Proofpoint ha publicado su informe anual Voice of the CISO, que indaga en los principales retos, expectativas y prioridades de los directores de seguridad de la información (CISOs).
Los resultados revelan que la mayoría de los CISOs en España ha vuelto a los elevados niveles de preocupación del principio de la pandemia. El 72% de encuestados se siente en riesgo de sufrir un ciberataque importante frente al 31% del año pasado, cuando quizá hubo una breve sensación de calma tras adaptarse al caos de la pandemia. Los datos de este año suponen un importante retroceso respecto a 2021, ya que entonces solo la mitad de los CISOs españoles pensaba que habría un ataque inminente. Acerca de la preparación de las organizaciones, el 64% opina que no está en condiciones de hacer frente a un ciberataque dirigido, lo que muestra un marcado aumento respecto al 49% del año anterior y al 53% de 2021.
A pesar de que las organizaciones han superado en buena medida los problemas de los dos últimos años, los efectos de la Gran Dimisión y la rotación de empleados siguen persistiendo, acentuados por la reciente oleada de despidos masivos: el 83% de los responsables de seguridad en España afirma que la salida de empleados de su organización repercutió en la pérdida de datos. Aunque el 58% asegura haber tenido que hacer frente a estos incidentes con información confidencial en los últimos 12 meses, el 51% de los CISOs españoles cree que cuenta con una protección de datos adecuada.
El informe Voice of the CISO 2023 analiza las respuestas de una encuesta a más de 1.600 CISOs de organizaciones de tamaño medio a grande de diferentes sectores, realizada por una entidad independiente. A lo largo del primer trimestre de este año, se entrevistó a un centenar de CISOs de cada uno de los siguientes 16 países: Estados Unidos, Canadá, Reino Unido, Francia, Alemania, Italia, España, Suecia, Países Bajos, Emiratos Árabes Unidos, Arabia Saudí, Australia, Japón, Singapur, Corea del Sur y Brasil.
En concreto, este informe examina las tendencias globales y las diferencias regionales en torno a tres temas centrales: las amenazas y los riesgos a los que se enfrentan a diario los CISOs; el impacto de los empleados en la ciberpreparación de las organizaciones; y las defensas que están construyendo los CISOs, especialmente a medida que la recesión económica ejerce presión sobre los presupuestos de seguridad. También mide los cambios en cuanto a posicionamiento entre los CISOs y sus consejos de administración, viendo cómo su relación puede afectar a las prioridades en seguridad.
“Muchos CISOs no tienen esa sensación de calma que experimentaron brevemente después de vencer el caos provocado por la pandemia. Una vez que han vuelto a la rutina de siempre, se sienten menos seguros de las capacidades de su organización para defenderse de los ciberriesgos”, comenta Andrew Rose, CISO residente de Proofpoint en EMEA. “Nuestro informe Voice of the CISO 2023 indica que, aparte de las crecientes dificultades para proteger a su gente y defender sus datos, los CISOs están siendo puestos a prueba con mayores expectativas, desgaste e incertidumbre respecto a su responsabilidad individual. No obstante, este estudio nos da también un soplo de esperanza al ver cómo ha mejorado la relación entre los líderes de seguridad y los miembros de la junta directiva, lo que ayudará a las organizaciones a superar los retos de este año y los que vendrá en un futuro”.
Estas son las conclusiones del informe Voice of the CISO 2023 referentes a España:
- Las preocupaciones de los CISOs españoles son sustancialmente más elevadas que el año pasado, sintiéndose mucho menos preparados: el 72% ve riesgos de sufrir un ciberataque importante en los próximos 12 meses, frente al 31% del año pasado y al 50% en 2021. Asimismo, el 64% cree que su organización no está preparada para hacer frente a un ciberataque dirigido, respecto al 49% del año pasado y al 53% en 2021.
- La pérdida de datos sensibles se ve agravada por la rotación de empleados: el 58% de los responsables de seguridad en España afirma haberse enfrentado a pérdidas de datos sensibles en los últimos 12 meses; y de ellos, el 83% coincide en que la salida de empleados de la organización contribuyó a estos incidentes. Pese a esas pérdidas, el 51% de los CISOs considera que tiene controles adecuados para proteger los datos.
- Las amenazas internas encabezan la lista de amenazas más significativas: las principales amenazas percibidas por los CISOs españoles han cambiado, siendo ahora las amenazas internas las que se sitúan al principio de esta lista, seguidas de cerca por el fraude por correo electrónico (Business Email Compromise) y los ataques a la cadena de suministro. En 2022, los ataques a la cadena de suministro, el ransomware y el compromiso de cuentas cloud eran las principales preocupaciones.
- Probablemente la mayoría de las organizaciones pagará un rescate si se ve afectada por el ransomware: el 64% de los CISOs en España piensa que su organización pagaría por restaurar los sistemas y evitar la publicación de sus datos en caso de verse atacada por ransomware en los próximos 12 meses. Además, el 65% reclamaría un ciberseguro para recuperar las pérdidas sufridas por varios tipos de ataques.
- El riesgo en torno a la cadena de suministro es una prioridad cada vez mayor: el 59% de los responsables de seguridad españoles dice disponer de controles adecuados para mitigar el riesgo sobre la cadena de suministro, lo que supone un aumento respecto al 49% del año pasado. Aunque dichas protecciones pueden parecer adecuadas por ahora, en un futuro los CISOs pueden verse escasos de recursos: el 64% señala que la inestable economía ha afectado negativamente a su presupuesto de ciberseguridad.
- Los riesgos relacionados con las personas vuelven a resultar preocupantes: tras un descenso significativo el año pasado, más CISOs españoles consideran de nuevo el error humano como la mayor cibervulnerabilidad de su organización, con un 65% en la encuesta de este año frente al 48% de 2022 y al 68% en 2021. Al mismo tiempo, muchos más responsables de seguridad (73%) creen que los empleados entienden su papel en la protección de la organización, respecto al 53% del año pasado y al 58% en 2021, lo que ilustra los intentos por construir una cultura de seguridad sólida.
- Los CISOs y los consejos de las empresas están mucho más en sintonía: el 68% de los responsables de seguridad en España dice que los miembros de la junta directiva están de acuerdo con ellos en cuestiones de ciberseguridad. Esto supone un aumento sustancial respecto al 40% de los CISOs que compartían esta opinión el año pasado, acercándose así al 62% registrado en 2021.
- Las crecientes presiones sobre los CISOs hacen que su trabajo sea cada vez más insostenible: el 60% dice enfrentarse a expectativas laborales poco razonables, lo que supone un aumento respecto al 51% del año pasado. Si bien la vuelta a la normalidad puede explicar esta afirmación, la angustia que padecen los CISOs debido a su trabajo también suma: al 63% le preocupa su responsabilidad personal y el 62% sintió agotamiento en los últimos 12 meses.
“Los líderes de seguridad deben mantenerse firmes en la protección de su gente y de sus datos, una tarea cada vez más difícil a medida que los agentes internos contribuyen significativamente a la pérdida de datos sensibles”, señala Fernando Anaya, country manager de Proofpoint para España y Portugal. “Si tomamos como referencia algunos recientes y devastadores ataques, podemos decir que los CISOs tienen un camino todavía más difícil por delante, especialmente teniendo en cuenta la precariedad de los presupuestos de seguridad y las nuevas presiones laborales. Ahora que vuelven a tener elevados niveles de preocupación, los CISOs deben asegurarse de que se centran en las prioridades correctas para llevar a sus organizaciones hacia la ciberresiliencia”.