El respaldo de los equipos directivos a las políticas de ciberseguridad en la mediana empresa ha aumentado un 30% frente al ejercicio anterior, un aspecto considerado “indispensable” para alinear la estrategia de seguridad con los objetivos corporativos, de acuerdo con el “II Barómetro de la Ciberseguridad en la Mediana Empresa”, difundido este miércoles por Cylum, la unidad de servicios gestionados de Factum.
No obstante, esta mayor sensibilidad no se refleja todavía en un incremento equivalente del gasto, ya que el 70% de estas compañías asigna menos del 5% de su presupuesto de tecnología de la información (TI) a la protección de sus activos digitales. El documento apunta que, aunque el 60% de las empresas prevé elevar su inversión en ciberseguridad de aquí a 2026, aún hay un 10% que planea recortarla.
El estudio relaciona esta contención presupuestaria con el grado de madurez tecnológica. Así, cuatro de cada diez responsables de TI califican su capacidad de defensa como de “nivel intermedio”, lo que supone disponer de controles básicos pero sin procesos plenamente estructurados, lo que exige reforzar tanto la infraestructura como la formación especializada.
Barreras regulatorias y escasez de recursos
Entre los principales retos detectados por el barómetro figura el cumplimiento normativo. Un 62% de las medianas empresas reconoce dificultades para ajustarse a la regulación “clave” como el Reglamento General de Protección de Datos (RGPD) y la directiva NIS2.
De acuerdo con el 80% de los profesionales encuestados, los frenos más relevantes para cumplir con estas obligaciones son la “falta de recursos económicos y la escasez de personal cualificado”. Ante este contexto, los especialistas de Cylum aconsejan apoyarse en marcos de referencia internacionales como la ISO 27001 para “estandarizar la seguridad y minimizar el riesgo de sanciones”.
'Phising' y 'ransomware', riesgos predominantes
En lo relativo a las modalidades de ataque, los responsables de TI señalan el 'phising' y las técnicas de ingeniería social como las amenazas más habituales. A ellas se suma el 'ransomware', que continúa siendo una de las ciberamenazas más graves, junto con las vulnerabilidades en sistemas y aplicaciones derivadas de infraestructuras tecnológicas cada vez más complejas.
El director de operaciones y preventa de Cylum, David López, indica que los resultados del análisis ponen de manifiesto que “existe una creciente concienciación sobre los riesgos, pero muchas organizaciones tienen todavía dificultades para traducir esa preocupación en capacidades reales de defensa”.
El barómetro también refleja un giro en la forma de gestionar la seguridad: aumenta el peso de los partners especializados. En la actualidad, casi un tercio de las empresas (30%) trabaja con uno o dos proveedores expertos en ciberseguridad, mientras se reduce el número de organizaciones que dependían exclusivamente de equipos internos o de terceros sin especialización específica.