{"id":30558,"date":"2024-11-25T22:50:53","date_gmt":"2024-11-25T20:50:53","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?page_id=30558"},"modified":"2024-11-26T17:10:18","modified_gmt":"2024-11-26T15:10:18","slug":"it-security-economics-2024","status":"publish","type":"page","link":"https:\/\/www.kaspersky.es\/blog\/it-security-economics-2024\/","title":{"rendered":"Econom\u00eda de la Seguridad Inform\u00e1tica"},"content":{"rendered":"

\"\"<\/a><\/p>\n

Introducci\u00f3n<\/h2>\n

Los requisitos de seguridad inform\u00e1tica cambian constantemente. El auge de la inteligencia artificial (IA), la digitalizaci\u00f3n y la adopci\u00f3n de la nube est\u00e1n transformando las industrias, pero tambi\u00e9n introducen riesgos que los responsables de TI deben sortear. Este informe, Econom\u00eda de la Seguridad Inform\u00e1tica, explora c\u00f3mo estos cambios est\u00e1n afectando a las estrategias de seguridad de empresas de todos los tama\u00f1os y sectores, desde las grandes empresas a las peque\u00f1as, pasando por las organizaciones del sector p\u00fablico.<\/p>\n

La IA y la automatizaci\u00f3n est\u00e1n cambiando el funcionamiento de las empresas. La IA impulsa la innovaci\u00f3n y la eficiencia, pero tambi\u00e9n expone vulnerabilidades. Los ciberdelincuentes utilizan cada vez m\u00e1s herramientas basadas en IA para lanzar ataques m\u00e1s sofisticados, mientras que los sistemas automatizados presentan nuevos puntos de entrada para los hackers[1]<\/a>. Los equipos inform\u00e1ticos deben adaptarse r\u00e1pidamente, equilibrando las ventajas de la IA con la necesidad de proteger sus entornos digitales. El r\u00e1pido ritmo de la digitalizaci\u00f3n en todos los sectores amplifica este reto, por lo que es crucial que los equipos de seguridad se adelanten a las amenazas en tiempo real.<\/p>\n

El cambio hacia el todo como servicio (XaaS) y la infraestructura en la nube, ha llevado a las empresas a adoptar modelos basados en suscripciones, que ofrecen flexibilidad y escalabilidad. Sin embargo, este cambio conlleva nuevos riesgos. Los entornos en nube, ya sea p\u00fablica, privada o h\u00edbrida, requieren una supervisi\u00f3n constante para garantizar la seguridad de grandes cantidades de datos, lo que resulta especialmente dif\u00edcil para las peque\u00f1as empresas con recursos inform\u00e1ticos limitados[2]<\/a>. Las grandes empresas tambi\u00e9n se enfrentan a riesgos, ya que los entornos de nube m\u00faltiple a\u00f1aden complejidad a sus esfuerzos de seguridad. Las organizaciones del sector p\u00fablico, que a menudo manejan datos confidenciales, tambi\u00e9n deben sortear estos riesgos al tiempo que garantizan el cumplimiento de la normativa.<\/p>\n

La globalizaci\u00f3n de las cadenas de suministro presenta tanto oportunidades como retos para la seguridad inform\u00e1tica[3]<\/a>. Las redes mundiales aumentan la eficacia, pero crean vulnerabilidades. Una sola brecha en una parte de la cadena de suministro puede extenderse a toda una industria y afectar a empresas de todo el mundo. Al mismo tiempo, existe una tendencia creciente hacia la localizaci\u00f3n, y las empresas buscan producir m\u00e1s mercanc\u00eda cerca de casa para mejorar la resiliencia. Aunque esto ayuda a minimizar los riesgos globales, las operaciones localizadas siguen enfrent\u00e1ndose a ciberataques selectivos, especialmente en sectores cr\u00edticos como la sanidad, la energ\u00eda y la administraci\u00f3n p\u00fablica.<\/p>\n

La resistencia de la cadena de suministro se ha convertido en uno de los principales focos de atenci\u00f3n de los equipos de seguridad inform\u00e1tica, ya que cada vez m\u00e1s empresas reconocen la necesidad de una mayor supervisi\u00f3n y control de sus proveedores. La pandemia puso de manifiesto la fragilidad de las cadenas de suministro mundiales, y la ciberseguridad es ahora una parte clave de esa conversaci\u00f3n. Los responsables de las TI deben trabajar para asegurar toda su cadena de suministro, no solo sus propios sistemas. Esto implica evaluar las pr\u00e1cticas de seguridad de los proveedores, controlar los riesgos potenciales y garantizar que todos los socios se adhieren a estrictos protocolos de seguridad.<\/p>\n

En los \u00faltimos a\u00f1os, varios ciberataques de gran repercusi\u00f3n han puesto de relieve la importancia crucial de una ciberseguridad s\u00f3lida. En 2022, el grupo de hackers Lapsus$ atac\u00f3 a grandes empresas como Microsoft y Okta, lo cual puso en peligro datos confidenciales de clientes y provoc\u00f3 un importante da\u00f1o a su reputaci\u00f3n[4]<\/a>. En 2023, Capita, una importante empresa de subcontrataci\u00f3n del Reino Unido, sufri\u00f3 un ciberataque que afect\u00f3 a sus clientes de los sectores p\u00fablico y privado, y que cost\u00f3 a la empresa unos 25\u00a0millones de libras en tareas de recuperaci\u00f3n[5]<\/a>.<\/p>\n

Para los peque\u00f1os y medianos negocios (SMB\u00b4s), estas tendencias plantean retos importantes. Los presupuestos limitados y el menor personal de TI dificultan la defensa frente a amenazas complejas, especialmente en el contexto de la IA y los ataques basados en la nube. Las grandes empresas, con m\u00e1s recursos, est\u00e1n mejor equipadas, pero deben gestionar la complejidad de proteger vastas infraestructuras en m\u00faltiples zonas geogr\u00e1ficas. Las instituciones del sector p\u00fablico tambi\u00e9n se enfrentan a estos problemas, ya que necesitan proteger infraestructuras cr\u00edticas e informaci\u00f3n sensible, al tiempo que a menudo operan con estrictas limitaciones presupuestarias.<\/p>\n

Este informe profundiza en estos retos y ofrece ideas sobre c\u00f3mo las empresas de todos los tama\u00f1os pueden prepararse mejor para el cambiante panorama de la seguridad. A medida que la IA, la digitalizaci\u00f3n y la adopci\u00f3n de tecnolog\u00eda en la nube siguen transformando los sectores, los responsables de las TI deben dar prioridad a estrategias de seguridad que puedan seguir el ritmo de estas megatendencias.<\/p>\n

Metodolog\u00eda<\/h2>\n

Este estudio se basa en datos recopilados en 1985 entrevistas con responsables de la toma de decisiones y especialistas en seguridad inform\u00e1tica que trabajan en organizaciones de diversos tama\u00f1os, desde SMB\u2019s con menos de 500 empleados, SME\u2019s con entre 500 y 5000 empleados y grandes empresas con m\u00e1s de 5000 empleados*. La encuesta se llev\u00f3 a cabo en 27 pa\u00edses de los principales mercados en los que opera Kaspersky. El \u00e1mbito del estudio incluye un an\u00e1lisis detallado de los presupuestos de seguridad inform\u00e1tica, dotaci\u00f3n de personal, vulnerabilidades y perspectivas espec\u00edficas del sector.<\/p>\n

Informaci\u00f3n clave<\/h2>\n

Aumento generalizado del gasto en seguridad inform\u00e1tica<\/h2>\n

La encuesta revel\u00f3 que las asignaciones presupuestarias a la seguridad inform\u00e1tica han aumentado en organizaciones de todos los tama\u00f1os.<\/p>\n\n\n\n\n\n\n
Tama\u00f1o de la empresa<\/strong><\/td>\nPresupuesto total de TI<\/strong><\/td>\nPresupuesto de seguridad de TI<\/strong><\/td>\nRelaci\u00f3n entre seguridad de TI frente al gasto total en TI<\/strong><\/td>\nAumento previsto del gasto en seguridad de TI*<\/strong><\/td>\n<\/tr>\n
Grandes empresas<\/td>\n41,8\u00a0millones de $<\/td>\n5,7\u00a0millones de $<\/td>\n13,6\u00a0%<\/td>\n+ 8,5\u00a0%<\/td>\n<\/tr>\n
SME<\/td>\n10,5\u00a0millones de $<\/td>\n1,2\u00a0millones de $<\/td>\n11,6\u00a0%<\/td>\n+ 9,2\u00a0%<\/td>\n<\/tr>\n
SMB<\/td>\n1,6\u00a0millones de $<\/td>\n0,2\u00a0millones de $<\/td>\n12,5\u00a0%<\/td>\n+ 8,8\u00a0%<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

*Cambios en los pr\u00f3ximos 2 a\u00f1os<\/p>\n

La proporci\u00f3n relativamente constante del gasto en seguridad de TI en organizaciones de distintos tama\u00f1os, junto con un aumento previsto de casi el 10% en los pr\u00f3ximos dos a\u00f1os, refleja un reconocimiento cada vez mayor de que la ciberseguridad forma parte integral de la inversi\u00f3n general en TI, independientemente de la escala.<\/p>\n

A medida que las infraestructuras digitales se vuelven m\u00e1s cr\u00edticas, esta tendencia al alza subraya que el sector comparte la idea de que la seguridad no es un gasto discrecional, sino una defensa necesaria para proteger los entornos inform\u00e1ticos en evoluci\u00f3n.<\/p>\n

Costo de la seguridad de TI para las SMB<\/h2>\n\n\n\n\n\n\n
Tama\u00f1o de la org.<\/strong><\/td>\nPersonal total de TI<\/strong><\/td>\nEspecialistas en seguridad de TI<\/strong><\/td>\nN\u00famero medio de soluciones<\/strong><\/td>\nRelaci\u00f3n de la seg. de TI frente al personal total de TI<\/strong><\/td>\n<\/tr>\n
Grandes empresas<\/td>\n105<\/td>\n23<\/td>\n15<\/td>\n21,9\u00a0%<\/td>\n<\/tr>\n
SME<\/td>\n29<\/td>\n9<\/td>\n12<\/td>\n31\u00a0%<\/td>\n<\/tr>\n
SMB<\/td>\n12<\/td>\n4<\/td>\n9<\/td>\n33,3\u00a0%<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

A pesar de la complejidad y envergadura de sus sistemas de seguridad inform\u00e1tica, las grandes empresas asignan una proporci\u00f3n menor de su personal inform\u00e1tico general a la seguridad, lo que sugiere que sus importantes inversiones en soluciones inform\u00e1ticas avanzadas y en automatizaci\u00f3n proporcionan mayores econom\u00edas de escala, reduciendo la necesidad de personal especializado y manteniendo al mismo tiempo unas s\u00f3lidas capacidades de seguridad.<\/p>\n

La falta de formaci\u00f3n plantea graves riesgos<\/h2>\n\n\n\n\n\n\n\n\n\n
Soluci\u00f3n de seguridad de TI<\/strong><\/td>\nPorcentaje de encuestados que utilizan cada soluci\u00f3n (media de empresas de todos los sectores y tama\u00f1os)<\/strong><\/td>\n<\/tr>\n
Seguridad de endpoints<\/td>\n100\u00a0%<\/td>\n<\/tr>\n
Seguridad de red<\/td>\n94\u00a0%<\/td>\n<\/tr>\n
Seguridad de la nube<\/td>\n83\u00a0%<\/td>\n<\/tr>\n
Servicios de seguridad<\/td>\n75\u00a0%<\/td>\n<\/tr>\n
An\u00e1lisis, inteligencia, respuesta y orquestaci\u00f3n de ciberseguridad<\/td>\n69\u00a0%<\/td>\n<\/tr>\n
Formaci\u00f3n en seguridad<\/td>\n53\u00a0%<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

El hecho de que el 100% de las empresas, independientemente de su tama\u00f1o, hayan implantado la seguridad de los puntos finales y casi todas cuenten con seguridad de red (94%) y seguridad en la nube (83%) y servicios de seguridad (75%) indica que las organizaciones reconocen la importancia de proteger su infraestructura digital b\u00e1sica.<\/p>\n

Sin embargo, el hecho de que la formaci\u00f3n en seguridad reciba una atenci\u00f3n significativamente menor (53%) sugiere que muchas empresas est\u00e1n pasando por alto capas de defensa cruciales. Dado que la ingenier\u00eda social y los errores humanos siguen figurando entre las principales vulnerabilidades de seguridad, la falta de formaci\u00f3n de los empleados representa una laguna importante. Sin una formaci\u00f3n adecuada, incluso las defensas tecnol\u00f3gicas m\u00e1s avanzadas pueden verse socavadas por errores sencillos y evitables.<\/p>\n

Resumen de incidencias<\/h2>\n

\"\"<\/a><\/p>\n

A pesar de los millones que se gastan en seguridad de TI y de la adopci\u00f3n casi universal de la seguridad de red en organizaciones de todos los tama\u00f1os, una abrumadora mayor\u00eda sigue denunciando ataques a la red. Las grandes empresas est\u00e1n a la cabeza, con un 97%, seguidas de las SME, con un 88%, y las SMB, con un 83%.<\/p>\n

El elevado \u00edndice de ataques, incluso entre organizaciones con importantes inversiones en seguridad, pone de manifiesto la persistencia y evoluci\u00f3n del panorama de las amenazas. Sugiere que, aunque la seguridad de los per\u00edmetros de la red sigue siendo esencial, los atacantes est\u00e1n encontrando formas nuevas y sofisticadas de penetrar en los sistemas, a menudo explotando vulnerabilidades que las medidas tradicionales de seguridad de la red por s\u00ed solas no pueden abordar plenamente.<\/p>\n

Las SMB, en particular, son m\u00e1s vulnerables al robo de datos a trav\u00e9s de los servicios de nube p\u00fablica, ya que el 49% de las SMB han informado de incidentes de este tipo, frente a solo el 19% en las grandes empresas. Esta discrepancia puede deberse a que las SMB tienen pol\u00edticas o sistemas menos estrictos que controlan el uso de los servicios de nube p\u00fablica, lo que permite a los empleados acceder a datos confidenciales o almacenarlos en entornos no seguros.<\/p>\n

Adem\u00e1s, es m\u00e1s probable que las SMB conf\u00eden en soluciones de nube p\u00fablica en lugar de invertir en infraestructura in situ, que las grandes empresas suelen mantener para ejercer un mayor control sobre sus datos. Esta dependencia de servicios de terceros sin una supervisi\u00f3n adecuada puede aumentar el riesgo de exposici\u00f3n y robo de datos.<\/p>\n

Cita<\/strong><\/p>\n

Otro factor clave que contribuye a las violaciones de la seguridad, especialmente entre las empresas m\u00e1s peque\u00f1as, es el error humano. Los errores o negligencias de los empleados, ya sea por falta de concienciaci\u00f3n sobre la seguridad o por una formaci\u00f3n insuficiente, son las principales causas de las infracciones en las organizaciones[6]<\/a>.<\/p>\n

Dado que s\u00f3lo el 53% de las empresas invierte en formaci\u00f3n en seguridad, muchas siguen expuestas a ataques de ingenier\u00eda social, phishing y otras formas de vulnerabilidad relacionadas con el factor humano. Reforzar la formaci\u00f3n de los empleados sobre las mejores pr\u00e1cticas de seguridad podr\u00eda reducir significativamente el n\u00famero de incidentes derivados de errores evitables.<\/p>\n

Seguridad de TI por tama\u00f1o<\/h2>\n

Grandes empresas<\/h2>\n\n\n\n\n\n\n\n
Presupuesto de TI<\/td>\n41,8\u00a0millones de $<\/td>\n<\/tr>\n
Gasto en seguridad de TI<\/td>\n5,7\u00a0millones de $<\/td>\n<\/tr>\n
Aumento del gasto en TI en dos a\u00f1os<\/td>\n+8,5\u00a0%<\/td>\n<\/tr>\n
N\u00famero medio de incidentes<\/td>\n12<\/td>\n<\/tr>\n
P\u00e9rdidas medias de la empresa<\/td>\n6,2 millones de $ (1,1\u00a0veces su presupuesto de seguridad)<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

SME<\/h2>\n\n\n\n\n\n\n\n
Presupuesto de TI<\/td>\n10,5\u00a0$<\/td>\n<\/tr>\n
Gasto en seguridad de TI<\/td>\n1,2\u00a0millones de $<\/td>\n<\/tr>\n
Aumento del gasto en TI en dos a\u00f1os<\/td>\n+9,2\u00a0%<\/td>\n<\/tr>\n
N\u00famero medio de incidentes<\/td>\n13<\/td>\n<\/tr>\n
P\u00e9rdidas medias de la empresa<\/td>\n1,7\u00a0millones de $ (1,4\u00a0veces su presupuesto de seguridad)<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

SMB<\/h2>\n\n\n\n\n\n\n\n
Presupuesto de TI<\/td>\n1,6\u00a0millones de $<\/td>\n<\/tr>\n
Gasto en seguridad de TI<\/td>\n0,2\u00a0millones de $<\/td>\n<\/tr>\n
Aumento del gasto en TI en dos a\u00f1os<\/td>\n+8,8\u00a0%<\/td>\n<\/tr>\n
N\u00famero medio de incidentes<\/td>\n16<\/td>\n<\/tr>\n
P\u00e9rdidas medias de la empresa<\/td>\n0,3\u00a0millones de $ (1,5\u00a0veces su presupuesto de seguridad)<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

A pesar de sus mayores recursos y de sus avanzadas infraestructuras de seguridad, la enorme escala y complejidad de las grandes empresas las hace m\u00e1s susceptibles de sufrir costosas infracciones. Aunque estas empresas suelen estar mejor equipadas para detectar r\u00e1pidamente los incidentes, el tiempo necesario para responder plenamente y mitigar estas amenazas puede abarcar horas, lo que subraya el reto que supone gestionar entornos inform\u00e1ticos amplios y complejos.<\/p>\n

Las SMB son el grupo m\u00e1s desproporcionadamente afectado en t\u00e9rminos de impacto presupuestario. Las SMB suelen carecer de pol\u00edticas y procedimientos s\u00f3lidos de ciberseguridad, lo que las hace vulnerables a incidentes relacionados con empleados, configuraciones err\u00f3neas de la nube p\u00fablica y permisos de alto nivel.<\/p>\n

Cita<\/strong><\/p>\n

A medida que aumentan la adopci\u00f3n de la nube y el trabajo a distancia, el factor humano y las pol\u00edticas inadecuadas de seguridad en la nube siguen siendo \u00e1reas cr\u00edticas de vulnerabilidad, especialmente para estas empresas m\u00e1s peque\u00f1as. Estos datos subrayan la importancia de las estrategias de seguridad a medida que abordan los riesgos espec\u00edficos a los que se enfrentan las organizaciones en funci\u00f3n de su tama\u00f1o y recursos.<\/p>\n

Perspectivas sectoriales<\/h2>\n

<\/a>Servicios p\u00fablicos (gobierno, educaci\u00f3n, defensa)<\/h2>\n