocurra un evento?

GenAI y tecnología emergente: equilibrio entre oportunidades y riesgos

Si bien el avance rápido de la IA generativa (GenAI) está generando nuevas oportunidades en todas las industrias, también presenta riesgos de ciberseguridad. A medida que las organizaciones adoptan GenAI y otras tecnologías emergentes, los directivos deben abordar vectores de ataque más complejos e impredecibles, obstáculos de integración y la naturaleza de doble filo de GenAI tanto en la ciberdefensa como en la ofensiva. Detrás de estos desafíos, hay importantes problemas legales y de datos que pueden complicar la implementación y la gobernanza de GenAI.

Aprovechando GenAI para la ciberdefensa: oportunidades y desafíos

Aunque GenAI está aumentando el panorama de riesgos cibernéticos para la mayoría de las organizaciones, los ejecutivos también están utilizando esta misma tecnología para la defensa cibernética. Las tres principales formas en que aprovechan la GenAI incluyen la detección y respuesta ante amenazas, la inteligencia sobre amenazas y la detección de malware y phishing.

Sin embargo, a pesar de estas oportunidades, las organizaciones enfrentan varios obstáculos al incorporar GenAI en sus estrategias de ciberdefensa:

Dificultad para integrarse con sistemas/procesos existentes (39%)
Falta de confianza en GenAI por parte de las partes interesadas internas (39%)
Controles internos y gestión de riesgos inadecuados (38%)
Falta de políticas internas estandarizadas que regulen su uso (37%)

Llamado a la acción ejecutiva

A medida que las tecnologías emergentes transforman el panorama de la ciberseguridad, es fundamental que los ejecutivos de toda la alta dirección asuman un papel activo a la hora de guiar a sus organizaciones a través de las oportunidades y los riesgos que presentan estas innovaciones.

contribuye a impulsar la estandarización en todo el sector tecnológico para facilitar la integración de la IA. Hace cumplir los derechos de acceso de cada usuario para identificar posibles vectores de ataque.

desarrollan una evaluación del impacto de la IA para informar a los ejecutivos de negocios sobre dónde tiene más sentido invertir e implementar. Preparan sus plataformas para la escalabilidad a medida que crece el uso de GenAI.

Un mundo cibernético altamente regulado: ¿Están realmente preparadas las empresas?

Los marcos regulatorios exigen a las empresas que cumplan rápidamente con una gama cada vez mayor de requisitos. Una oleada de nuevas regulaciones (DORA, Ley de Resiliencia Cibernética, Ley de Inteligencia Artificial, CIRCIA, Ley de Ciberseguridad de Singapur, etc.) subraya la urgencia de que las organizaciones adapten sus prácticas a estas mayores expectativas. A medida que las empresas abordan estas demandas, se enfrentan a una brecha crítica en la confianza entre los CISO/CSO y los CEO con respecto a su capacidad para lograr el cumplimiento total. Abordar estos desafíos es esencial para construir una postura de ciberseguridad resiliente y compatible que pueda soportar tanto el escrutinio regulatorio como las amenazas emergentes.

Brecha de confianza: los CISO se sienten menos seguros que los CEO sobre el cumplimiento cibernético

A pesar de la creencia de que las regulaciones cibernéticas están ayudando a la organización, existe una diferencia significativa entre la confianza de los CEO y los CISO/CSO en su capacidad para cumplir con estas regulaciones. Las brechas más grandes involucran el cumplimiento de los requisitos de IA, resiliencia e infraestructura crítica. Los CISO, que están en la primera línea de la ciberseguridad, son menos optimistas que los CEO sobre la capacidad de su organización para cumplir con estos requisitos regulatorios.

Dado que los CISO están más en sintonía con las dificultades operativas cotidianas, las limitaciones de recursos y las posibles vulnerabilidades que pueden obstaculizar el cumplimiento de las normas cibernéticas, es fundamental que comuniquen estos riesgos de manera más eficaz al equipo de liderazgo. ¿Qué los impide? Los obstáculos potenciales incluyen barreras a la participación de los CISO en las decisiones estratégicas y la incapacidad de justificar la cantidad de inversión en riesgos cibernéticos necesaria.

Llamado a la acción ejecutivo

A medida que los requisitos normativos siguen dando forma al panorama de la ciberseguridad, es esencial que los ejecutivos de los niveles más altos se mantengan a la vanguardia de los problemas de cumplimiento normativo y aprovechen las regulaciones como catalizador de la innovación. Crear una alineación entre los equipos de seguridad, las funciones de riesgo y el liderazgo ejecutivo es crucial para mantener la preparación para el cumplimiento normativo e impulsar mejoras estratégicas.

Entregar informes frecuentes a otros líderes ejecutivos sobre el estado de las regulaciones que impactan directamente en las respectivas necesidades de la industria o territorio, y trabajar para implementar procesos de gestión de cambios tecnológicos y regulatorios.

verificar la precisión, integridad y defendibilidad de toda la información reglamentaria sobre la gestión de riesgos cibernéticos y la postura del programa. Desarrollar una comprensión clara de la materialidad y el impacto específico de un incidente cibernético, incorporando la cuantificación del riesgo cibernético para evaluar y comunicar con precisión los riesgos potenciales.

comprendan las responsabilidades de supervisión para orientar los esfuerzos de cumplimiento, incluida la coordinación necesaria entre las diferentes unidades de negocio. Identifiquen las preguntas clave que deben formular los directores de seguridad de la información para cerrar cualquier brecha de conocimiento sobre la postura de cumplimiento.

Liberando el potencial de la cuantificación del riesgo cibernético: ¿Qué está frenando a las organizaciones?

A medida que las ciberamenazas evolucionan rápidamente en alcance y sofisticación, la cuantificación del riesgo cibernético se ha convertido en una herramienta fundamental que las organizaciones no pueden permitirse pasar por alto. Sin embargo, a pesar de sus beneficios ampliamente reconocidos, varios desafíos (problemas de calidad de los datos, confiabilidad de los resultados, etc.) han impedido una adopción más amplia.

La medición del riesgo cibernético es fundamental pero limitada

Si bien los ejecutivos coinciden en gran medida en que medir el riesgo cibernético es crucial para priorizar la inversión en riesgo cibernético (88%) y asignar recursos a las áreas de mayor riesgo (87%), solo el 15% de las organizaciones realmente lo están haciendo en una medida significativa (por ejemplo, cuantificación extensa del riesgo cibernético con automatización e informes exhaustivos).

En el caso de las organizaciones que sí miden el riesgo, siete de cada diez ejecutivos indican que utilizan evaluaciones de seguridad para cuantificar el riesgo residual teniendo en cuenta la eficacia de los controles clave, como el cumplimiento de la corrección de vulnerabilidades, las revisiones de acceso de los usuarios y la finalización de la formación. Sin embargo, la adopción de prácticas de cuantificación de riesgos cibernéticos más completas sigue siendo limitada.

Llamado a la acción ejecutivo

Establecer un sistema confiable de cuantificación de riesgos cibernéticos es esencial para tomar decisiones informadas y priorizar inversiones estratégicas. Al medir el riesgo con precisión, los ejecutivos pueden alinear las iniciativas de ciberseguridad con objetivos comerciales más amplios.

considere comenzar poco a poco con un resultado específico en mente. Aproveche la información que tiene dentro de su organización (por ejemplo, eficacia de los controles, deterioro, datos de incidentes o pérdidas). Las nuevas herramientas pueden ayudar con la cuantificación de riesgos, pero no son un requisito. Defina su programa y busque tecnologías habilitadoras para respaldar lo que ha diseñado.

Muestre a los ejecutivos de alto nivel los resultados de medición de riesgo financiero más impactantes obtenidos a partir de herramientas y prácticas de cuantificación. Estos ejemplos pueden ayudar a persuadir a los líderes para que prioricen y asignen los recursos adecuados a las áreas de mayor riesgo.

trabajen con su CISO y CRO para obtener una comprensión más profunda del valor comercial de la cuantificación del riesgo cibernético y los costos potenciales y las oportunidades perdidas por no medir los riesgos cibernéticos.

Comprenda los métodos que utiliza actualmente su organización para evaluar el riesgo cibernético. Presione a la gerencia sobre sus planes para implementar la cuantificación del riesgo de manera más amplia para evaluar e informar mejor sobre la postura de riesgo cibernético de la empresa.

Invirtiendo en resiliencia, generando confianza

A medida que la ciberseguridad se va convirtiendo en una prioridad empresarial crítica, las organizaciones están empezando a ver su potencial como un diferenciador clave y una forma de mejorar su reputación y confiabilidad. Para prepararse, muchas están aumentando sus presupuestos cibernéticos con especial atención a la protección de datos y la confianza. Al invertir estratégicamente en estas áreas, las empresas no solo están generando resiliencia, sino que también se están posicionando de manera positiva ante sus clientes.

Se espera que los presupuestos cibernéticos aumentan el próximo año

Los presupuestos en materia de ciberseguridad se mantienen en línea con los del año pasado, y las organizaciones más pequeñas invierten un porcentaje mayor de sus recursos en comparación con las organizaciones más grandes. Esto probablemente refleja que las organizaciones más pequeñas están tratando de ponerse al día en áreas en las que las empresas más grandes ya han invertido mucho. Las organizaciones más grandes, aunque expresan inquietudes sobre las amenazas emergentes y la resiliencia, están adoptando un enfoque más mesurado en sus inversiones, probablemente debido a que cuentan con marcos de seguridad más establecidos.

Más de tres cuartas de los ejecutivos esperan que el presupuesto cibernético de su organización aumente el próximo año. Esa cifra es mayor (82%) en el caso de las organizaciones de América del Norte y del sector de tecnología, de medios y telecomunicaciones (TMT).

Invertir en lo que más importa: la nube y la confianza en los datos van de la mano

Durante los próximos 12 meses, las organizaciones están priorizando la protección de datos, la confianza y la seguridad en la nube por sobre otras inversiones cibernéticas. Entienden que proteger la información confidencial es vital para mantener la confianza de las partes interesadas y la integridad de la marca.

Los ejecutivos empresariales y de tecnología clasifican una lista diferente de prioridades según las áreas específicas de sus funciones.

Los ejecutivos empresariales dicen que la protección de datos y la confianza son su principal prioridad de inversión cibernética (48%), seguida por la modernización y optimización tecnológica (43%).
Para los ejecutivos de tecnología, la seguridad en la nube sigue siendo su principal prioridad (34 %), siguiendo la misma tendencia del año pasado. La protección de datos y la confianza son la siguiente prioridad (28%).

Ciberseguridad y confianza: la nueva ventaja competitiva

Las organizaciones consideran cada vez más la ciberseguridad como un factor diferenciador clave para obtener una ventaja competitiva. El 57% de los ejecutivos menciona la confianza del cliente y el 49% la integridad y la lealtad a la marca como áreas de influencia. A medida que aumentan las amenazas cibernéticas, una postura sólida en materia de ciberseguridad no solo implica protección, sino también la construcción de una reputación en la que los clientes y las partes interesadas puedan confiar. En un momento en que la confianza es primordial, las empresas que priorizan la ciberseguridad están mejor posicionadas para destacarse como líderes tanto en seguridad como en integridad.

Llamado a la acción ejecutivo

Dado que las inversiones en ciberseguridad están destinadas a aumentar, es esencial que la alta dirección alinee sus estrategias con los riesgos más urgentes de la organización. Los ejecutivos deben realizar inversiones que no sólo aborden las vulnerabilidades actuales, sino que también generen confianza y resiliencia.

hagan sugerencias empresariales las prioridades de inversión en protección de datos y seguridad en la nube a los CFO en función del valor comercial de los resultados clave (por ejemplo, reducir el tiempo para recuperar datos críticos para la misión o parchar un sistema).

determinan el valor comercial de la protección de datos y la seguridad en la nube para ganar la confianza de las partes interesadas y tomar decisiones de inversión en ciberseguridad más informadas.

Colaborar con los ejecutivos de tecnología, seguridad y finanzas para identificar las prioridades más importantes en materia de seguridad e integridad de los datos a fin de orientar la estrategia de inversión en seguridad de la información y la nube. Confirmar la calidad y la preparación de los datos es una necesidad para aumentar las inversiones en seguridad.

¿Su estrategia y liderazgo cibernéticos impulsan una resiliencia real?

Para administrar las amenazas del futuro, las inversiones por sí solas no son suficientes: las organizaciones también deben mejorar su estrategia y liderazgo en materia de ciberseguridad. Desde los esfuerzos de resiliencia retrasados hasta las deficiencias en la participación de los CISO en las decisiones estratégicas, existen áreas claras en las que se necesita una mejor alineación estratégica. Para lograrlo, las organizaciones deben emular las prácticas líderes en ciberseguridad de sus pares con mejor desempeño. Además, deben ir más allá de abordar las amenazas conocidas e implementar un enfoque ágil y seguro diseñado para las empresas, que se esfuerza por generar confianza y resiliencia duradera.

La implementación parcial no es suficiente

A pesar de la creciente preocupación por el riesgo cibernético, la mayoría de las empresas tienen dificultades para implementar plenamente la resiliencia cibernética en sus prácticas básicas. Un análisis de 12 acciones de resiliencia en las áreas de personal, procesos y tecnología indica que el 42% o menos de los ejecutivos cree que sus organizaciones han implementado plenamente alguna de esas acciones. Más preocupante aún es que solo el 2% afirma que se han implementado las 12 acciones de resiliencia en toda su organización. Esto deja una vulnerabilidad evidente: sin resiliencia completa, las empresas siguen peligrosamente expuestas a las crecientes amenazas que podrían comprometer toda la operación.

Éstas son sólo algunas áreas clave que podrían beneficiarse de la atención interorganizacional:

Establecer un equipo de resiliencia (sólo el 34% de los ejecutivos dice que esto se ha implementado en toda la organización)
Desarrollo de un manual de recuperación cibernética para escenarios de pérdida de TI (solo el 35% dice que esto se ha implementado en toda la organización)
Mapeo de dependencias tecnológicas (sólo el 31% dice que esto se ha implementado en toda la organización)

La resiliencia cibernética es una prioridad clave. ¿Por qué tantas empresas están rezagadas en áreas críticas?

Muchas empresas aún están rezagadas en la implementación de prácticas de ciberseguridad. Solo uno de cada cinco ejecutivos señala que las pone en práctica de forma habitual. Por ejemplo, solo el 20% suele anticipar los riesgos cibernéticos futuros y sólo el 21% suele asignar el presupuesto cibernético a los principales riesgos de la organización. Este retraso podría deberse a varios factores, entre ellos, la falta de previsión estratégica, recursos insuficientes o un enfoque reactivo en lugar de proactivo en materia de ciberseguridad.

Llamado a la acción ejecutivo

Un liderazgo sólido en materia de ciberseguridad exige una visión estratégica y una alineación en toda la organización. Cada ejecutivo tiene un papel que desempeñar en el impulso de esta alineación, desde la integración del CISO en las decisiones clave hasta la priorización de los esfuerzos de resiliencia.

Expongan al resto de los altos ejecutivos los motivos por los cuales es imperativo que los CISO participen en la estrategia, la planificación y la supervisión de la estrategia de resiliencia y mitigación de riesgos cibernéticos.

Participen en evaluaciones y ejercicios de resiliencia cibernética para comprender mejor las brechas y los enfoques que los directores de seguridad de la información pueden enfrentar para integrar prácticas, estándares y controles líderes.

Manténgase informado sobre los avances del programa de riesgo cibernético, especialmente los relacionados con la exposición a amenazas y riesgos cibernéticos de su organización, para cumplir con las crecientes responsabilidades de supervisión y gobernanza.

Solicite reporte completo

Encuesta Global Digital Trust Insights 2025.

Descargar informe

Contenido relacionado

Digital Trust Survey 2023 PwC Interaméricas

Más del 70% han visto mejorar las iniciativas de ciberseguridad de sus empresas en el último año, gracias a las inversiones realizadas.

Encuesta Regional de Riesgos de PwC Interaméricas

Si no tomamos riesgos, no progresamos. Asumir riesgos de manera inteligente es la única manera en que las organizaciones pueden reinventarse y transformarse para sobrevivir, crear valor y prosperar en esta época de incertidumbre