Las empresas tardan un 25% más de lo esperado en recuperarse de incidentes de seguridad

Según el informe de Fastly Global Security Research, el tiempo que tardan las empresas en recuperarse de incidentes de seguridad ha aumentado en 2024. Así, este año las empresas han declarado tardar, de media, 7,3 meses en recuperarse de una brecha de seguridad. Es un 25% más de lo esperado, y es un tiempo que supera en más de un mes al plazo previsto: 5,9 meses.

Los tiempos de recuperación este año han sido todavía peores para las empresas que tenían previsto recortar gastos en ciberseguridad. Estas han tenido que hacer frente a una media de 68 incidentes de seguridad cada una, nada menos que un 70% por encima de la media, con plazos de recuperación que han subido hasta los 10,9 meses. Es un plazo que supera en más de cinco meses al tiempo que tardaron en recuperarse las empresas que mantuvieron o aumentaron sus presupuestos en ciberseguridad.

En los próximos meses, un 87% de las empresas tiene previsto subir su inversión en herramientas de seguridad, un aumento interanual del 11%. Pero el 50% de los participantes en la encuesta que Fastly ha tomado como base para elaborar su informe, realizada entre 1.800 responsables de toma de decisiones en TI, señalan que el panorama de las amenazas, que cada vez son más sofisticadas, sigue sin prepararles para poder abordar ataques en el futuro.

Las caídas de sistemas de TI producidos en los últimos meses en el mundo también han sido un aviso para los profesionales de la seguridad, que a raíz de ellos analizan con más detenimiento las opciones de proveedores que tienen para elegir, así como el valor que tienen las inversiones que realizan en ciberseguridad.

Un 40% de las empresas expresaron en 2024, por otro lado, preocupación por la fiabilidad y la calidad del software en su stack de seguridad, y un 29% se planteó cambiar de proveedor. Además, nada menos que el 86% de las empresas ha cambiado su estrategia de pruebas y despliegue de actualizaciones como respuesta a estos incidentes de fiabilidad, de los que el más conocido es el sufrido por Crowdstrike este pasado verano.

Las compañías también están reevaluando la manera en que la seguridad se integra en sus operaciones, y cada vez hay más partes interesadas ajenas a los equipos de seguridad, entre los que están los equipos de ingeniería de plataformas, que tienen voz y voto en la adopción de soluciones de seguridad. Un 20% de los encuestados destacó que la prioridad de su organización era adoptar un enfoque de ingeniería de plataformas para la seguridad del software.

Por otro lado, los equipos de ingeniería de plataformas se consideran responsables del 8% de los incidentes de seguridad, algo menos que en el caso de los CISO (14%) y los CIO (12%). Para Marshall Erwing, CISO de Fastly, «la recuperación total de las brechas no está siendo más rápida. Los ingresos, la reputación y el tiempo perdidos dañan las relaciones entre empresas de forma permanente y restan recursos a otras áreas de la organización. Dado que los ataques no disminuyen y que siempre existe la posibilidad de que se produzcan nuevos errores de gran repercusión, es crucial que cualquier cambio que las empresas realicen en sus estrategias de ciberseguridad se ajuste a un plan integral y no sea una reacción instintiva«. 

Erwing también ha señalado que «el gasto en ciberseguridad está en el punto de mira, ya que las empresas siguen sintiéndose poco preparadas para hacer frente a un panorama de amenazas en constante evolución. Estamos asistiendo a un cambio hacia una responsabilidad compartida de la seguridad en todas las organizaciones, con una mayor atención a la incorporación de medidas de seguridad en todos los proyectos. Las empresas que apuestan por la seguridad y establecen alianzas sólidas con organizaciones de seguridad en las primeras fases del proceso de desarrollo de un producto están en mejor posición para hacer frente a las amenazas emergentes y recuperarse más rápidamente de los ataques«. 

Los incidentes de seguridad en España

En el contexto de España, las empresas ha reportado de media 33 incidentes de seguridad en el último año, ocasionados sobre todo por ataques externos (42%) y los errores de software (30%). Las empresas que experimentaron pérdidas de ingresos en España por estos incidentes, tuvieron un promedio de pérdida del 2,6% de ingresos.

El informe destaca también la preocupación por la falta de talento especializado en ciberseguridad. En concreto, en España el 87% de empresas creen que hay problemas con el talento disponible, y el 46% de los responsables de seguridad en el país cree que la oferta que hay de profesionales no cuenta con las habilidades técnicas necesarias para cubrir sus demandas. No obstante, la preocupación en este sentido es menor que en Estados Unidos, donde opinan así un 64% de las empresas.

Las empresas españolas utilizan de media nueve soluciones de ciberseguridad, con un 36% de superposición de funciones. Esto da más interés a la consolidación de herramientas para reducir costes y optimización. Un 88% de las compañías del país, por otra parte, tienen planes de aumentar su inversión en ciberseguridad en los próximos 12 meses. Para todas ellas, la ingeniería social (46%) y el ransomware y la extorsión (37%) serán las mayores amenazas de ciberseguridad en el próximo año.

Por otra parte, a nivel global, un 27% de empresas da prioridad a la mejora de las habilidades de cibserseguridad, y un 22% a la automatización de los flujos de trabajo. Otro 22% se la otorga a que los equipos de ingeniería asuman un papel activo en la seguridad del software.

Pero en general hay consenso sobre la importancia de la ciberseguridad, en un 76% de los encuestado especialmente para cubrir los requisitos de cumplimiento, y para un 74% para facilitar un entorno seguro que active la productividad y la innovación. Solo un 33% cree que el presupuesto destinado a ciberseguridad se podría emplear mejor en otras áreas.

Además, un 33% de responsables de ciberseguridad esperan que el CISO tenga una comprensión integral de todas las áreas de TI, y otro 26% quieren que estos profesionales sean considerados fundamentales para la protección de la empresa.