Casi el 40% de los CISO estatales de EE. UU. creen que sus presupuestos de ciberseguridad no alcanzan para mantener seguros los activos y los ciudadanos, según un nuevo informe de Deloitte y la Asociación Nacional de Directores de Información (NASCIO). Más de un tercio no tiene un presupuesto dedicado a la ciberseguridad. Cuatro de los 51 CISO estatales encuestados revelaron que sus presupuestos estatales de TI asignan menos del 1% a la ciberseguridad. El 35% de los encuestados citó la falta de un presupuesto suficiente para la ciberseguridad como una de las cinco principales barreras a las que se enfrentan los CISO a la hora de abordar los desafíos de la ciberseguridad. Esto representa un aumento sustancial con respecto a 2022, cuando el 25% destacó la insuficiencia de presupuesto como una de las cinco principales barreras. Estos problemas de financiación se producen a pesar de los crecientes ataques cibernéticos a organismos públicos estadounidenses y las crecientes demandas a sus CISO: el 86% afirma que sus responsabilidades están aumentando. Esto incluye un gran salto en la proporción de CISO que son responsables de mantener la privacidad de los datos en su estado, del 60% en 2022 al 86% en 2024. Esto probablemente se deba a la introducción de nuevas leyes estatales de privacidad. Lea ahora: Ley federal de privacidad de datos de EE. UU. presentada por los legisladores También ha habido un aumento en el número de estados de EE. UU. que aprueban leyes sobre elementos de ciberseguridad. Por ejemplo, el 35% de los estados ha instituido un programa de intercambio de información sobre amenazas cibernéticas entre autoridades estatales, fuerzas del orden y entidades privadas, frente al 23% en 2022. Srini Subramanian, director de Deloitte & Touche LLP, comentó: «La superficie de ataque es expandiéndose a medida que la dependencia de los líderes estatales de la información se vuelve cada vez más central para la operación del propio gobierno, y los CISO tienen una misión cada vez más desafiante de hacer que la infraestructura tecnológica sea resistente contra las amenazas cibernéticas cada vez mayores». Poco más de la mitad (51%) de los CISO encuestados dijeron que tenían entre seis y 25 profesionales de ciberseguridad en su plantilla, mientras que el 45% tenía 26 o más. En 2022, solo el 34% contaba con más de 26 profesionales de ciberseguridad en su plantilla. Las violaciones de seguridad que involucran a un tercero fueron la mayor amenaza cibernética que enfrentaron los CISO estatales, citada por el 73%. Esto es significativamente mayor en comparación con 2022, que fue del 44%. Las siguientes amenazas más importantes destacadas por los CISO fueron los ataques habilitados por IA (71%), el espionaje patrocinado por estados extranjeros (67%), el phishing, el pharming y otras variantes relacionadas (65%) y la explotación de vulnerabilidades (57%). CISO estatales preocupados por las amenazas de la IA Muchos CISO expresaron su preocupación por los riesgos de seguridad únicos asociados con la IA y la IA de generación, y el 41 % no confía en absoluto (8 %) o no tiene mucha confianza (33 %) en el manejo de ataques habilitados por IA. Una proporción similar (43%) se sentía algo confiada y un 10% muy confiada. Todos menos dos de los 51 CISO estatales participaron en el desarrollo de políticas de seguridad de IA generativa (GenAI) de su estado. Además, 21 informaron que ya utilizan GenAI para mejorar las operaciones de seguridad, mientras que otros 22 planean adoptar GenAI para este propósito en los próximos 12 meses. A pesar del nivel de preocupación en torno a la IA, solo una cuarta parte de los CISO estatales citaron la implementación de controles de seguridad GenAI entre sus cinco principales iniciativas de seguridad para 2024-2025. El informe bienal de 2024 de Deloitte-NASCIO encuestó a los CISO estatales de los 50 estados y el Distrito de Columbia.