La ciberseguridad ha dejado de ser un asunto exclusivamente técnico para posicionarse en el corazón de las decisiones estratégicas de las empresas. Así lo constata la sexta edición del informe El estado de la ciberseguridad en España de Deloitte, que revela un avance notable en la implicación de la alta dirección y la formalización de estructuras de gobernanza. Sin embargo, también advierte de importantes lagunas en comprensión, ejecución y preparación ante incidentes.
Uno de los principales hallazgos del estudio es que, aunque el 59 % de las compañías cuenta con modelos de gobernanza actualizados, un preocupante 28 % sigue operando con estructuras poco definidas y un 13 % ni siquiera dispone de ellas. Además, apenas el 42 % ha establecido comités específicos para alinear ciberseguridad y negocio, lo que muestra que la integración aún no está al nivel requerido.
“La ciberseguridad se está convirtiendo en un eje estratégico, pero aún no se comprende ni se mide del todo su impacto real en el negocio”, destaca Deloitte en su análisis. Las nuevas normativas europeas, como NIS2 y DORA, están poniendo presión sobre la alta dirección, exigiendo una mayor rendición de cuentas. No obstante, el 26 % de los responsables de seguridad (CISO) cree que sus directivos aún no son plenamente conscientes de su responsabilidad legal en caso de incidentes.
Ciberseguridad en terceros, IA y resiliencia operativa
Otro de los puntos críticos del informe es la gestión de la ciberseguridad en terceros. Aunque el 71 % de los CISO los considera una de las mayores amenazas, solo el 29 % de las empresas se siente segura respecto a sus proveedores críticos y más de la mitad no utiliza herramientas específicas para gestionar estos riesgos.
Por su parte, la inteligencia artificial emerge como un arma de doble filo. Mientras que el 49 % de las empresas ya la aplica en sus procesos de ciberseguridad, más del 50 % no contempla medidas específicas para proteger estos nuevos sistemas. Deloitte advierte que el enfoque tradicional de ciberseguridad “ya no es suficiente” para abordar los riesgos derivados del uso de IA.
La resiliencia también se presenta como una asignatura pendiente. Aunque el 84 % de la alta dirección identifica la continuidad del negocio como una prioridad, solo un 10 % de las empresas es capaz de estimar los costes reales de un ciberataque y casi la mitad no ha probado su plan de recuperación ante desastres.
Más presupuesto, menos talento
Los presupuestos destinados a la ciberseguridad continúan creciendo, pero sin una visión clara sobre su retorno. El 28 % de los CISO considera que la alta dirección no entiende bien cómo se estructuran ni cómo medir la efectividad de estas inversiones. Además, el 40 % de las organizaciones desconoce cuánto tiempo tardarían en recuperarse tras una caída total de sus sistemas.
Finalmente, el informe pone el foco en un problema estructural: la escasez de talento especializado. La competencia internacional ha disparado la dificultad para atraer y retener perfiles cualificados, intensificando este reto en un 188 % con respecto al año anterior. Esta falta de profesionales impacta directamente en la capacidad de las empresas españolas para gestionar amenazas y desarrollar estrategias de seguridad sólidas.
Deloitte concluye que España avanza en la madurez de su ciberseguridad empresarial, pero aún enfrenta desafíos claves. La presión normativa, la sofisticación de las amenazas y el déficit de talento obligan a las organizaciones a replantearse sus estrategias y reforzar su resiliencia. El salto de lo reactivo a lo estratégico está en marcha, pero requiere de mayor conciencia, inversión efectiva y una apuesta decidida por el talento.
