El 59 por ciento de las empresas españolas anticipan una brecha cibernética en 2025, lo que refuerza la necesidad de una mayor inversión en ciberseguridad para garantizar que las estrategias de ciberresiliencia estén preparadas con un enfoque de confianza cero.

Zscaler ha compartido la importancia de «no solo hacer seguridad por diseño, sino ser ciberresiliente», esto es, "no solamente tener mecanismos de protección, sino cómo aprovechar la tecnología para, en el caso de tener un incidente de seguridad, que el impacto en el negocio sea mínimo y que la recuperación sea lo más rápida posible", ha expuesto el responsable para España y Portugal de Zscaler, Pablo Vera, en un encuentro con la prensa al que ha asistido Europa Press.

La firma especializada en conexiones seguras ha reflexionado sobre este enfoque con motivo de las respuestas de 1.700 responsables de la toma de decisiones de TI en empresas con más de 500 empleados y en diferentes sectores, de doce mercados (incluido España), que se recogen en la encuesta 'Unlock the Resilience Factor: Why Resilient by Design is the Next Cyber Security Imperative'.

En líneas generales, los encuestados consideran que sus medidas actuales de resiliencia cibernética son efectivas (94% global, 96% en España) y que su infraestructura de TI es altamente resiliente (49% global, 44% en España).

Sin embargo, contradiciendo esta confianza, en España el 39 por ciento de los responsables de TI no ha revisado su estrategia de resiliencia cibernética desde hace más de seis meses (40% global) y solo el 51 por ciento (45% global) cree que su estrategia está actualizada para responder al auge de la inteligencia artificial (IA).

El 59 por ciento de las empresas en España espera experimentar un escenario de fallo importante en los próximos doce meses (60% global) y el 41 por ciento ya ha experimentado una en los últimos seis meses (45% global).

Falta de inversión

El análisis de esta desconexión entre la confianza y las estrategias actuales señala una falta de inversión por parte del liderazgo organizacional como un punto clave de fricción. Si bien los encuestados indican que los responsables comprenden la importancia de una estrategia sólida de resiliencia cibernética, solo el 29 por ciento de los encuestados españoles cree que es una de las principales prioridades de sus directivos (39% global).

Esta priorización también se refleja en el presupuesto asignado a las estrategias de resiliencia cibernética, con el 46 por ciento de los participantes en España de acuerdo con que el nivel de inversión no satisface la creciente necesidad (49% global).

En la mayoría de las empresas españolas, la planificación de resiliencia cibernética recae principalmente en los responsables de TI y sus equipos, pero menos de la mitad de los directores de Seguridad (CISO) participa activamente en la planificación de la misma (47% en España frente al 44% global). Y solo el 37 por ciento de los responsables de TI (36% global) afirma que su estrategia está incluida en el plan de resiliencia general de su compañía.

A nivel mundial el 85 por ciento de los responsables de TI confía en que su empresa podría resistir o recuperarse de uno fallo significativo. Un dato que contrasta con la realidad de las mismas, ya que, como ha indicado Vera, «la mayoría de las organizaciones no están preparadas para gestionar un incidente si se produjera un fallo y tendrían dificultades para recuperar las operaciones empresariales con la rapidez necesaria».

La mitad de los directivos españoles de TI (60% global) cree que su empresa prioriza en exceso la prevención, con un desglose que muestra que más del 43 por ciento de las estrategias y presupuestos de ciberseguridad, tanto en España como a nivel global, están enfocados en la prevención, en detrimento de la respuesta y la recuperación.

Incluso entre aquellas organizaciones que se centran en la prevención, menos de la mitad emplea herramientas de seguridad proactiva para contener el impacto de los ciberataques, como microsegmentación zero trust (41% en España frente al 42% global), búsqueda de riesgos (39% en España frente al 44% global) y tecnologías de engaño (33% en España frente al 35% global)

Estrategia de resiliencia

Por todo ello, desde Zscaler defienden una estrategia de resiliencia sólida y proactiva. "Lo que pretendemos hacer con resiliencia por diseño es dar por hecho que nos van a atacar y planificar ese escenario para que el impacto y el alcance sean mínimos y el tiempo de respuesta para arreglarlo sea el menor posible", ha explicado el arquitecto de Transformación en la región del sur de Europa de Zscaler, Marcos Jimena.

Se trata, además, de una estrategia en la que hay que involucrar a todos los departamentos de la organización con el fin de que sea efectiva. Y que requiere reducir la complejidad de la infraestructura, replantear la arquitectura con la vista puesta en la nube e integrar en esta arquitectura mecanismos que permitan prever e identificar posibles riesgos.

Jimena también ha destacado la necesidad de que esta estrategia de resiliencia por diseño se base en la arquitectura de confianza cero, que permite reducir el riesgo en las cuatro etapas de la cadena de ataque: minimizar la superficie de ataque, prevenir el compromiso inicial, eliminar el movimiento lateral y detener la pérdida de datos, algo que ya hace la plataforma Zscaler Zero Trust Exchange.