En los últimos años se ha producido un recorte generalizado de costes en las organizaciones provocado por presiones económicas. Muchas organizaciones han visto una caída en la demanda de los clientes debido a la crisis del costo de vida, así como a presiones inflacionarias que afectan los costos. Otro factor son los tipos de interés más altos y el aumento del coste de capital de las organizaciones.
También existe una sensación de fatiga asociada con el gasto en ciberseguridad. El gasto de las empresas en cibernética ha aumentado año tras año durante un período de tiempo sostenido, y ha surgido una tendencia entre las organizaciones a sentir que, a estas alturas, ya han realizado las inversiones necesarias para protegerse, a pesar de que la realidad es que el panorama de las ciberamenazas se intensifica cada vez más y las presiones regulatorias aumentan.
Por último, hemos visto una ‘plataformación’ del software cibernético, en la que los grandes proveedores crean soluciones cibernéticas cohesivas y unificadas. Esto anima a los CISO a adoptar economías de escala en su gasto, lo que les permite hacer “más con menos”. Esto ha llevado a reducciones en el gasto en soluciones de software de un solo uso.
Todos estos factores combinados están contribuyendo a un estancamiento de los presupuestos cibernéticos durante los últimos 12 a 18 meses en muchas organizaciones.
¿Qué hace que las organizaciones sientan que la seguridad es un “recorte” que vale la pena?
En esta área, el gasto está altamente correlacionado con el cumplimiento, a menudo más que el apetito por el riesgo. El cumplimiento impulsa la acción, y esto conduce a una situación en la que, si la organización siente que se ha logrado el cumplimiento, el gasto comienza a estabilizarse a medida que se disipa la sensación de urgencia en torno a lo cibernético.
Algunos sectores están presionando mucho para lograr el cumplimiento, por ejemplo DORA para servicios financieros en EMEIA y NIS2 para infraestructura crítica en la Unión Europea (UE). El gasto en seguridad cibernética es más robusto en estos sectores, acorde con las demandas de estos marcos regulatorios, pero en sectores donde la regulación es menos onerosa, el gasto se está aplanando considerablemente.
¿Cómo pueden los CISO y los líderes de seguridad ejercer presión para mantener sus presupuestos?
Aquí es donde se necesita urgentemente un cambio de perspectiva. Es necesario argumentar que el gasto en cibernética es una inversión de valor, no sólo un costo de gestión de riesgos. Las organizaciones deben comenzar a considerar la cibernética como un ecosistema habilitante que genera valor de múltiples maneras. Por un lado, puede permitir la implementación de la IA en toda la organización. Por otro lado, puede ayudar a permitir adquisiciones. Crear una plataforma sólida también puede diferenciar a la organización a los ojos de los clientes. Todo ello aporta un valor tangible.
Se trata de un cambio de mentalidad importante, desde una perspectiva que ve lo cibernético sólo como un costo a otra que lo entiende como una infraestructura habilitadora que se vincula directamente con el valor generado por los productos y servicios que sustenta.
Esta nueva perspectiva debería permitir a las empresas considerar que, en lugar de depender únicamente de la financiación central para la cibernética, pueden asignar a la cibernética una parte de sus presupuestos para nuevas iniciativas, sobre la base de que una infraestructura cibernética óptima es una condición necesaria para el éxito de la iniciativa. .
También es útil cuantificar la eficacia del gasto cibernético, utilizando la cuantificación del riesgo cibernético para demostrar el vínculo tangible entre la reducción del riesgo y el gasto.
¿Cómo pueden los CISO y los líderes de seguridad aumentar sus presupuestos?
Una de las principales cosas que la cibernética puede permitir es la IA, y ésta se está convirtiendo en el catalizador de cambio de más rápido movimiento (y crecimiento) en todo el panorama. No hay duda de que la IA es un multiplicador de amenazas cibernéticas, que permite a los ciberdelincuentes mejorar en lo que hacen: mejor malware, mejor phishing, etc.
Esto significa que los custodios de las empresas también deben mejorar. Y eso requerirá una inversión continua y una evolución continua de las herramientas y soluciones que implementamos, para permitir que las organizaciones intenten mantenerse al día con los delincuentes.
A medida que los ciberdelincuentes aprovechen la IA para crear ciberataques más efectivos, las organizaciones necesitarán luchar contra la IA con IA. Es importante buscar oportunidades para automatizar la ciberdefensa, especialmente en casos de uso clave relacionados con la detección y respuesta a amenazas, las pruebas automatizadas y la gestión de los derechos de acceso de los usuarios.
La investigación de EY muestra que uno de los indicadores clave de las organizaciones que se desempeñan mejor en ciberseguridad es que adoptan constantemente la tecnología emergente, especialmente la automatización, con rapidez. Las empresas que pueden arraigar ese enfoque amigable con la tecnología son las que menos sufren los ataques.
Las perspectivas de amenaza para 2025
Las grandes amenazas existentes (ransomware, phishing y ataques a la cadena de suministro) continuarán y seguirán creciendo en sofisticación. Además de eso, esperamos ver una mayor atención a la tecnología operativa (OT), así como al Internet de las cosas (IoT).
Es razonable esperar que el rápido crecimiento de la implementación de la IA en organizaciones y sectores produzca nuevas vulnerabilidades y que, como resultado, se produzcan más filtraciones de datos como un aspecto inevitable de este rápido ritmo de cambio.
Finalmente, el otro avance clave será la forma en que los propios ciberdelincuentes utilizan e implementan la IA. Es probable que la intensidad de los ataques de malware aumente a medida que los atacantes utilicen la GenAI como arma. El ritmo de desarrollo puede ser igualmente eficaz en ambos lados de la batalla, y es precisamente por eso que las organizaciones no pueden darse el lujo de ser complacientes.
Richard Watson es líder de consultoría de seguridad cibernética global y APAC en EY