Proofpoint ha publicado una nueva entrega de su informe anual "Voice of the Ciso", el cual indaga en los principales retos, expectativas y prioridades de los directores de seguridad de la información (CISOs). En concreto, este estudio analiza las tendencias globales y las diferencias regionales en torno a tres temas centrales: las amenazas y los riesgos a los que se enfrentan a diario los CISOs; el impacto de los empleados en la ciberpreparación de las organizaciones; y las defensas que están construyendo los CISOs, especialmente a medida que la recesión económica ejerce presión sobre los presupuestos de seguridad. También mide los cambios en cuanto a posicionamiento entre los CISOs y sus consejos de administración, observando cómo su relación puede afectar a las prioridades en seguridad.
Para la elaboración de este informe, se analizan las respuestas de una encuesta realizada por una entidad independiente a más de 1.600 CISOs de organizaciones de tamaño medio a grande de diferentes sectores y partes del mundo. A lo largo del primer trimestre de este año, se encuestó a un centenar de CISOs de España y de los siguientes quince países: Estados Unidos, Canadá, Reino Unido, Francia, Alemania, Italia, Suecia, Países Bajos, Emiratos Árabes Unidos, Arabia Saudí, Australia, Japón, Singapur, Corea del Sur y Brasil.
La compañía de ciberseguridad ha emitido un comunicado donde comparte las principales conclusiones de este estudio, poniendo el foco en España y advirtiendo que las preocupaciones de los CISOs españoles son sustancialmente más elevadas que el año pasado, sintiéndose mucho menos preparados. Según señala, casi una cuarta parte de los encuestados (72%) se siente en riesgo de sufrir un ciberataque importante frente al 31% del año pasado, "cuando quizá hubo una breve sensación de calma tras adaptarse al caos de la pandemia". Asimismo, el 64% piensa que su empresa no está preparada para hacer frente a un ataque dirigido, lo que supone un marcado aumento respecto al 49% del 2022 y al 53% de 2021.
En el lado positivo, los resultados muestran que los CISOs están y los consejos de las empresas están mucho más en sintonía. El 68% de los responsables de seguridad en España dice que los miembros de la junta directiva están de acuerdo con ellos en cuestiones de ciberseguridad. Esto supone un aumento sustancial respecto al 40% de los CISOs que compartían esta opinión el año pasado, acercándose así al 62% registrado en 2021.
"Muchos CISOs no tienen esa sensación de calma que experimentaron brevemente después de vencer el caos provocado por la pandemia. Una vez que han vuelto a la rutina de siempre, se sienten menos seguros de las capacidades de su organización para defenderse de los ciberriesgos", declara Andrew Rose, CISO residente de Proofpoint en la región de Europa, Medio Oriente y África (EMEA).
"Nuestro informe Voice of the CISO 2023 indica que, aparte de las crecientes dificultades para proteger a su gente y defender sus datos, los CISOs están siendo puestos a prueba con mayores expectativas, desgaste e incertidumbre respecto a su responsabilidad individual. No obstante, este estudio nos da también un soplo de esperanza al ver cómo ha mejorado la relación entre los líderes de seguridad y los miembros de la junta directiva, lo que ayudará a las organizaciones a superar los retos de este año y los que vendrá en un futuro", añade Rose.
A continuación explicamos otras conclusiones del informe "Voice of the CISO 2023" referentes a España, tal y como ha destacado Proofpoint en su comunicado.
La pérdida de datos sensibles se ve agravada por la rotación de empleados
El 58% de los responsables de seguridad en España afirma haberse enfrentado a pérdidas de datos corporativos sensibles en los últimos 12 meses y, de ellos, el 83% coincide en que la salida de empleados de la organización contribuyó a estos incidentes. Pese a esas pérdidas, el 51% de los CISOs considera que tiene controles adecuados para proteger los datos.
Las amenazas internas encabezan la lista de los ciberriesgos más significativos
Las principales ciberamenazas percibidas por los CISOs españoles han cambiado, siendo ahora las amenazas internas las que encabezan la lista. Les sigue de cerca el fraude por correo electrónico (Business Email Compromise o BEC) y los ataques a la cadena de suministro. En 2022, los mayores ciberriesgos eran los ataques a la cadena de suministro, el ransomware y el compromiso de cuentas cloud.
Predisposición a los rescates y a los ciberseguros
El 64% de los CISOs en España cree que su organización pagaría un rescate por restaurar los sistemas y evitar la publicación de sus datos, en caso de que se viera afectada por un ciberataque ransomware en los próximos 12 meses. Además, el 65% reclamaría un ciberseguro para recuperar las pérdidas sufridas por diversos tipos de ataques.
El riesgo sobre la cadena de suministro, una prioridad cada vez mayor
El 59% de los responsables de seguridad españoles asegura que dispone de controles adecuados para mitigar el riesgo en torno a la cadena de suministro, lo que supone un aumento respecto al 49% del año pasado. Aunque dichas protecciones pueden parecer adecuadas por ahora, los CISOs pueden verse en un futuro con escasos de recursos. Y es que el 64% indica que la inestable economía ha afectado negativamente a su presupuesto de ciberseguridad.
Los riesgos relacionados con las personas vuelven a resultar preocupantes
Tras un significativo descenso el año pasado, más CISOs españoles consideran de nuevo el error humano como la mayor cibervulnerabilidad de su organización, con un 65% en la encuesta de este año frente al 48% de 2022 y al 68% en 2021. Paralelamente, muchos más responsables de seguridad (73%) creen que los empleados entienden su papel en la protección de la organización, respecto al 53% del año pasado y al 58% en 2021, lo que refleja los intentos por construir una cultura de seguridad sólida.
El trabajo de los CISOs, cada vez más insostenible por las crecientes presiones
Seis de cada diez CISOs dice enfrentarse a expectativas laborales poco razonables, lo que supone un aumento respecto al 51% del año pasado. Si bien la vuelta a la normalidad puede justificar esta afirmación, la angustia que padecen los CISOs debido a su trabajo también suma. Y es que al 63% le preocupa su responsabilidad personal y el 62% sintió agotamiento en los últimos 12 meses.
"Los líderes de seguridad deben mantenerse firmes en la protección de su gente y de sus datos, una tarea cada vez más difícil a medida que los agentes internos contribuyen significativamente a la pérdida de datos sensibles", señala Fernando Anaya, country manager de Proofpoint para España y Portugal.
"Si tomamos como referencia algunos recientes y devastadores ataques, podemos decir que los CISOs tienen un camino todavía más difícil por delante, especialmente teniendo en cuenta la precariedad de los presupuestos de seguridad y las nuevas presiones laborales. Ahora que vuelven a tener elevados niveles de preocupación, los CISOs deben asegurarse de que se centran en las prioridades correctas para llevar a sus organizaciones hacia la ciberresiliencia", apunta Anaya.