Los ataques cibernéticos globales continúan aumentando en 2024, con el número promedio de ataques cibernéticos por organización por semana alcanzando los 1,308 en el primer trimestre de 2024. Esto representa un aumento del 28% con respecto al último trimestre de 2023 y un aumento del 5% respecto al año anterior.

A medida que el número aumenta, también aumentan los costos de estos ataques. Las pérdidas por delitos cibernéticos aumentaron a un récord de $12.8 mil millones en 2023 y se espera que alcancen los $23.84 billones para 2027.

Entender el panorama de amenazas en evolución puede ayudarte a proteger tu organización de ataques costosos y de la recuperación.

Hemos compilado una lista de más de 130 estadísticas de ciberseguridad que subrayan la importancia de un fuerte programa de gestión de riesgos y una postura de seguridad, particularmente para pequeñas empresas e industria de la salud. Lee para aprender sobre tendencias de delitos cibernéticos, ataques recientes y amenazas en evolución.

Estadísticas de delitos cibernéticos

Las personas y las organizaciones están cada vez más expuestas a los delitos cibernéticos. Echa un vistazo a estas estadísticas para tener una mejor idea del impacto global de los delitos cibernéticos.

1. En 2023, el Centro de Denuncias de Delitos en Internet (IC3) de los Estados Unidos recibió 880,418 denuncias, un número récord de denuncias del público estadounidense y un aumento de casi el 10% en comparación con 2022. (FBI)

2. Las denuncias registradas en el IC3 en 2023 tuvieron pérdidas potenciales que superaron los $12.5 mil millones. Esto representa un aumento del 22% en las pérdidas sufridas en comparación con 2022. (FBI)

3. El tipo más común de delito cibernético reportado al IC3 en 2023 fue el phishing y la suplantación de identidad, que afectó a aproximadamente 298 mil individuos. (Statista)

4. Las personas mayores de 60 años representaron el mayor número de víctimas de delitos cibernéticos registrados en los Estados Unidos en 2023, con más de 104,068 denuncias. Los segundos más afectados fueron las personas entre 30 y 39 años, con más de 88 mil denuncias. (Statista)

5. El 39% de los consumidores a nivel mundial fueron víctimas de un delito cibernético en 2022. (Norton)

6. Se estima que 463 millones de adultos en 8 países experimentaron un delito cibernético en los últimos 12 meses. (Norton)

7. Los consumidores globales que experimentaron un delito cibernético en 2022 pasaron más de 3.5 mil millones de horas resolviendo problemas causados por el delito cibernético. (Norton)

8. El 54% de las víctimas de delitos cibernéticos en 2022 experimentaron una pérdida financiera como resultado del delito cibernético. (Norton)

9. Los esquemas de phishing fueron el tipo de delito número uno reportado al Centro de Quejas de Delitos en Internet del FBI en 2022, con 300,497 quejas. (FBI)

10. Se prevé que el cibercrimen global costará al mundo $10,5 billones anuales para 2025. (Cybersecurity Ventures)

Estadísticas de riesgo cibernético

A medida que los actores de amenazas se vuelven más sofisticados y las superficies de ataque de las organizaciones continúan aumentando, la gestión del riesgo cibernético plantea un desafío creciente para las organizaciones. Siga leyendo para descubrir cómo las organizaciones están pensando en el riesgo cibernético.

11. Mitigar el riesgo cibernético es una de las principales prioridades para los ejecutivos de negocios y tecnología en 2024, sólo superado por los riesgos digitales y tecnológicos. (PwC)

12. El 41% de las organizaciones han experimentado tres o más eventos de riesgo crítico en los últimos 12 meses. (Forrester)

13. El 58% de las organizaciones consideran su exposición a ciberataques alta o muy alta. (Hiscox)

14. Más de la mitad de las organizaciones que sufrieron un ciberataque el año pasado (55%) ven el ciberespacio como un área de alto riesgo. Entre los no víctimas, la cifra es solo del 36%. (Hiscox)

15. El 41% de las organizaciones atacadas el año pasado dicen que su exposición al riesgo ha aumentado. (Hiscox)

16. A medida que la complejidad de los entornos de TI continúa aumentando, las organizaciones están integrando un mayor número de soluciones de ciberseguridad para gestionar el riesgo. En promedio, las empresas ya tienen 53 soluciones de seguridad en uso en toda su organización. El 21% reporta más de 76 soluciones en su pila cibernética. (Pentera)

17. Más de tres de cada cinco organizaciones (62%) están de acuerdo en que su negocio es más vulnerable a los ataques con más empleados trabajando desde casa. (Hiscox)

18. El 54% de los ejecutivos de negocios y tecnología citan la nube como su riesgo de ciberseguridad más apremiante en 2024. (PwC)

19. Casi todas las organizaciones —97%— tienen brechas en su plan de gestión de riesgos en la nube. (PwC)

20. La continuidad del negocio (67%) y el daño reputacional (65%) preocupan a los líderes de las organizaciones más que cualquier otro riesgo cibernético. (Foro Económico Mundial)

21. El 43% de los CISOs que informaron una brecha informaron tiempo de inactividad no planificado como resultado, convirtiendo la continuidad del negocio en el mayor riesgo de un ciberataque. (Pentera)

22. Los líderes de las organizaciones dijeron que la inteligencia artificial (IA) y el aprendizaje automático (20%), una mayor adopción de la tecnología en la nube (19%) y los avances en la gestión de identidades y accesos de usuarios (15%) tendrán la mayor influencia en sus estrategias de riesgo cibernético en los próximos dos años. (Foro Económico Mundial)

23. Más de dos tercios de los ejecutivos de negocios y tecnología (69%) dicen que utilizarán IA generativa para la ciberdefensa en los próximos 12 meses. (PwC)

24. El 73% de los líderes de organizaciones están de acuerdo en que las regulaciones cibernéticas y de privacidad son efectivas para reducir los riesgos cibernéticos de sus organizaciones en 2023. Este es un aumento notable respecto al 39% que estuvo de acuerdo con la misma afirmación en 2022. (Foro Económico Mundial)

Estadísticas de amenazas internas de ciberseguridad

El mayor riesgo de ciberseguridad para la mayoría de las empresas son las personas, no la tecnología. Infórmese sobre el costo y el impacto de las amenazas internas y cómo están respondiendo las organizaciones.

25. El 74% de las organizaciones dicen que son moderadamente a extremadamente vulnerables a las amenazas internas. (Cybersecurity Insiders)

26. El 76% de las organizaciones informaron ataques internos en 2024, un aumento del 66% en 2019. (Securonix)

27. El 74% de las organizaciones dicen que los ataques internos se han vuelto más frecuentes. (Cybersecurity Insiders)

28. Si bien el 76% de las organizaciones han detectado un aumento en la actividad de amenazas internas en los últimos cinco años, menos del 30% creen que cuentan con las herramientas adecuadas para manejarlas. (Securonix)

29. Más de la mitad de las organizaciones han experimentado una amenaza interna en el último año. El 8% de las organizaciones han experimentado más de 20 en el último año. (Cybersecurity Insiders)

30. Cuando se pidió a los profesionales de ciberseguridad que priorizaran los efectos más críticos de los ataques internos, las tres respuestas principales fueron:

• Pérdida de datos críticos (45%)
• Daño a la marca (43%)
• Disrupción u operación interrumpida (41%). (Cybersecurity Insiders)

31. El 22% de los profesionales de ciberseguridad dijeron que el incumplimiento de las regulaciones era uno de los efectos más críticos de la amenaza interna en su organización. (Cybersecurity Insiders)

32. El 68% de los profesionales de ciberseguridad están preocupados o muy preocupados por el riesgo interno a medida que sus organizaciones regresan a la oficina o realizan la transición al trabajo híbrido. (Cybersecurity Insiders)

33. El 90% de los profesionales de ciberseguridad dijo que es igual o más difícil detectar y prevenir ataques internos en comparación con ataques cibernéticos externos. (Securonix)

34. Cuando se les preguntó qué tipo de amenaza interna les preocupaba más, el 71% de los profesionales de ciberseguridad dijeron cuentas/máquinas comprometidas, seguidas de filtraciones/pérdidas de datos accidentales (66%) y violaciones de datos negligentes (64%). (Cybersecurity Insiders)

35. Una encuesta de Gartner realizada en mayo y junio de 2022 entre 1,310 empleados reveló que el 69% de los empleados han pasado por alto la orientación de ciberseguridad de su organización en los últimos 12 meses. (Gartner)

36. El 74% de los empleados dicen que estarían dispuestos a pasar por alto la orientación de ciberseguridad si les ayudara a ellos o a su equipo a lograr un objetivo empresarial. (Gartner)

37. Más del 90% de los empleados que admitieron realizar una variedad de acciones inseguras durante las actividades laborales sabían que sus acciones aumentarían el riesgo para la organización, pero lo hicieron de todos modos. (Gartner)

38. Mientras que el 66% de las organizaciones se sienten vulnerables a los ataques internos, el 41% de las organizaciones solo han implementado parcialmente programas de amenazas internas, lo que indica una falta de monitoreo de actividades integral y gestión avanzada de amenazas. (Securonix)

39. Se espera que la mitad de las medianas y grandes empresas adopten programas formales para gestionar el riesgo interno para 2025, frente al 10% actual. (Gartner)

40. El 39% de las organizaciones ya tienen establecido un programa de amenazas internas. (Cybersecurity Insiders)

41. El 46% de las organizaciones están planeando establecer un programa de amenazas internas, pero el período de tiempo varía. El 13% dijo que dentro de los próximos seis meses o un año, respectivamente. El 15% dijo que dentro de dos años y el 5% dijo que en más de dos años. (Cybersecurity Insiders)

42. El 56% de los incidentes relacionados con internos experimentados por las organizaciones en un estudio de 12 meses realizado por el Instituto Ponemon se debieron a negligencia, y el costo anual promedio para remediar el incidente fue de $6.6 millones. (Proofpoint and Ponemon Institute)

43. En promedio, las organizaciones están gastando un total de $15.38 millones en actividades para resolver amenazas internas durante un período de 12 meses. (Proofpoint and Ponemon Institute)

44. El tiempo para contener un incidente de amenaza interna aumentó de 77 días en 2016 a 85 días en 2022, lo que lleva a las organizaciones a gastar más en la contención. (Proofpoint and Ponemon Institute)

45. El 53% de los profesionales de ciberseguridad dicen que detectar ataques internos se ha vuelto algo o significativamente más difícil en la nube. (Cybersecurity Insiders)

46. En 2022, el 67% de las empresas reportaron experimentar entre 21 y más de 40 incidentes de seguridad internos por año. Esto es un aumento del 60% en 2020. (Proofpoint and Ponemon Institute)

Estadísticas de ataques cibernéticos

Los ciberataques continúan dominando los titulares. Descubra qué tipos de ataques su organización debe esperar y para qué debe prepararse.

47. Por cuarto año consecutivo, los ciberataques fueron reportados como la principal causa de interrupciones en las organizaciones. (Veeam)

48. En 2023, los incidentes de ransomware continuaron siendo impactantes y costosos. Después de una breve disminución en 2022, los incidentes de ransomware volvieron a aumentar con más de 2,825 quejas. Esto representa un incremento del 18% con respecto a 2022. (FBI)

49. En el primer trimestre de 2024, el sector manufacturero fue el más afectado globalmente por ataques de ransomware, representando el 29% de los ataques publicados y teniendo casi el doble de la cantidad de ataques reportados año tras año. (Checkpoint Research)

50. Las pérdidas reportadas por incidentes de ransomware aumentaron un 74%, de $34.3 millones a $59.6 millones. (FBI)

51. El costo promedio de un ataque aumentó 29% en 2022, a poco menos de $17,000. (Hiscox)

52. El 91% de los líderes empresariales y cibernéticos dicen que creen que un evento cibernético catastrófico de gran alcance es "al menos algo probable en los próximos dos años" debido a la inestabilidad geopolítica global. (World Economic Forum)

53. El 10% de los líderes empresariales y el 13% de los líderes cibernéticos sienten que les faltan personas y habilidades críticas necesarias para responder y recuperarse de un ciberataque. (World Economic Forum)

54. Gartner predice que para 2025, la falta de talento o el error humano serán responsables de más de la mitad de los incidentes cibernéticos significativos. (Gartner)

55. El 53% de las empresas informan de una disminución o estancamiento en los presupuestos de seguridad informática para 2024. Esto es una gran desviación de la perspectiva de 2023 en la que el 92% de las empresas proyectaron un aumento en sus presupuestos de seguridad informática. (Pentera)

56. Cuando se les preguntó cuánto gastan en su seguridad en 2023, los encuestados reportaron un presupuesto promedio de $1.27 millones para seguridad informática. (Pentera)

57. Las organizaciones que experimentaron 30 o más ataques en el último año tenían presupuestos promedio de ciberseguridad de $10 millones o más. (Hiscox)

58. Las empresas estadounidenses que informaron sobre un ciberataque aumentaron drásticamente (+7%) en 2022, mientras que los ataques que costaron $25,000 o más también aumentaron, del 34% al 40%. (Hiscox)

59. Los ataques de Denegación de Servicio (DoS) representaron el 46% del total de incidentes en un análisis de 23,896 incidentes en 2022 por Verizon. (Verizon)

60. Los ataques de ransomware alcanzaron un máximo histórico en marzo de 2023, con 459 ataques registrados. Esto representa un aumento del 91% mes a mes y un aumento del 62% año tras año. (NCC Group)

61. En un estudio de 12 meses por Microsoft, el 76% de las organizaciones que sufrieron ataques de ransomware carecían de un plan de respuesta efectivo, impidiendo una preparación adecuada para la crisis organizacional e impactando negativamente el tiempo de respuesta y recuperación. (Microsoft Digital Defense Report)

62. Cuando se les preguntó cómo priorizan la remediación dentro de sus organizaciones, solo el 34% de los CISOs consideraron el impacto en el negocio como una prioridad para guiar su estrategia de remediación. (Pentera)

63. En un estudio de 2022 de CrowdStrike, hubo un aumento del 20% en el número de adversarios que realizan campañas de robo y extorsión de datos sin desplegar ransomware. (Crowdstrike)

64. El número de víctimas de ransomware en 2023 fue el doble que en 2022. (Delinea)

Estadísticas de brechas de ciberseguridad

A medida que aumentan los ciberataques, también lo hace el número de ataques que resultan en la pérdida o compromiso de datos. Descubra cuáles son las principales causas de las brechas de datos.

65. Para las organizaciones de EE. UU., las violaciones de datos están ahora en su punto más alto. Solo en los primeros nueve meses de 2023, las violaciones de datos en EE. UU. ya han aumentado casi un 20 % en comparación con todo 2022. (Apple)

66. En el Informe de Encuesta sobre el Estado de las Pruebas de Pentesting 2024 de Pentera, el 51 % de las empresas informaron una brecha en los últimos 24 meses. (Pentera)

67. El 93 % de los CISOs que informaron una brecha citaron un impacto en la confidencialidad, integridad y/o disponibilidad de su entorno de TI, mientras que solo el 7 % informó que no hubo un impacto significativo como resultado de la brecha. (Pentera)

68. La proporción de empresas que han experimentado una violación de datos de más de USD $1 millón ha aumentado significativamente, del 27 % en 2023 al 36 % en 2024. (PwC)

69. A medida que aumenta el tamaño de la empresa, también aumenta el costo promedio de su brecha más dañina. Las empresas con más de $10 mil millones informan brechas de $7.2 millones, mientras que aquellas con menos de $1 mil millones informan $1.9 millones en daños. (PwC)

70. En un análisis de aproximadamente 24,000 incidentes de seguridad, más de 5,000 de los cuales fueron violaciones de datos confirmadas, casi tres de cada cuatro violaciones (73 %) se atribuyeron a fuentes externas. (Verizon)

71. Los actores externos son consistentemente más propensos a causar violaciones de datos que los actores internos, con el 80 % de las violaciones siendo causadas por actores externos en un análisis de Verizon. (Verizon)

72. En 2022, el 82 % de las violaciones involucraron el elemento humano. Las causas incluyeron el uso de credenciales robadas, phishing, uso indebido y error humano. (Verizon)

73. Más del 30 % de las violaciones de datos en 2022 involucraron algún tipo de malware. El ransomware estuvo presente en casi el 70 % de esas violaciones de malware. (Verizon)

74. El 54 % de las organizaciones informaron haber experimentado una violación de datos causada por uno de sus terceros en los últimos 12 meses. (RiskRecon y Ponemon Institute)

Estadísticas de ciberseguridad en el sector sanitario

La sanidad es una de las industrias más atacadas por los actores de amenazas. Echa un vistazo a algunas de las amenazas más prevalentes contra este sector a continuación.

75. La industria sanitaria es una de las más violadas, ocupando el primer lugar en el informe de Perspectiva de Violaciones de Datos de Kroll de 2022 y el segundo lugar en el informe de 2023. (Kroll)

76. El costo promedio global de un ciberataque dañino se informó en $4.4 millones, mientras que en el sector de la salud ese costo fue un 25% más alto en $5.3 millones. (PwC)

77. Casi la mitad (47%) de los encuestados de todas las organizaciones de salud informaron una violación de datos de $1M o más. (PwC)

78. En 2022, el 89% de las organizaciones de salud experimentaron un promedio de 43 ataques en los últimos 12 meses, lo que equivale a casi un ataque por semana. (Proofpoint y Ponemon Institute)

79. De las 1,193 quejas que IC3 recibió de organizaciones pertenecientes a un sector de infraestructura crítica que fueron afectadas por un ataque de ransomware, el sector de atención médica y salud pública fue el más alto con 249 quejas (o el 21% del total). (FBI)

80. De los cuatro tipos de ataques más comunes contra organizaciones de salud, el ransomware es el más probable que tenga un impacto negativo en la atención al paciente. En 2022, causó retrasos en los procedimientos o pruebas en el 64% de las organizaciones y estancias más largas para los pacientes en el 59% de ellas. (Proofpoint y Ponemon Institute)

81. El 72% de los profesionales de TI y seguridad de salud creen que sus organizaciones son vulnerables a un ataque de ransomware, y el 60% dice que este es el tipo de ataque que más les preocupa. (Proofpoint y Ponemon Institute)

82. La compromisión del correo electrónico (37%) y el ransomware (34%) fueron los dos tipos de incidentes más comunes que apuntaron a la industria de la salud en 2023 según los investigadores de Kroll. (Kroll)

83. En 2022, el 56% de las organizaciones de salud informaron haber experimentado uno o más ciberataques en los últimos 24 meses que involucraron dispositivos IoMT/IoT. Entre ellos, el 58% promedió 9 o más ciberataques durante ese tiempo. (Cynerio y Ponemon Institute)

84. El 64% de las organizaciones de salud están preocupadas por la seguridad de los dispositivos médicos, pero solo el 51% los incluye en su estrategia de ciberseguridad. (Proofpoint y Ponemon Institute)

85. El 45% de las organizaciones de salud que experimentaron al menos un ciberataque en 2022 informaron impactos adversos en la atención al paciente, y el 53% de ellos informaron impactos adversos que resultaron en tasas de mortalidad más altas. (Cynerio y Ponemon Institute)

86. El 53% de los profesionales de TI y seguridad de la salud dijeron que la falta de experiencia interna es un desafío y el 46% dijo que les falta personal suficiente, lo que afecta negativamente su postura de ciberseguridad. (Proofpoint y Ponemon Institute)

87. La salud es la industria más probable de auto-reportar como teniendo seguridad muy madura. Solo el 3% de los encuestados de salud dijo que no confía en la capacidad de su organización para defenderse de la mayoría de los ciberataques. (Kroll)

88. El 49% de los encuestados de salud calificaron su ciberseguridad general como muy madura, más que cualquier otro sector y 16 puntos porcentuales por encima del promedio de la encuesta. (Kroll)

89. A pesar de tener una confianza por encima del promedio, el 26% de las empresas de salud se clasifican como de baja madurez cibernética, y la salud tiene un mal rendimiento en comparación con otros sectores que obtuvieron altas puntuaciones por seguridad auto-reportada. Esto refleja una desconexión preocupante entre lo maduras que las organizaciones creen que son y lo maduras que realmente son. (Kroll)

90. Al responder a un ciberataque, la pérdida de productividad es el costo más alto incurrido por las organizaciones de atención médica, con un promedio de $1.1 millones. (Proofpoint y Ponemon Institute)

91. Al ser preguntados sobre las principales prioridades de inversión en ciberseguridad para los próximos 12 meses, el 42% de los líderes empresariales mencionaron mejoras continuas en la postura de riesgo basada en la hoja de ruta cibernética. (PwC)

Estadísticas de ciberseguridad para pequeñas empresas

Las pequeñas empresas también son un objetivo común para los actores de amenazas. Descubre las tendencias, actitudes y comportamientos comunes en ciberseguridad para este tipo de empresas a continuación.

92. Los ciberataques cuestan a las pequeñas empresas de EE. UU. más de $8,000 anualmente. (Hiscox)

93. Aunque el costo medio de los ciberataques para una empresa en un año ha disminuido de $10,000 en 2022 a $8,300 en 2023, el número medio de ataques ha aumentado de 3 a 4. (Hiscox)

94. Las pequeñas empresas tienen tres veces más probabilidades de ser atacadas por ciberdelincuentes que las grandes empresas. (Barracuda)

95. Los propietarios de pequeñas empresas se están volviendo más inteligentes, pero también los ciberdelincuentes. Aunque el 63% de las pequeñas empresas en EE. UU. son intermedios en ciberseguridad y el 4% son expertos en ciberseguridad cuando se trata de defenderse y evitar incidentes cibernéticos, casi la mitad (41%) ha experimentado un ciberataque durante el último año. (Hiscox)

96. La mitad de las organizaciones más pequeñas por ingresos dicen que no tienen o no están seguras de tener las habilidades necesarias para cumplir con sus objetivos cibernéticos. (World Economic Forum)

97. El 90% de las pequeñas y medianas empresas (SMEs) que experimentaron un incidente grave dijeron que el ataque cibernético les costó más de lo que pensaban. (Cowbell)

98. Las pequeñas empresas de EE. UU. pagaron más de $16,000 en rescates durante los últimos 12 meses. De las empresas que pagaron rescates, solo la mitad (50%) recuperó todos sus datos y la otra mitad (50%) se vio obligada a reconstruir los sistemas. Más de una cuarta parte de las empresas (27%) que pagaron rescates fueron atacadas nuevamente y el 27% fueron solicitadas a pagar más dinero por el atacante. (Hiscox)

99. El 81% de las SMEs que experimentaron un incidente cibernético dijeron haber visto una disminución generalizada en la confianza del cliente. (Cowbell)

100. Las empresas con 10 a 49 empleados vieron un aumento casi cuádruple en el número promedio de ciberataques en 2022. (Hiscox)

101. El costo de los delitos cibernéticos para las pequeñas empresas alcanzó los $2.4 mil millones en 2021. (FBI)

102. Las empresas con ingresos de $100,000 a $500,000 ahora pueden esperar tantos ciberataques como aquellas que ganan $1 millón a $9 millones anualmente. (Hiscox)

103. Las empresas con 10 a 49 empleados disminuyeron sus presupuestos de ciberseguridad en 2022 casi a la mitad, de $411,000 a $225,000. (Hiscox)

104. Solo el 55% de los líderes de SMEs se sienten muy confiados en que están preparados para un ciberataque. (Cowbell)

105. Las PYME con una estrategia de ciberseguridad eran casi 2 veces más propensas a recuperarse rápidamente de un ciberataque en comparación con aquellas sin una estrategia de ciberseguridad. (Cowbell)

106. Las organizaciones más pequeñas con menos de 1,000 empleados tenían menos probabilidades de reportar incidentes en los que fueron afectados negativamente por un incidente cibernético originado en sus proveedores, prestadores de servicios o socios comerciales (25%) en comparación con las organizaciones más grandes con más de 1,000 empleados (39%). (Foro Económico Mundial)

107. El 41% de las pequeñas empresas encuestadas no utilizan sistemas de recuperación y restauración de respaldo de datos. (Hiscox)

Estadísticas de ciberresiliencia

La ciberresiliencia se refiere a la capacidad de una organización para anticipar, soportar, recuperarse y adaptarse a ataques y condiciones adversas que impactan sus recursos cibernéticos. Lea cómo los líderes empresariales están pensando y construyendo ciberresiliencia.

108. El número de organizaciones que mantienen una ciberresiliencia viable mínima bajó un 30% en 2024. (Foro Económico Mundial)

109. Más del doble de PYME en comparación con las organizaciones más grandes dicen que carecen de la ciberresiliencia para cumplir con sus requisitos operativos críticos. (Foro Económico Mundial)

110. El 52% de las organizaciones públicas afirman que la falta de recursos y habilidades es su mayor desafío al diseñar para la ciberresiliencia. (Foro Económico Mundial)

111. El 32% de los ejecutivos de negocios y tecnología dijeron que los requisitos regulatorios para la resiliencia operativa tendrán el mayor impacto en el crecimiento futuro de los ingresos de sus organizaciones. (PwC)

112. El 95% de los ejecutivos de negocios y el 93% de los ejecutivos de ciberseguridad están de acuerdo en que la ciberresiliencia está integrada en las estrategias de gestión de riesgos empresariales de sus organizaciones. (Foro Económico Mundial)

113. Más de un tercio de las empresas no han instituido esfuerzos de gestión de riesgos, y solo una de cada cuatro ha realizado mejoras en la ciberresiliencia en 2024. (PwC)

114. El 76% de los líderes empresariales y el 70% de los líderes de ciberseguridad están de acuerdo en que tener una aplicación más efectiva de los requisitos regulatorios en su sector aumentaría la ciberresiliencia de sus organizaciones. (Foro Económico Mundial)

115. Casi la mitad (42%) de las empresas que fueron víctimas de ciberataques en 2023 implementaron requisitos adicionales de ciberseguridad y auditoría debido a los ataques que enfrentaron. (Hiscox)

116. El 56% de los líderes de organizaciones confían en que su organización es ciberresiliente. (Foro Económico Mundial)

117. El 44% de los líderes informan que sus organizaciones no son ciberresilientes o que están preocupados por la capacidad de su organización para ser ciberresiliente. (Foro Económico Mundial)

118. El 54% de los líderes empresariales y el 61% de los líderes de ciberseguridad creen que sus organizaciones de terceros son ligeramente o mucho menos resilientes que sus propias organizaciones. (Foro Económico Mundial)

119. Las pequeñas y medianas empresas eran más propensas a considerar que sus terceros tenían capacidades de ciberresiliencia iguales (38%) que las organizaciones más grandes (23%). (Foro Económico Mundial)

120. Un tercio de todos los líderes cibernéticos aún clasifica la obtención de apoyo de la alta dirección como el aspecto más desafiante de gestionar la resiliencia cibernética. (Foro Económico Mundial)

Estadísticas de conciencia sobre ciberseguridad

Conocer los riesgos que usted y su organización enfrentan y actuar de manera responsable para evitarlos puede ayudar a mejorar la resiliencia cibernética. Eche un vistazo a las estadísticas de conciencia sobre ciberseguridad a continuación para ver cómo las personas y las organizaciones están pensando en la ciberseguridad y tomando medidas.

121. La conciencia de seguridad a menudo es percibida por las organizaciones como una tarea a tiempo parcial, con el 70% de los practicantes de conciencia de seguridad revelando que dedicaron la mitad o menos de su tiempo laboral a ella en 2023. (SANS Institute)

122. Solo el 14% de los practicantes de conciencia de seguridad dijeron que dedican el 90% o más de su tiempo laboral a la conciencia de seguridad. (SANS Institute)

123. El 75% de los encuestados dijeron que sí tenían un presupuesto para la conciencia de seguridad. Sin embargo, solo el 25% sabía cuál era su presupuesto. (SANS Institute)

124. Más del 39% de los líderes de las organizaciones están de acuerdo en que 'la ciberseguridad es un habilitador clave para los negocios.' (Foro Económico Mundial)

125. Más de la mitad (56%) de los líderes cibernéticos se reúnen con líderes empresariales mensualmente, o con más frecuencia, para discutir temas enfocados en cibernética. (Foro Económico Mundial)

126. El 69% de las organizaciones dicen que los principales ejecutivos tienen una visión clara de cómo se está gestionando la ciberseguridad. (Hiscox)

127. El 59% de las pequeñas empresas encuestadas no utilizan capacitación en conciencia de seguridad. (Hiscox)

128. El 65% de los profesionales de TI dijeron que sus programas de capacitación en conciencia de ciberseguridad necesitan expansión. (ThriveDX)

129. Cuando se les preguntó cómo habían respondido a los ciberataques, el 39% de los expertos dijeron que intensificaron la capacitación de los empleados (39%). (Hiscox)

130. En 2022, el 97% de las organizaciones informaron haber implementado algún tipo de medidas de capacitación en conciencia de ciberseguridad el año pasado. (ThriveDX)

131. Como resultado de los esfuerzos de conciencia de los empleados, el 19% de las organizaciones informaron una mejor conciencia y el 14% mayor vigilancia. (ThriveDX)

Cómo protegerse contra los ciberataques

A continuación se presentan las mejores prácticas que pueden ayudarle a proteger a su organización contra los ciberataques.

1. Cumpla con los estándares y regulaciones de seguridad y cumplimiento

Adherirse a las directrices regulatorias y estándares de la industria como SOC 2 y HIPAA no solo puede ayudarle a evitar multas y sanciones, sino que también puede ayudarle a establecer fuertes controles de seguridad internos y procesos de seguridad sostenibles que reduzcan la probabilidad de ciberataques.

Las actividades de cumplimiento, como evaluaciones de riesgos y capacitación en concienciación sobre seguridad, por ejemplo, ayudan a las organizaciones a mantenerse al tanto de los riesgos empresariales críticos, identificar redundancias en su software y procedimientos, y asegurar que su personal esté debidamente capacitado para proteger la información sensible.

2. Identificar y priorizar riesgos

Existen muchos métodos para identificar y priorizar riesgos. Uno de los más populares es desarrollar indicadores clave de riesgo (KRI).

Los KRI son una forma de rastrear proactivamente los tipos de riesgos más importantes que podrían poner en peligro los objetivos y prioridades principales de su negocio. Al establecer KRI y establecer valores de tolerancia para rastrear cada riesgo, los KRI pueden servir como señales de advertencia temprana de crisis inminentes y proporcionar a su organización el tiempo suficiente para mitigar el impacto potencial de ese riesgo o prevenirlo.

Otro método popular es utilizar una matriz de riesgos. Para crear una matriz de riesgos, debe comparar la probabilidad de un riesgo potencial con el impacto que su empresa enfrentaría si ese riesgo ocurre. Por ejemplo, un riesgo de alta prioridad sería un huracán entrante que se espera que cause cortes de energía y altere las operaciones comerciales.

No importa qué método elija, priorizar los riesgos que representan la mayor amenaza para su organización puede permitirle enfocar el tiempo y los recursos de su equipo para minimizar su impacto.

3. Crear un plan de gestión de riesgos

Una vez que haya identificado los mayores riesgos que enfrenta su negocio, puede crear un plan para cómo gestionarlos.

Un plan de gestión de riesgos debe documentar el proceso de su organización para identificar, analizar y mitigar riesgos regularmente. También debe listar roles y responsabilidades claras para los miembros del equipo con el fin de rastrear riesgos potenciales y abordarlos si llegaran a ocurrir.

4. Educar a los empleados

Las personas continúan siendo una de las mayores amenazas contra una organización. Capacitar de manera efectiva a su fuerza laboral en las mejores prácticas de seguridad y privacidad puede ayudar a reducir la probabilidad de incidentes de seguridad causados por errores humanos.

Idealmente, su programa de capacitación para la fuerza laboral incluirá métodos de capacitación interactivos como cuestionarios, demostraciones y escenarios de seguridad física simulados. También debe incluir capacitación para todos los nuevos empleados durante la incorporación y capacitación continua en el trabajo.

5. Desarrollar y mantener una política de seguridad de la información

Las políticas también pueden ayudar a garantizar que los empleados comprendan y sigan las mejores prácticas de seguridad y privacidad para proteger a su organización. Su organización probablemente tendrá docenas, incluyendo una política de control de acceso, política de gestión de proveedores y más. Una de las más importantes es una política de seguridad de la información.

Una política de seguridad de la información es un conjunto de reglas y pautas que definen cómo una organización gestiona y protege sus activos de información, incluidos sus datos, sistemas y redes. Describe los objetivos, metas y responsabilidades para salvaguardar la información contra el acceso, uso, divulgación, interrupción, modificación o destrucción no autorizados.

Debe ser distribuida a los empleados para su revisión y actualizada al menos anualmente para mantenerse al día con el entorno empresarial, las tecnologías y los requisitos regulatorios de su organización a medida que cambien.

5. Desarrollar y mantener un plan de respuesta a incidentes y recuperación ante desastres

Un plan de respuesta a incidentes y recuperación ante desastres son otras políticas importantes que pueden ayudar a mejorar las capacidades de seguridad de la información de su organización y promover una cultura de seguridad. Un plan de respuesta a incidentes puede ayudarlo a responder a incidentes de seguridad más rápidamente y minimizar su impacto y costos, mientras que un plan de recuperación ante desastres puede ayudarlo a recuperar y restaurar sistemas críticos, operaciones y datos para asegurar que su organización regrese a su funcionalidad completa después de un incidente.

Al igual que una política de seguridad de la información, estos deben ser distribuidos a los empleados para su revisión y actualizados al menos anualmente.

6. Usar monitoreo continuo

El monitoreo continuo es una práctica de ciberseguridad que involucra la supervisión y análisis continuos de la infraestructura de TI, sistemas y aplicaciones de una organización para detectar posibles amenazas de seguridad y vulnerabilidades.

Esto puede ayudarlo a detectar amenazas en tiempo real, responder a vulnerabilidades e incidentes de seguridad de manera más rápida y eficiente, y mantener el cumplimiento con los requisitos regulatorios.

Cómo Secureframe puede ayudar a los esfuerzos de ciberseguridad de su organización

Defender a su organización de los ciberataques mientras navega por un panorama de amenazas y cumplimiento cada vez más complejo es difícil, así que no lo haga solo.

Secureframe puede simplificar y agilizar sus esfuerzos de ciberseguridad. Podemos ayudarle a automatizar las evaluaciones de riesgos, reducir su riesgo de terceros, simplificar la gestión de políticas, acelerar la remediación en la nube y realizar una monitorización continua para buscar brechas en los controles de modo que pueda mantener un cumplimiento continuo. También podemos hacer que capacitar a su personal en las mejores prácticas de seguridad y privacidad sea fácil y automático.

Además, nuestro equipo de cumplimiento interno puede dar consejos personalizados basados en los riesgos únicos de su empresa y los requerimientos de la industria para mantenerlo seguro y en cumplimiento, incluso a medida que crece.

Cuando se les preguntó cómo les ayudó Secureframe a mejorar, el 81% de los encuestados en la encuesta de UserEvidence dijo que redujeron el riesgo de brechas de datos, y el 39% dijo que recortaron ese riesgo al menos a la mitad.

Para saber más sobre cómo Secureframe puede ayudarle a desarrollar un programa de ciberseguridad robusto y reducir el riesgo de ciberataques, solicite una demostración hoy mismo.

Sobre la encuesta de UserEvidence

Los datos sobre los usuarios de Secureframe se obtuvieron a través de una encuesta en línea realizada por UserEvidence en febrero de 2024. La encuesta incluyó respuestas de 44 usuarios de Secureframe (la mayoría de los cuales eran a nivel de gerentes o superiores) de las industrias de tecnología de la información, productos de consumo, industriales, financieros y de salud.