La empresa de ciberseguridad Proofpoint ha publicado su primer informe Voice of the CISO, dedicado a profundizar en los principales retos a los que se enfrentan los directores de seguridad de la información (CISOs) en 2021 tras haber vivido un año tan inaudito. Para ello, se han analizado los resultados de una encuesta realizada por terceros en el primer trimestre de 2021 a más de 1.400 CISOs de organizaciones medianas y grandes de diferentes sectores. En concreto se ha entrevistado a un centenar de CISOs en cada uno de los siguientes 14 mercados: España, Estados Unidos, Canadá, Reino Unido, Francia, Alemania, Italia, Suecia, Países Bajos, Emiratos Árabes Unidos, Arabia Saudí, Australia, Japón y Singapur.
Este estudio se centra además en tres áreas clave. Por un lado, el riesgo de amenazas y los tipos de ciberataques con los que los CISOs se encuentran a diario. Por otro, la preparación de los empleados y de la organización para hacerles frente. Y, por último, el impacto de mantener un modelo de trabajo híbrido a medida que las empresas preparan su vuelta a la oficina. Asimismo, el informe repara en los diferentes desafíos que pueden suponer las funciones de los CISOs así como su posicionamiento dentro de la directiva de las organizaciones y las expectativas empresariales de sus equipos.
Como apunte general, Proofpoint destaca dos resultados a nivel global: que el 66% de los CISOs considera que su organización no está preparada para hacer frente a un ciberataque y que el 58% opina que su mayor vulnerabilidad en ciberseguridad está en el error humano, "lo que pone de relieve que el modelo de teletrabajo instaurado durante la pandemia ha puesto a prueba a los CISOs como nunca antes se había visto".
Desde Proofpoint advierten: "Los retos seguirán estando presentes"
En palabras de Lucia Milica, CISO global residente de Proofpoint: "El año pasado equipos de ciberseguridad de todo el mundo se vieron ante el desafío de mejorar su estrategia de seguridad de la noche a la mañana en un entorno totalmente nuevo y cambiante. Esto supuso hacer malabarismos entre fomentar el trabajo en remoto de los empleados y evitar que se interrumpiese la actividad, al mismo tiempo que proveían la seguridad necesaria para afrontar esta situación". "Dado que el futuro laboral será cada vez más flexible, estos retos seguirán estando presentes de aquí al próximo año o incluso más. Por eso, además de proteger nuevos puntos de ataque y formar a los usuarios para el trabajo en remoto o híbrido a largo plazo, los CISOs deben infundir confianza entre clientes, stakeholders internos y el propio mercado para que vean estas opciones como factibles de manera indefinida".
En su informe anual Voice of the CISO, Proofpoint revela algunas tendencias de carácter general entre la comunidad global de CISOs y también otras particularidades en función de cada región. A continuación repasamos las principales conclusiones que ha extraído la compañía de las encuestas realizadas en España.
Alerta máxima entre los CISOs ante distintos ciberataques
El panorama de amenazas está siendo implacable, de ahí que la mitad de los CISOs españoles (50%) encuestados se sienta en riesgo de sufrir un ciberataque material, es decir, que tenga impacto en su organización durante los próximos 12 meses.
Al ser preguntados por los tipos de ataques a los que tendrán que enfrentarse, señalaron que los más probables son el compromiso del correo electrónico corporativo o Business Email Compromise (25%); el phishing (24%); el compromiso de cuentas cloud en O365 o G suite (22%); y las amenazas internas y el ransomware (ambos con un 19%). No obstante, también llama la atención que un 12% de los encuestados españoles fue incapaz de predecir cuáles serán las mayores amenazas de ciberseguridad que se avecinan por la incertidumbre de la pandemia, siendo este el porcentaje más elevado de los 14 mercados que conforman esta encuesta global.
La preparación de las organizaciones en ciberseguridad se mantiene como una de las mayores preocupaciones
Más de un año después de que la pandemia cambiase para siempre el panorama de amenazas, el 53% de los CISOs españoles siente que su organización no está preparada para hacer frente a un ciberataque dirigido en 2021. Mientras tanto, el riesgo en ciberseguridad va en aumento y un 62% está más preocupado por las repercusiones que pueda tener un ciberataque este año que en 2020.
La concienciación de los usuarios no siempre lleva a un cambio en su comportamiento
Aunque el 58% de los encuestados piensa que los empleados entienden su papel a la hora de proteger la empresa ante las ciberamenazas, el 68% de los CISOs en España sigue considerando que el error humano es la mayor vulnerabilidad en ciberseguridad de su organización. En este sentido, Proofpoint indica que los comportamientos que aumentan el riesgo de ataque en las organizaciones son la filtración de datos de forma deliberada (amenaza interna maliciosa), hacer clic en enlaces maliciosos, descargar archivos comprometidos, así como reutilizar o no cambiar contraseñas.
Los entornos de trabajo híbridos a largo plazo: un nuevo reto para los CISOs
El 63% de los CISOs españoles encuestados coincide en que el trabajo en remoto ha causado que su organización sea más vulnerable frente a ciberamenazas. Además, un 56% ha afirmado haber observado un aumento de los ciberataques dirigidos en los últimos 12 meses.
Los ciberdelincuentes se enfrentarán a mayores riesgos y recompensas en ciberseguridad en los próximos dos años
Según el 61% de los CISOs en España, el cibercrimen pasará a resultar más rentable para los atacantes, aunque el 64% añade que dicha actividad podría acarrear mayores riesgos.
Los CISOs españoles adaptarán su estrategia de ciberseguridad para mantenerse a la vanguardia
En general, los CISOs españoles esperan que los presupuestos de ciberseguridad de sus organizaciones aumenten un 11% o más en los próximos dos años, y dos de cada tres (65%) se sienten capaces de resistir y recuperarse mejor de los ciberataques en 2023. Entre sus prioridades en este plazo está incrementar la concienciación sobre seguridad de los empleados (29%), perfeccionar también los controles de seguridad básicos (28%), así como consolidar las soluciones y controles de seguridad existentes (25%).
La figura del CISO pasó a ser más relevante en 2020, pero también hubo una mayor expectación en sus organizaciones
Más de la mitad de los CISOs encuestados en España (el 52%) califica las expectativas en torno a sus funciones como excesivas. Según el estudio de Proofpoint, entre los CISOs también persiste una sensación de falta de apoyo por parte de otros directivos, ya que solo un 22% afirma rotundamente que la junta directiva de su organización está alineada con ellos en asuntos de ciberseguridad.
"Ahora más que nunca los CISOs tienen una función crítica para el negocio"
"Lo que se consideraba como suficientemente bueno en estos últimos 12 meses no va a seguir funcionando a largo plazo. Las empresas difícilmente volverán a la misma forma de trabajar que tenían antes de la pandemia, y esto hará que el mandato de fortalecer las defensas de ciberseguridad sea todavía más urgente", ha asegurado Ryan Kalember, vicepresidente ejecutivo de estrategia de ciberseguridad de Proofpoint.
"Ahora más que nunca los CISOs tienen una función crítica para el negocio. Los resultados de nuestro informe inciden en que estos necesitan herramientas con las que mitigar riesgos y desarrollar una estrategia de protección de la ciberseguridad cuyo enfoque esté centrado en las personas. En esta se debe hacer hincapié además en la formación de concienciación para hacer frente a unas condiciones siempre cambiantes como las que han vivido las organizaciones a lo largo de la pandemia", ha concluido Kalember.