La empresa de ciberseguridad Proofpoint ha publicado su informe anual Voice of the CISO, que indaga en los principales retos, expectativas y prioridades de los directores de seguridad de la información. Los resultados revelan que la mayoría de los CISO en España ha vuelto a los elevados niveles de preocupación del principio de la pandemia. El informe analiza las respuestas de una encuesta a más de 1.600 CISOs de organizaciones de tamaño medio a grande de diferentes sectores, realizada por una entidad independiente. A lo largo del primer trimestre de este año, se entrevistó a un centenar de CISO de cada uno de los siguientes 16 países: Estados Unidos, Canadá, Reino Unido, Francia, Alemania, Italia, España, Suecia, Países Bajos, Emiratos Árabes Unidos, Arabia Saudí, Australia, Japón, Singapur, Corea del Sur y Brasil.
El 72% de los CISO se siente en riesgo de sufrir un ciberataque importante frente al 31% del año pasado, cuando quizá hubo una breve sensación de calma tras adaptarse al caos de la pandemia. Los datos de este año suponen un importante retroceso respecto a 2021, ya que entonces solo la mitad de los CISO españoles pensaba que habría un ataque inminente. Acerca de la preparación de las organizaciones, el 64% opina que no está en condiciones de hacer frente a un ciberataque dirigido, lo que muestra un marcado aumento respecto al 49% del año anterior y al 53% de 2021.
A pesar de que las organizaciones han superado en buena medida los problemas de los dos últimos años, los efectos de la Gran Dimisión y la rotación de empleados siguen persistiendo, acentuados por la reciente oleada de despidos masivos: el 83% de los responsables de seguridad en España afirma que la salida de empleados de su organización repercutió en la pérdida de datos. Aunque el 58% asegura haber tenido que hacer frente a estos incidentes con información confidencial en los últimos 12 meses, el 51% de los CISO españoles cree que cuenta con una protección de datos adecuada.
El 72% de los CISO se siente en riesgo de sufrir un ciberataque importante frente al 31% del año pasado
Las principales preocupaciones de los CISO
Las preocupaciones de los CISO españoles son sustancialmente más elevadas que el año pasado, sintiéndose mucho menos preparados: el 72% ve riesgos de sufrir un ciberataque importante en los próximos 12 meses, frente al 31% del año pasado y al 50% en 2021. Asimismo, el 64% cree que su organización no está preparada para hacer frente a un ciberataque dirigido, respecto al 49% del año pasado y al 53% en 2021.
La pérdida de datos sensibles se ve agravada por la rotación de empleados: el 58% de los responsables de seguridad en España afirma haberse enfrentado a pérdidas de datos sensibles en los últimos 12 meses; y de ellos, el 83% coincide en que la salida de empleados de la organización contribuyó a estos incidentes. Pese a esas pérdidas, el 51% de los CISO considera que tiene controles adecuados para proteger los datos.
Las amenazas internas encabezan la lista de amenazas más significativas: las principales amenazas percibidas por los CISO españoles han cambiado, siendo ahora las amenazas internas las que se sitúan al principio de esta lista, seguidas de cerca por el fraude por correo electrónico (Business Email Compromise) y los ataques a la cadena de suministro. En 2022, los ataques a la cadena de suministro, el ransomware y el compromiso de cuentas cloud eran las principales preocupaciones.
Probablemente la mayoría de las organizaciones pagará un rescate si se ve afectada por el ransomware: el 64% de los CISO en España piensa que su organización pagaría por restaurar los sistemas y evitar la publicación de sus datos en caso de verse atacada por ransomware en los próximos 12 meses. Además, el 65% reclamaría un ciberseguro para recuperar las pérdidas sufridas por varios tipos de ataques.
El 64% de los CISO señala que la inestable economía ha afectado negativamente a su presupuesto de ciberseguridad
El riesgo en torno a la cadena de suministro es una prioridad cada vez mayor: el 59% de los responsables de seguridad españoles dice disponer de controles adecuados para mitigar el riesgo sobre la cadena de suministro, lo que supone un aumento respecto al 49% del año pasado. Aunque dichas protecciones pueden parecer adecuadas por ahora, en un futuro los CISO pueden verse escasos de recursos: el 64% señala que la inestable economía ha afectado negativamente a su presupuesto de ciberseguridad.
Los riesgos relacionados con las personas vuelven a resultar preocupantes: tras un descenso significativo el año pasado, más CISO españoles consideran de nuevo el error humano como la mayor cibervulnerabilidad de su organización, con un 65% en la encuesta de este año frente al 48% de 2022 y al 68% en 2021. Al mismo tiempo, muchos más responsables de seguridad (73%) creen que los empleados entienden su papel en la protección de la organización, respecto al 53% del año pasado y al 58% en 2021, lo que ilustra los intentos por construir una cultura de seguridad sólida.
Los CISO y los consejos de las empresas están mucho más en sintonía: el 68% de los responsables de seguridad en España dice que los miembros de la junta directiva están de acuerdo con ellos en cuestiones de ciberseguridad. Esto supone un aumento sustancial respecto al 40% de los CISO que compartían esta opinión el año pasado, acercándose así al 62% registrado en 2021.
Las crecientes presiones sobre los CISO hacen que su trabajo sea cada vez más insostenible: el 60% dice enfrentarse a expectativas laborales poco razonables, lo que supone un aumento respecto al 51% del año pasado. Si bien la vuelta a la normalidad puede explicar esta afirmación, la angustia que padecen los CISO debido a su trabajo también suma: al 63% le preocupa su responsabilidad personal y el 62% sintió agotamiento en los últimos 12 meses.
