El desarrollo de la IA, el aumento de los dispositivos conectados y las tecnologías en la nube han multiplicado la superficie de ataque -o el conjunto de vulnerabilidades- de las empresas en materia de ciberseguridad. Una situación que unida a un entorno regulatorio en constante cambio convierte a la ciberesiliencia en un pilar fundamental de las compañías.
A pesar de que existe una amplia conciencia en el mundo empresarial sobre los desafíos que plantea hoy en día la ciberseguridad, las compañías siguen teniendo muchas áreas de mejora. Para garantizar la seguridad de sus empresas, los directivos deben tener la ciberseguridad como un punto permanente en su agenda de prioridades, integrándola en cada decisión estratégica y fomentando la colaboración entre la alta dirección.
El informe ‘Global Digital Trust Insights 2025’, elaborado por PwC a partir de una encuesta a 4.042 directivos y responsables de tecnología de compañías de 77 países, revela que existen importantes brechas o puntos débiles que las empresas deben mejorar para llegar a ser ciberesilientes. Los detallamos a continuación:
Brechas en la puesta en marcha de iniciativas. A pesar de la creciente preocupación por los ciberriesgos, solo el 2% de los ejecutivos afirma que su empresa ha puesto en marcha iniciativas para alcanzar la ciberresiliencia dentro de su organización.
Brechas en el nivel de preparación. Las empresas se sienten menos preparadas para hacer frente a las ciberamenazas más preocupantes, como los riesgos relacionados con la nube y los problemas de seguridad de terceros.
Brechas a la hora de involucrar al CISO. Menos de la mitad de los ejecutivos afirma que sus Chief Informations Officers (CISO, por sus siglas en inglés) están realmente involucrados en la planificación estratégica, en el reporting al consejo y en la supervisión de los desarrollos tecnológicos.
Brechas en el cumplimiento normativo. Los CEO, los CISO y los CSO, tienen niveles de confianza diferentes acerca de su capacidad para cumplir con la regulación, especialmente, en lo que respecta a la IA y las infraestructuras críticas.
Brechas en la medición de los ciberriesgos. Aunque los ejecutivos reconocen la importancia de medir los ciberriesgos, menos de la mitad lo hace de manera efectiva, y solo el 15% mide el impacto financiero de manera significativa.
Todas estas lagunas ponen sobre la mesa la necesidad de mejorar la colaboración entre la alta dirección y de potenciar las inversiones estratégicas destinadas a construir empresas ciberresilientes. Al abordar estas carencias y hacer de la ciberseguridad una prioridad empresarial, los directivos garantizan un futuro más seguro para sus organizaciones. Los CISO pueden ayudar a impulsar estas iniciativas compartiendo sus conocimientos en tecnología y explicando las prioridades de ciberseguridad en términos empresariales (coste, oportunidad, riesgo).
Mientras el panorama de la ciberseguridad sigue evolucionando, las compañías se enfrentan a amenazas cada vez más volátiles e impredecibles. Afrontar un abanico de ataques cada vez más amplio -debido a la creciente dependencia de la nube, la IA, los dispositivos conectados y las amenazas que llegan a través de terceros-, exige un enfoque ágil en toda la empresa para alcanzar la resiliencia. Alinear las prioridades y preparar a la organización es esencial para mantener la seguridad y garantizar la continuidad del negocio.
Lo que más preocupa a las empresas es aquello para lo que están menos preparadas. Los cuatro ciberriesgos más relevantes -los relacionados con la nube, el robo y la filtración de datos, las brechas de seguridad de terceros y los ataques a productos conectados- coinciden con las situaciones para las que los responsables de seguridad se sienten menos preparados. Esto pone de manifiesto la urgente necesidad de mejorar las inversiones y reforzar las capacidad de respuesta de las empresas.
Pon de manifiesto al resto de la alta dirección las amenazas que más ponen en peligro a la empresa, especialmente si es necesario redirigir los esfuerzos de inversión.
A partir de las conversaciones con los responsables de riesgos, evalúa cómo ciertas amenazas pueden dañar la seguridad de la información, las infraestructuras, y cuáles representan el mayor desafío para la resiliencia de la compañía.
Obtén más información del CISO y el CRO sobre las prioridades de inversión y gestión de ciberseguridad.
Reúnete de forma periódica con el CRO y el CISO para comprender las amenazas que más les preocupan. Asegúrate de que recibas informes periódicos sobre los esfuerzos actuales para mitigar las amenazas.
Conoce los principales ciberriesgos que tiene tu organización y plantea las dudas que tengas al equipo directivo. ¿Cómo se están mitigando los riesgos? ¿Existen planes y financiación adecuados para abordarlo de manera proactiva y de responder a una amenaza, en caso de que ocurra?
Aunque el rápido avance de la IA generativa está abriendo nuevas oportunidades en distintos sectores, también presenta riesgos de ciberseguridad. A medida que las empresas utilizan la IA generativa y otras tecnologías emergentes, la alta dirección deberá enfrentarse a métodos de ataque más complejos e impredecibles y a la doble naturaleza filo de la IA generativa, como herramienta de defensa y de ataque.
Aunque la IA generativa está aumentando la superficie de riesgo de ciberataques para la mayoría de las organizaciones, las empresas también están utilizando esa misma tecnología para defenderse. Las tres principales formas en que están aprovechando la IA generativa incluyen: la detección y respuesta a amenazas, así como su análisis y la detección de malware/phishing.
Ayuda a impulsar la estandarización en todo el entorno tecnológico para facilitar la integración de la IA. Aplicar derechos de acceso de manera individual para identificar posibles métodos de ataque.
Realiza una evaluación del impacto de la IA para enseñar a los ejecutivos sobre dónde tiene más sentido invertir e implementar esta tecnología. Preparar las plataformas para escalar a medida que crece el uso de la IA generativa.
Trabaja con el CISO para priorizar la seguridad y la confidencialidad de los datos financieros.
Mejorar los protocolos de gobierno de los datos y evalúa los riesgos de privacidad en relación con la normativa y las directivas de los reguladores.
Colabora con los equipos de riesgo y cumplimiento para proteger a la empresa contra los usos secundarios indebidos de los datos y contra posibles responsabilidades legales.
Los marcos normativos están exigiendo a las empresas que cumplan con un número cada vez mayor de requisitos. El aumento de nuevas iniciativas regulatorias -DORA, Cyber Resilience Act, AI Act, CIRCIA, Singapore Cybersecurity Act, etcétera-, pone de manifiesto la urgencia para que las organizaciones alineen sus prácticas con estas exigencias más estrictas. Abordar estos desafíos es esencial para construir una ciberseguridad resiliente, capaz de resistir tanto el escrutinio regulatorio como a las amenazas emergentes.
A pesar de la creencia generalizada de que las nuevas regulaciones en ciberseguridad son beneficiosas para las empresas, existe una brecha de confianza significativa entre los CEO y los CISO/CSO en su capacidad para cumplir con estas normativas.
Las mayores brechas tienen que ver con el cumplimiento de los requisitos relacionados con la IA, la resiliencia y la infraestructura crítica. Los CISO, que están en la primera línea de la ciberseguridad, son menos optimistas que los CEO sobre la capacidad de su organización para cumplir con estas normativas.
Proporciona de manera periódica informes a la alta dirección sobre el estado de las distintas regulaciones que afectan directamente al sector o al territorio en el que te encuentras, y trabaja en poner en marcha procesos de gestión del cambio tecnológico y regulatorio.
Verifica que toda la información que divulga la compañía en relación con la regulación en materia de ciberseguridad es exacta, íntegra y sólida. Analiza la materialidad y el impacto específico de cada incidente, incorporando la cuantificación del ciberriesgo para evaluar y comunicar con precisión los riesgos potenciales.
Ten en cuenta las responsabilidades de supervisión para orientar los esfuerzos de cumplimiento de la compañía, incluyendo la coordinación necesaria entre las diferentes unidades de negocio. Identifica las preguntas clave para hacer a los CISO con el fin de evitar cualquier brecha de conocimiento sobre el nivel de cumplimiento de la empresa.
Mantente actualizado de los requisitos de cumplimiento normativo y colabora con el CISO y el CRO para incorporar medidas proactivas de cumplimiento y monitorización.
Determinar la cantidad de información necesaria para cumplir con los programas obligatorios de ciber reporting, busca un equilibrio entre transparencia y confidencialidad.
El Consejo debe mantenerse al tanto de los requisitos normativos emergentes y solicitar información a la alta dirección sobre cómo se está preparando para cumplir con ellos. Ten en cuenta la visión de la dirección a la hora de evaluar e informar sobre incidentes de ciberseguridad.
A medida que las ciberamenazas evolucionan rápidamente en alcance y sofisticación, la cuantificación del ciberriesgo se ha convertido en una herramienta crítica que las organizaciones no pueden permitirse ignorar. Sin embargo, a pesar de los beneficios ampliamente reconocidos, existen varios desafíos que impiden que muchas de ellas lo hagan (problemas de calidad de los datos, fiabilidad de los resultados, etc.).
Aunque los ejecutivos coinciden en gran medida en que medir el ciberriesgo es crucial para priorizar las inversiones en ciberseguridad (88%) y asignar recursos a las áreas de mayor riesgo (87%), solo el 15% de las organizaciones lo están haciendo de manera significativa (por ejemplo, cuantificación extensa del ciberriesgo con automatización y reporting exhaustivos).
Considera comenzar poco a poco con un objetivo específico y aprovechar la información que hay en la compañía (por ejemplo, efectividad de los controles, madurez, datos de incidentes o pérdidas). Las nuevas herramientas pueden ayudar con la cuantificación del riesgo, pero no son imprescindibles. Define el alcance y busca las tecnologías que respalden lo que has diseñado.
Enseña a la alta dirección los resultados resultantes de la medición del riesgo financiero obtenidos a partir de herramientas y prácticas de cuantificación. Estos ejemplos pueden ayudar a convencerla para que priorice y asigne los recursos adecuados a las áreas de mayor riesgo.
Trabaja con el CISO y CRO para conocer mejor el valor empresarial de la cuantificación del ciberriesgo y de los posibles costes y oportunidades perdidas por no medirlos.
Entiende los métodos que utiliza tu organización para evaluar el ciberriesgo. Presiona a la alta dirección sobre los planes para implementar la cuantificación del riesgo de manera más amplia, con el fin de evaluar e informar mejor de la situación de los ciberriesgos en la empresa.
A medida que la ciberseguridad se convierte en una cuestión crítica para las empresas, estas empiezan a ver su potencial y a considerarla como un factor diferenciador clave y una forma de mejorar su reputación y confianza. Para prepararse, muchas compañías están aumentando sus presupuestos de ciberseguridad, especialmente en lo relacionado con la protección de datos. Al invertir estratégicamente en estas áreas, las empresas no solo están impulsando su resistencia, sino también posicionándose de manera positiva ante sus clientes.
Durante los próximos doce meses, las organizaciones van a priorizar la protección y confianza de los datos y la seguridad en la nube por encima de otras inversiones en ciberseguridad. Entienden que asegurar información sensible es vital para mantener la confianza de los stakeholders y la integridad de la marca.
Los directivos y responsables de tecnología tienen prioridades diferentes, según las áreas específicas donde desarrollan su trabajo.
Los directivos dicen que la protección y la confianza de los datos es su principal prioridad a la hora de invertir en ciberseguridad (48%), seguida por la modernización y optimización tecnológica (43%).
Para los directores tecnológicos, la seguridad en la nube sigue siendo su principal prioridad (34%), como ya lo era el año pasado. A continuación, la protección y confianza de los datos (28%).
Las compañías cada vez ven más la ciberseguridad como un diferenciador clave para obtener una ventaja competitiva. El 57% de los directivos entrevistados concretan esta ventaja en la confianza del cliente y el 49% en una mayor fidelidad y lealtad a la marca. A medida que las ciberamenazas aumentan, contar con un buen sistema de ciberseguridad no solo es una cuestión de protección, sino de construir una reputación en la que los clientes y stakeholders puedan confiar.
Traslada a tu CFO el caso de negocio que sustenta tus prioridades de inversión en protección de datos y seguridad en la nube, mirando siempre al valor que aporta al negocio de la compañía (por ejemplo, reduciendo el tiempo para recuperar datos críticos).
Determina el valor que tiene para el negocio la protección de datos y la seguridad en la nube a lahora de ganarse la confianza de los stakeholders y tomar decisiones de inversión en ciberseguridad más informadas.
Colabora con los directivos de las áreas de tecnología, seguridad y finanzas para identificar las prioridades más esenciales relacionadas con la seguridad e integridad de los datos, y que guiarán la estrategia de inversión en seguridad de la información y la nube.
Hay áreas en las empresas donde es necesaria una mayor alineación estratégica en materia de ciberseguridad. Para lograrlo, las organizaciones deberían mirar las mejores prácticas de sus competidores. También deberían ir más allá de abordar las amenazas conocidas e implementar un enfoque ágil y seguro a la hora de diseñar sus negocios, uno que busque construir confianza y resiliencia.
A pesar de que la preocupación por los ciberriesgos ha aumentado, la mayoría de las empresas están en pleno proceso para conseguir implantar en sus organizaciones prácticas que hagan que sus compañías sean más resilientes. Después de poner sobre la mesa doce posibles medidas para impulsar la resiliencia a través de las personas, los procesos y la tecnología, solo el 42% de los directivos creen que sus empresas han puesto en marcha alguna de esas acciones. Más preocupante aún, solo el 2% afirma que las 12 acciones propuestas se han implementado en toda su organización. Esto deja una vulnerabilidad evidente: sin una resiliencia a nivel empresarial, las compañías permanecen peligrosamente expuestas a las crecientes amenazas que podrían comprometer toda su operativa.
A continuación destacamos algunas iniciativas clave que pueden ayudarte a contar con una práctica de resiliencia robusta en el ámbito de la ciberseguridad
Crea un equipo de resiliencia (sólo el 34% dice que esto se ha implementado en toda la organización).
Desarrolla un manual de recuperación de ciberseguridad para escenarios donde se produzcan pérdidas (sólo el 35% dice que esto se ha implementado en toda la organización).
Mapear las dependencias tecnológicas de tu organización(solo el 31% dice que esto se ha implementado en toda la organización).