Los directores de seguridad de la información (CISOs) de nuestro país tienen más confianza en su postura de ciberseguridad que el año pasado y, después de dos años de perturbaciones sin precedentes, ahora sienten que tienen más control sobre su entorno. Así lo pone de manifiesto el nuevo informe "Voice of the CISO" de Proofpoint, que analiza los principales retos a los que se enfrentan los CISOs y que este año profundiza en las respuestas de 1.400 CISOs de organizaciones de tamaño medio a grande de diferentes sectores. A lo largo del primer trimestre de 2022, se entrevistó a un centenar de CISOs de España y de estos otros 13 países: Estados Unidos, Canadá, Reino Unido, Francia, Alemania, Italia, Suecia, Países Bajos, Emiratos Árabes Unidos, Australia, Japón y Singapur.
La investigación, realizada por una entidad independiente, aborda tres áreas clave: el riesgo de amenazas y los tipos de ciberataques que combaten a diario los CISOs; los niveles de preparación de los empleados y de las organizaciones que se enfrentan a los ataques; y el impacto de dar soporte a una forma de trabajo híbrida al tiempo que las empresas se preparan para reabrir sus oficinas. También descubre los retos que experimentan los CISOs en sus funciones, su posición en los consejos de administración y las expectativas empresariales de sus equipos y, además, destaca las tendencias generales así como las diferencias regionales entre la comunidad global de CISOs.
Entre sus principales conclusiones, Proofpoint ha destacado las siguientes:
Los CISOs tienen más confianza en su postura de ciberseguridad
Tras dos años de interrupciones sin precedentes, los CISOs sienten ahora más control sobre su entorno. Sólo el 31% de los CISOs españoles considera que su organización está en riesgo de sufrir un ciberataque en los próximos 12 meses, frente al 50% del año pasado y en contraposición a la media mundial, que se sitúa en el 48%.
"Esta creciente confianza de los CISOs es probablemente el resultado de haber superado con éxito un evento sísmico (la pandemia) más que cualquier cambio tangible en los niveles de preparación frente a los riesgos", apunta Proofpoint.
La preparación cibernética de las organizaciones ha mejorado, pero sigue siendo una preocupación clave
Sentirse preparado para un ciberataque es muy diferente a estarlo, aunque la creciente familiaridad con el entorno de trabajo post-pandémico también ha hecho que los CISO se sientan mejor equipados para hacer frente a las ciberamenazas.
Mientras que en 2021 el 66% de los CISOs globales creía que no estaba preparado para un ataque dirigido, esta cifra se ha reducido al 50% este año. En España, la preparación de las organizaciones ha mejorado ligeramente, pero sigue siendo una preocupación clave. El año pasado el 53% de los CISOs españoles creía que no estaban preparados, y este año la cifra se ha reducido al 49%.
Hay una falta de consenso entre los CISOs en cuanto a las amenazas más significativas que se dirigen a su organización
Este año, el ransomware y los ataques a la cadena de suministro encabezaron la lista entre los CISOs españoles, ambos con un 32%, pero fueron seguidos de cerca por el Compromiso de Cuentas en la Nube (cuentas de O365 o G suite comprometidas) con un 31%, y el compromiso de cuentas de correo corporativo con un 30%. Sin embargo, a nivel global, las amenazas internas ostentan la primera posición de la lista con un 31%, mientras que el ransomware se sitúa en el cuarto lugar con un 28%.
La concienciación de los empleados en materia de seguridad va en aumento, pero los usuarios todavía no están suficientemente capacitados para el papel de la ciberdefensa
El 53% de los CISOs españoles cree que los empleados entienden su papel en la protección de su organización frente a las ciberamenazas, pero el 48% considera que el error humano es la mayor vulnerabilidad de su organización. A nivel global, el error humano preocupa al 56% de los CISOs encuestados, y el 60% cree que los empleados entienden su papel como barrera frente a los ataques.
Además, las cifras locales y globales coinciden a la hora de analizar la formación en ciberseguridad para los empleados, y sólo el 50% de las organizaciones aumentaron su frecuencia.
El trabajo híbrido a largo plazo hace que la protección de los datos sea un nuevo reto para los CISOs
Los empleados forman ahora el perímetro defensivo dondequiera que trabajen, y el 51% de los CISOs globales coincide al señalar que han visto un aumento de los ataques dirigidos en los últimos 12 meses e intentan enfrentarse al creciente reto de proteger los datos en una plantilla dispersa. Los CISOs españoles son más optimistas, ya que el 43% está de acuerdo en que han visto un mayor número de ataques dirigidos en el último año y solo el 37% considera que la protección de la información es un problema.
Cuando se les preguntó cómo era más probable que los empleados causaran una filtración de datos, los CISO españoles indicaron como vector más probable la negligencia de los usuarios internos, es decir, cuando los empleados exponen involuntariamente la información. Esto choca con las percepciones a nivel global, donde los CISOs mencionaron los ataques internos mediante cuentas comprometidas como el vector más probable, donde los empleados exponen inadvertidamente sus credenciales, dando a los ciberdelincuentes acceso a datos sensibles.
Los titulares sobre el ransomware han incrementado en gran medida la concienciación de los consejos de administración sobre los riesgos cibernéticos y han impulsado cambios de estrategia
La gran repercusión de los últimos ataques de ransomware ha provocado que esta ciberamenaza ocupe el primer lugar en la agenda de las organizaciones. El 47% de los CISO españoles (58% a nivel global) ha revelado que ha contratado un ciberseguro, y la mitad (3 de cada 5 en todo el mundo) se ha centrado en la prevención en lugar de en las estrategias de detección y respuesta. No obstante, y a pesar de lo mucho que está en juego, la mitad de los CISO españoles (42% de los CISOs globales) admite que no tienen una política respecto al pago de rescates.
Aunque los CISOs se sienten ligeramente menos presionados, la aceptación de la junta directiva sigue siendo baja, ya que el riesgo cibernético preocupa a los líderes empresariales
El 51% de los CISOs españoles considera que las expectativas sobre su función son excesivas, frente al 58% del año pasado. Sin embargo, la percepción de falta de alineación con los consejos de administración ha aumentado, ya que sólo el 17% está muy de acuerdo en que su junta directiva coincide con ellos en cuestiones de ciberseguridad.
Al considerar los ciberriesgos, los CISOs españoles enumeraron el daño a la reputación, la interrupción de las operaciones y la pérdida de ingresos como las principales preocupaciones de la junta directiva.
"Después de pasar dos años reforzando sus defensas para soportar el trabajo híbrido, los CISOs han tenido que priorizar sus esfuerzos para hacer frente a las ciberamenazas que apuntan a la fuerza de trabajo distribuida y dependiente de la nube de hoy. Como resultado, su enfoque ha gravitado hacia la prevención de los ataques más probables, como el compromiso del correo electrónico empresarial, el ransomware, las amenazas internas y el DDoS", ha afirmado Fernando Anaya, country manager de Proofpoint para España y Portugal.
"En general, los CISOs parecen haber acogido el año 2022 como la calma después de la tormenta, pero pueden estar cayendo en una falsa sensación de seguridad. Con el aumento de las tensiones geopolíticas y el incremento de los ataques centrados en las personas, hay que tapar las mismas lagunas de concienciación, preparación y prevención de los usuarios antes de que el océano de la ciberseguridad vuelva a agitarse", ha añadido Anaya.