Zscaler, Inc., empresa de seguridad en la nube, ha publicado los resultados de su última encuesta, The Ripple Effect: A Hallmark of Resilient Cybersecurity, que revela una creciente desconexión entre la confianza de las organizaciones en su postura de ciberresiliencia y su preparación real frente a amenazas externas cada vez más disruptivas.

En el caso de España, aunque el 85% de las empresas ha aumentado sus inversiones en ciberresiliencia durante el último año, el 50% admite que sus estrategias siguen estando demasiado enfocadas hacia adentro, defendiendo únicamente su propio perímetro. Esto las deja vulnerables frente a riesgos que proceden de proveedores, tecnologías emergentes como la inteligencia artificial (IA) o la computación cuántica, y la volatilidad del mercado.

“Las interrupciones ahora pueden originarse mucho más allá de los límites de una empresa. La verdadera resiliencia debe expandirse hacia afuera a través de capas de dependencia como partners, plataformas y cadenas de suministro,para absorber impactos externos antes de que desestabilicen las operaciones. Adoptar un enfoque ‘Resilient by Design’ permite integrar la capacidad de resistir escenarios inevitables de fallos o brechas”, asegura Pablo Vera, vicepresidente regional de Iberia en Zscaler.

Los riesgos externos superan los controles internos en España

Las empresas españolas se enfrentan a una combinación compleja de riesgos, incluidos ciberataques, cadenas de suministro cada vez más complejas, eventos geopolíticos impredecibles y rápidos avances en IA y computación cuántica. El 54% de los responsables de TI en España anticipa que en los próximos 12 meses se producirá una interrupción importante causada por un proveedor o tercero, mientras que el 57% ya ha experimentado un incidente de este tipo en el último año.

A pesar de ello, menos de la mitad de las organizaciones ha actualizado su estrategia de resiliencia para abordar específicamente las dependencias de terceros o la inestabilidad en sus cadenas de suministro. Solo el 31% considera que sus medidas actuales son altamente efectivas frente a la volatilidad de la cadena de suministro. En la región EMEA, esta cifra desciende al 30%.

Aunque las organizaciones están incrementando sus inversiones en resiliencia, la infraestructura obsoleta sigue siendo un obstáculo significativo. Un 72% de las empresas españolas aún depende de sistemas tradicionales como firewalls, VPN y modelos de seguridad basados en perímetro. El 56% afirma que su arquitectura actual de TI limita su capacidad para responder eficazmente a brechas, interrupciones y fallos.

IA, computación cuántica y soberanía de datos aumentan la incertidumbre

Los riesgos asociados a tecnologías emergentes también ponen a prueba la eficacia de las estrategias actuales de resiliencia en España. El 49% de los responsables de TI en España reconoce que sus sistemas de seguridad existentes no están preparados para hacer frente a amenazas avanzadas. Además, el 51% de las empresas que están implementando o probando tecnologías de IA autónoma (IA agéntica) carece de marcos sólidos de gobernanza.

El uso de “shadow AI” es otro punto crítico: el 61% de las organizaciones españolas no tiene visibilidad sobre estas prácticas, y el 46% teme la exposición de datos sensibles a través del uso de aplicaciones públicas de IA. En cuanto a la criptografía post-cuántica, el 49% aún no la ha incorporado en su estrategia de seguridad, pese a que el 52% reconoce que los datos robados hoy podrían verse comprometidos en los próximos 3 a 5 años.

La dependencia de tecnología extranjera también está influyendo en las políticas de soberanía digital. El 79% de los responsables de TI en España está evaluando su dependencia de proveedores tecnológicos extranjeros, y el 64% ha actualizado su estrategia de ciberresiliencia en el último año para cumplir con nuevas o cambiantes leyes de soberanía. Además, el 59% la actualizó en respuesta a regulaciones como NIS2, DORA o GDPR.

“Si bien es comprensible que las empresas se muestren cautelosas a la hora de invertir en transformación digital en el actual contexto geopolítico, esto puede generar un retraso competitivo. Las compañías con visión de futuro están adoptando modelos distribuidos con la soberanía y la localización como pilares clave para mitigar riesgos regulatorios y operativos”, concluye James Tucker, Head of EMEA CISOs in Residence en Zscaler.

Tres acciones prioritarias para ser ‘Resilient by Design’

Para contrarrestar el aumento de amenazas externas, el informe propone tres acciones clave:

• Priorizar la visibilidad: implementar una plataforma unificada que integre seguridad de datos, seguridad de IA y de terceros, así como soberanía de datos, proporcionando visibilidad y control de extremo a extremo sobre toda la superficie de riesgo.
• Simplificar con un enfoque de plataforma: desacoplar la seguridad de la infraestructura de red y adoptar un modelo Zero Trust basado en el principio de mínimo privilegio.
• Prepararse para el futuro con una arquitectura Zero Trust: utilizar una arquitectura capaz de adaptarse a nuevas amenazas activando capacidades adicionales, como seguridad para IA generativa (GenAI) y visibilidad de criptografía post-cuántica, desde un único panel de control.