Las empresas están mejor preparadas para hacer frente a amenazas cada vez más potentes. Esta es, en resumen, la evaluación que realiza el 9º barómetro de la ciberseguridad empresarial, realizado por Opinionway para Cesin, el Club de expertos en seguridad informática y digital. Basado en las respuestas de 456 miembros de la asociación (el 48% son grandes empresas y el 40%, empresas de mediana capitalización), la encuesta confirma el esfuerzo constante que realizan las organizaciones francesas para protegerse de las ciberamenazas: el 45% de ellas dedica el 5% o más de su presupuesto informático a la ciberseguridad, la misma proporción que un año antes.

Los CISOs encuestados se consideran bastante bien o muy bien protegidos, sobre todo en las fases upstream: el 76% de ellos afirma que su organización ha implementado medidas de prevención y protección adecuadas y una proporción similar considera satisfactorias las medidas de detección desplegadas. En este sentido, entre las soluciones consideradas como muy efectivas, el 61% de los encuestados destaca la autenticación multifactor (MFA), 8 puntos mejor que hace un año, y el 54% destaca los sistemas de detección y respuesta de endpoints (EDR), un salto de 9 puntos en un año. Dentro del panel encuestado, solo el 5% de las empresas aún no ha desplegado estas soluciones.

La formación en situaciones de crisis gana terreno

Junto a estas dos herramientas clave en la modernización de sus prácticas, los CIO están adoptando paulatinamente nuevas posturas de ciberseguridad, como la confianza cero, que implica no confiar a priori en ninguna actividad en la red. El concepto está implantado en una de cada cuatro empresas o administraciones y está previsto en un 51% adicional. El despliegue de un centro operativo de gestión de vulnerabilidades (VOC, por Vulnerability Operation Center) es efectivo o está previsto en una de cada dos empresas. Y el 45% de las organizaciones han desplegado o, en la mayoría de los casos, han iniciado el despliegue de Sase (Secure Access Service Edge), un concepto que adapta la ciberseguridad a las arquitecturas híbridas, incluida la nube.

Sólo el 8% de los CISO se consideran muy bien preparados para responder a una crisis cibernética y reconstruir el SI después de un ciberataque.

Aunque los CISOs confían en su nivel de preparación y protección, no confían tanto en su capacidad para reaccionar ante un ciberataque (el 61% se considera bastante o completamente preparado) y para reconstruir su sistema de información después de un ataque (el 51%). Si bien la proporción de empresas que realizan regularmente ejercicios de formación sobre cibercrisis está aumentando claramente (con un 28%, ha ganado 9 puntos en un año), la mayoría de los sistemas que han decidido reforzar en 2023 todavía se refieren a las fases previas, es decir, prevención, protección y detección. Sin embargo, Cesin cree que la entrada en vigor de Dora y, sobre todo, de NIS2 acelerará las inversiones de las organizaciones en su capacidad de reacción y reconstrucción ante un ciberataque. Aunque quedan dudas sobre el alcance de NIS2, el 58% de los miembros del club se muestran preocupados por la entrada en vigor del reglamento europeo.

DDoS: el regreso de la amenaza

La preparación ante las crisis es aún más importante porque, a pesar del fortalecimiento de las defensas, los ciberataques no disminuyen. El 49% de las empresas sufrieron un ataque con un impacto significativo en su negocio en 2023, un nivel muy inferior a los observados entre 2019 y 2021, pero superior al de 2022. Dos tercios de los CISO encuestados creen que el número de ciberataques se ha mantenido estable a lo largo de un año.

Cabe señalar, sin embargo, que los ataques DDoS han aumentado significativamente en un año (+11 puntos). Una de cada tres organizaciones ha sufrido al menos uno que no ha podido contrarrestar por completo. Como resultado, el 22% de los encuestados indica que su administración o empresa experimentó una indisponibilidad significativa de su sitio web en 2023, nuevamente un claro aumento en comparación con el año pasado.

Además:
- NIS2: ampliación del ámbito regulado en ciberseguridad