Ciberseguridad: crecen las amenazas pese a mayores inversiones en seguridad
16 julio, 2025
La ciberseguridad continúa siendo una prioridad estratégica para las organizaciones, pero los esfuerzos no siempre se traducen en una disminución efectiva del riesgo. Así lo pone de manifiesto el último informe elaborado por Qualys en colaboración con la publicación Dark Reading, que recoge la opinión de más de un centenar de responsables de TI y seguridad en empresas de todo el mundo. Bajo el título “The State of Cyber Risk 2025”, el estudio revela un dato preocupante: el 71% de las organizaciones admite que su exposición al riesgo se ha mantenido o incluso ha aumentado, a pesar de haber incrementado el presupuesto destinado a protección.
La mayoría de las compañías ha iniciado algún tipo de estrategia formal para abordar la gestión del riesgo, pero muchas de ellas lo han hecho recientemente. Casi la mitad (49%) cuenta con programas establecidos, aunque un 43% de ellos tienen menos de dos años de vida. Esto indica un grado de maduración incipiente, insuficiente para frenar una amenaza cada vez más sofisticada y constante.
La propia evolución de los programas no ha logrado todavía revertir la tendencia. Más de la mitad de los encuestados (51%) afirman que su nivel de exposición sigue aumentando, frente a un escaso 6% que asegura haberlo reducido.
Para Sumedh Thakar, CEO de Qualys, “las juntas directivas ya no quieren dashboards: quieren respuestas claras sobre cuánto riesgo se está reduciendo y dónde deben enfocar sus esfuerzos”. En su opinión, la clave está en comprender qué activos son críticos y qué vulnerabilidades impactan directamente en el negocio: “Si eso no se entiende, las inversiones seguirán sin ofrecer retorno”.
Un nuevo estudio de Qualys alerta sobre una preocupante falta de alineación entre las políticas de ciberseguridad y los objetivos del negocio
El informe insiste en que el mayor reto no reside en la falta de soluciones tecnológicas, sino en la dificultad de conectar las políticas de ciberseguridad con los objetivos empresariales. Una de sus recomendaciones más claras es avanzar hacia modelos integrados que permitan expresar el riesgo en términos financieros, facilitando así la toma de decisiones a nivel ejecutivo.
Activos mal inventariados, métricas mal interpretadas
La gestión de activos sigue siendo una pieza clave, y también un cuello de botella. Aunque el 83% de las organizaciones afirma realizar inventarios periódicos, solo un 13% los hace de forma continua. Además, un 47% sigue dependiendo de procesos manuales, lo que no solo ralentiza la operativa, sino que también dificulta tener una visión precisa del entorno tecnológico. De hecho, un 40% de los encuestados reconoce que los inventarios incompletos son uno de los principales frenos para una gestión eficaz del riesgo.
En cuanto a las métricas, aunque el 68% de las organizaciones ya integran variables como inteligencia de amenazas o análisis de impacto, casi un 20% continúa clasificando vulnerabilidades únicamente en función de su puntuación técnica (CVSS), lo que impide establecer prioridades realistas desde el punto de vista del negocio.
Comunicar el riesgo: una asignatura aún pendiente
El estudio también destaca la importancia de traducir el lenguaje técnico al lenguaje del negocio. Aunque el 97% de las empresas afirma que informa a la alta dirección sobre el estado del riesgo, solo el 35% incluye estimaciones del impacto económico. Los informes más habituales recogen el nivel general de riesgo (56%), el plan de ciberseguridad (54%) o las amenazas críticas detectadas (48%), pero fallan en cuantificar cómo estos riesgos podrían afectar financieramente a la organización.
Fuente: https://revistabyte.es/actualidad-it/ciberseguridad-riesgo-gasto/
