Proofpoint y Ciberseguridad en MIT Sloan (CAMS), consorcio de investigación interdisciplinario, han publicado el informe ‘Cybersecurity: The 2022 Board Perspective’ realizado a partir de una encuesta global realizada por terceros a realizada por terceros, a 600 miembros de la junta directiva de organizaciones de 5.000 o más empleados de diferentes sectores. En agosto de 2022 se entrevistó a 50 directores de junta en cada uno de los siguientes 12 países: Estados Unidos, Canadá, Reino Unido, Francia, Alemania, Italia, España, Australia, Singapur, Japón, Brasil y México.
El 77% de empresas considera la ciberseguridad una prioridad máxima para su consejo de administración, y el 76% asegura debatir sobre este tema al menos mensualmente. En consecuencia, el 75% cree que sus consejos de administración comprenden claramente los riesgos sistémicos a los que se enfrentan sus organizaciones, mientras que el 76% afirma haber realizado inversiones adecuadas en ciberseguridad.
Este optimismo, sin embargo, puede estar infundado. El informe revela que casi dos tercios (65%) de los miembros de juntas directivas creen que su organización corre el riesgo de sufrir un ciberataque importante en los próximos 12 meses. Casi la mitad (47%) opina además que su empresa no está preparada para hacer frente a un ataque dirigido. Asimismo, solo dos tercios de los miembros de consejos de administración ven el error humano como su mayor vulnerabilidad, a pesar de que el Foro Económico Mundial haya descubierto que este riesgo provoca el 95% de todos los incidentes de ciberseguridad.
El error humano provoca el 95% de todos los incidentes de seguridad en las empresas
Del estudio se extrae que existe una desconexión entre la sala de juntas y los CISO a la hora de evaluar el riesgo que suponen hoy los sofisticados ciberdelincuentes. En datos globales, el 65% de los consejos de administración cree que su organización corre el riesgo de sufrir un ciberataque importante en los próximos 12 meses, en comparación con el 48% de los CISO. Sin embargo, en España la distancia entre ambas partes es algo más acusada: el 68% de los miembros de la junta directiva cree que puede darse un ciberataque en su empresa, y solo el 31% de los CISO está de acuerdo.
Las preocupaciones de los miembros de consejos de administración y los CISO sobre las amenazas a las que se enfrentan. Las juntas directivas consideran el fraude por correo electrónico y los ataques Business Email Compromise (BEC) como su principal preocupación (41%), seguido por el compromiso de cuentas cloud (37%) y el ransomware (32%). Los CISO coinciden en señalar el fraude por correo electrónico, los ataques BEC y el compromiso de cuentas cloud entre sus principales preocupaciones, pero la mayor amenaza para ellos son las personas con acceso a información privilegiada. En cambio, para los miembros de juntas directivas, esas personas con acceso a información privilegiada son una preocupación menor. Estos datos recogidos a nivel global contrastan con los obtenidos de empresas españolas: por orden, las preocupaciones de los consejos de administración son el fraude por email y BEC (54%), ransomware (50%) y malware (42%); y los CISO se fijan más en ataques a la cadena de suministro, ransomware y compromiso de cuentas cloud.
Las preocupaciones de los consejos de administración de las empresas españolas son el fraude por email y BEC (54%), ransomware (50%) y malware (42%)
La concienciación y la financiación no se traducen en preparación. El 75% de encuestados cree que su junta directiva comprende el riesgo sistémico de su organización, el 76% piensa que ha invertido adecuadamente en ciberseguridad, el 75% considera que sus datos están debidamente protegidos y el 76% habla de ciberseguridad al menos mensualmente. Pero esos esfuerzos son insuficientes: el 47% sigue considerando que su organización no está preparada para hacer frente a un ciberataque en los próximos 12 meses. En España, la percepción de esa concienciación y financiación en las organizaciones es más optimista, de ahí que solo un 36% piense que en los próximos 12 meses un ciberataque pueda pillar desprevenida a su empresa.
Los miembros de consejos de administración no coinciden con los CISO acerca de las consecuencias más importantes de un incidente en ciberseguridad. La filtración de datos internos encabeza la lista de preocupaciones de los consejos a nivel global (37%), seguida de cerca por el daño reputacional (34%) y la pérdida de ingresos (33%). Los CISO globales, por su parte, están más preocupados por el tiempo de inactividad, la interrupción operativa y el impacto en las valoraciones del negocio. Para los directivos españoles, las mayores preocupaciones son la publicación de datos internos y la pérdida de ingresos (44%), mientras que en el caso de los CISO españoles, son el daño reputacional y la interrupción operativa.
Los CISO españoles están mas preocupados por el daño reputacional y la interrupción operativa
Una mayor concienciación de los empleados no protege del error humano. A pesar de que el 76% de los encuestados globales (74% en España) piensa que los empleados entienden su papel en la protección de la organización contra amenazas, el 67% de los miembros de la junta directiva (54 % en España) ve el error humano como su mayor vulnerabilidad.
Hay margen de mejora en la relación entre los consejos de administración y los CISO. Según la encuesta global, el 69% de los miembros de consejos de administración afirma estar de acuerdo con sus CISO, pero solo el 51% de estos piensa lo mismo. Mientras, en España, hay un 76% de directivos que coinciden con sus CISO y un 40% responsables de seguridad alineados con los miembros de consejos de administración.
Los consejos de administración se preparan para la supervisión reglamentaria. Tanto en la encuesta global como solo en España, el 80% está de acuerdo en que las organizaciones deberían estar obligadas a informar de un ciberataque importante a los reguladores en un plazo de tiempo razonable y solo el 6% discrepa sobre esto.
