La dependencia de terceros, el clima geopolítico y económico de inestabilidad y la Inteligencia Artificial están creando entornos empresariales cada vez más volátiles. Una realidad para la que la protección tradicional ya no es suficiente y donde las empresas deben abogar por una resiliencia por diseño. Sin embargo, todavía es una asignatura pendiente.
La creciente desconexión entre la confianza de las organizaciones en su postura de ciberresiliencia y su preparación real frente a amenazas externas cada vez más disruptivas es palpable. Así lo concluye un nuevo informe de Zscaler donde se pone de relieve la situación global y española.
Si bien el 85% de las empresas españolas han incrementado su inversión en ciberresiliencia, el 50% admite que sus estrategias de ciberresiliencia están demasiado enfocadas internamente, pese al aumento de las amenazas externas. Tan solo el 33% considera que sus medidas actuales de resiliencia son altamente efectivas frente a la volatilidad de la cadena de suministro y el 49% reconoce que los sistemas de seguridad actuales de su organización no pueden defenderse frente a amenazas avanzadas.
Terceros, un flanco que vigilar
Las empresas españolas se enfrentan a una combinación compleja de riesgos, incluidos ciberataques, cadenas de suministro cada vez más complejas, eventos geopolíticos impredecibles y rápidos avances en IA y computación cuántica.
La dependencia de terceros es una realidad en cualquier organización. Proveedores de todo tipo que gestionan, almacenan o exponen datos de las empresas. De hecho, el 53% de los encuestados advierte esta dependencia, mientras que el 57% apunta incidentes ya sufridos por un fallo en un tercero. Además, el 54% de los responsables de TI en España anticipa que en los próximos 12 meses se producirá una interrupción importante causada por un proveedor o tercero.
“Las interrupciones ahora pueden originarse mucho más allá de los límites de una empresa. La verdadera resiliencia debe expandirse hacia afuera a través de capas de dependencia como partners, plataformas y cadenas de suministro, para absorber impactos externos antes de que desestabilicen las operaciones. Adoptar un enfoque ‘Resilient by Design’ permite integrar la capacidad de resistir escenarios inevitables de fallos o brechas”, asegura Pablo Vera, vicepresidente regional de Iberia en Zscaler.
A pesar de ello, menos de la mitad de las organizaciones ha actualizado su estrategia de resiliencia para abordar específicamente las dependencias de terceros o la inestabilidad en sus cadenas de suministro. Solo el 31% considera que sus medidas actuales son altamente efectivas frente a la volatilidad de la cadena de suministro. En la región EMEA, esta cifra desciende al 30%.
El 57% apunta incidentes ya sufridos por un fallo en un tercero
Otro de los principales problemas para abordar estrategia de ciberresiliencia más integrales es la dependencia de infraestructuras obsoletas. Un 72% de las empresas españolas aún depende de sistemas tradicionales como firewalls, VPN y modelos de seguridad basados en perímetro. El 56% afirma que su arquitectura actual de TI limita su capacidad para responder eficazmente a brechas, interrupciones y fallos.
Los riesgos asociados a tecnologías emergentes también ponen a prueba la eficacia de las estrategias actuales de resiliencia en España. El 49% de los responsables de TI en España reconoce que sus sistemas de seguridad existentes no están preparados para hacer frente a amenazas avanzadas. Además, el 51% de las empresas que están implementando o probando tecnologías de IA autónoma (IA agéntica) carece de marcos sólidos de gobernanza.
El uso de “shadow AI” es otro punto crítico: el 61% de las organizaciones españolas no tiene visibilidad sobre estas prácticas, y el 46% teme la exposición de datos sensibles a través del uso de aplicaciones públicas de IA.
El camino para ser resiliente por diseño
Para contrarrestar el aumento de amenazas externas, el informe propone tres acciones clave:
- Priorizar la visibilidad: implementar una plataforma unificada que integre seguridad de datos, seguridad de IA y de terceros, así como soberanía de datos, proporcionando visibilidad y control de extremo a extremo sobre toda la superficie de riesgo.
- Simplificar con un enfoque de plataforma: desacoplar la seguridad de la infraestructura de red y adoptar un modelo Zero Trust basado en el principio de mínimo privilegio.
- Prepararse para el futuro con una arquitectura Zero Trust: utilizar una arquitectura capaz de adaptarse a nuevas amenazas activando capacidades adicionales, como seguridad para IA generativa (GenAI) y visibilidad de criptografía post-cuántica, desde un único panel de control.
