Qualys ha hecho público un nuevo informe en el que analiza las declaraciones de más de 100 líderes de TI y ciberseguridad de todo el mundo en torno a la gestión de riesgos. El estudio, denominado “The State of Cyber Risk 2025″, arroja un panorama complejo, con hallazgos clave como el hecho de que el 71% de las organizaciones declara que su exposición al riesgo cibernético se mantiene o ha aumentado, a pesar de los crecientes presupuestos dedicados a seguridad.
Según el estudio de Qualys, el 49% de las organizaciones encuestadas han implementado programas formales de gestión del riesgo. De ellos, el 43% tienen menos de dos años de antigüedad, lo que indica una cierta madurez en este mercado. Sin embargo, más de la mitad (el 51%) señalan que su exposición al riesgo está creciendo, mientras que sólo un 6% de ellas asegura haberlo reducido.
En cuanto a la gestión de activos, se trata de un elemento considerado como clave en la gestión de riesgos, como pone de manifiesto el hecho de que ocho de cada diez empresas (un 83%) realizan inventarios de forma periódica, aunque solo un 13% de ellas los ejecuta de manera continua. Por otro lado, casi la mitad (un 47%) depende aún de procesos manuales. Esta carencia de automatización hace que más del 40% identifique los inventarios incompletos como uno de los principales obstáculos para gestionar el riesgo.
En cuanto a las métricas de seguimiento, el 68% de las empresas analizadas ya integran factores como inteligencia de amenazas o estimación de pérdidas a la hora de priorizar riesgos. Pero casi un 20% continúa clasificando vulnerabilidades exclusivamente con puntuaciones técnicas como CVSS.
Comunicación del riesgo: aspecto clave
La comunicación con la dirección es una parte fundamental de la gestión de riesgos, ya que de ellos depende la aprobación de las políticas a seguir. Según el informe de Qualys, el 97% de las organizaciones consultadas reportan hallazgos de riesgo a la alta dirección. Los informes suelen incluir el nivel de riesgo organizacional (56%), el plan de ciberseguridad vigente (54%), amenazas críticas (48%) y riesgos cuantificados o puntuaciones de riesgo (42%). No obstante, apenas el 35% incorpora estimaciones del coste potencial para el negocio.
“El problema es de enfoque, no de tecnología”, explica Sumedh Thakar, CEO de Qualys. “Las juntas directivas ya no quieren dashboards: quieren respuestas claras sobre cuánto riesgo se está reduciendo y dónde deben enfocar sus esfuerzos; y, si no se comprende qué activos son críticos para el negocio, o qué vulnerabilidades afectan directamente a servicios clave, las inversiones seguirán sin ofrecer retorno”.
En este sentido, el informe concluye que el gran obstáculo no es la falta de herramientas, sino las carencias y retos a la hora de alinear las políticas de ciberseguridad con las prioridades del negocio, y recomienda evolucionar hacia escenarios integrados que expresen el riesgo en términos financieros para una toma de decisiones más alineada con el valor empresarial.
