En un año en el que han aumentado las amenazas internas y la pérdida de datos provocadas por personas, el error humano continúa siendo percibido como el 'talón de Aquiles' de la ciberseguridad. Así se desprende de la nueva edición del informe anual 'Voice of the CISO 2024' de Proofpoint, que analiza los principales retos, expectativas y prioridades de los responsables de ciberseguridad (Chief Information Security Officers o CISOs) a partir de una encuesta global en la que han participado 1.600 CISOs de 16 países, entre ellos España.
El informe señala que más CISOs que nunca (86%) ven el riesgo humano, y en particular a los empleados negligentes, como la vulnerabilidad más significativa de cara a los próximos dos años. Esta percepción es compartida por el 75% de los CISOs en España, un 10% más que en 2023, aunque el 87% cree que los empleados entienden su papel en la protección de la empresa y esta confianza ha aumentado respecto a años anteriores (73% en 2023 y 53% en 2022).
Esto puede atribuirse al creciente optimismo en el papel de las soluciones basadas en IA para mitigar los riesgos centrados en las personas, lo que refleja un giro estratégico hacia las defensas basadas en la tecnología. En el caso de los CISOs de España, hasta el 87% ya está recurriendo a la tecnología impulsada por IA para protegerse contra los errores humanos y bloquear las ciberamenazas avanzadas centradas en las personas.
Creciente confianza en sus capacidades de ciberdefensa
El informe también indica que el miedo a sufrir un ciberataque en los próximos 12 meses ha descendido entre los CISOs españoles del 72% del 2023 al 61% de este año y que, además, ha aumentado su confianza en cuanto a su capacidad para defenderse frente a las ciberamenazas. En 2023 el 64% de los CISOs no se sentía preparado para hacer frente a un ciberataque dirigido y este año el porcentaje ha bajado hasta el 54%.
"Si bien el panorama de la ciberseguridad continúa evolucionando con el aumento de las amenazas centradas en el ser humano, el informe 'Voice of the CISO 2024' destaca lo que parece ser un cambio hacia una mayor resiliencia, preparación y confianza entre los CISOs de todo el mundo", subraya Patrick Joyce, CISO global residente de Proofpoint. "Los resultados de este año subrayan un movimiento colectivo hacia defensas estratégicas, incluyendo una mejor educación, adopción tecnológica y un enfoque adaptativo a las amenazas emergentes como la IA generativa", añade.
Otras conclusiones destacadas
El informe 'Voice of the CISO 2024' de Proofpoint arroja otras relevantes conclusiones sobre los CISOs españoles. A continuación, recogemos las que destaca la propia compañía de ciberseguridad:
La IA generativa encabeza las preocupaciones de seguridad de los CISO españoles. El 62% de los CISOs encuestados piensa que la IA generativa supone un riesgo de seguridad para su organización. Los tres principales sistemas que creen que comprometen su ciberseguridad son Microsoft 365 (46%), Slack/Teams/Zoom/otras herramientas de colaboración (42%), y ChatGPT u otra IA generativa (43%).
La rotación de empleados sigue siendo una preocupación, pero los CISOs en España confían en sus defensas. El 46% de los responsables de seguridad declara haber tenido que hacer frente a una pérdida de datos confidenciales en los últimos 12 meses. Y, de ellos, el 70% coincidió en que la salida de empleados de la organización contribuyó a esa pérdida. A pesar de ello, el 82% de los CISOs cree que tiene controles adecuados para proteger sus datos.
La mayoría de los CISOs españoles ha adoptado tecnología DLP y ha invertido más en formación en seguridad. El 44% de los CISOs encuestados en 2024 dispone de tecnología de prevención de pérdida de datos (DLP), frente a sólo el 41% en 2023. Más de la mitad (52%) de los CISOs invirtió en formar a los empleados en mejores prácticas de seguridad, un porcentaje que ha aumentado del 42% de 2023.
El malware y el ransomware encabezan las preocupaciones de los CISOs españoles. Las mayores amenazas a la ciberseguridad percibidas por los CISOs en España durante 2024 son el malware (43%), los ataques de ransomware (33%) y BEC o fraude por correo electrónico (33%). Esta lista ha variado respecto a la del año pasado, en el que los CISOs percibieron la amenaza interna (negligente, accidental o criminal), el fraude por email y los ataques a la cadena de suministro como los mayores ciberriesgos.
Postura firme sobre el pago de rescates con una mayor dependencia de los ciberseguros. En 2024, el 63% (64% en 2023) de los CISOs en España cree que su organización pagaría para restaurar los sistemas y evitar la liberación de datos si fuera atacada por ransomware en los próximos 12 meses. Asimismo, el 81% declara que confiaría en las reclamaciones de los seguros para recuperar las pérdidas potenciales incurridas, en comparación con el 65% en 2023.
La relación Consejo-CISO en España ha mejorado significativamente. El 87% de los CISOs coincide en que los miembros de la junta directiva están de acuerdo con ellos en cuestiones de ciberseguridad. Se trata de un salto significativo desde el 68% de 2023 y el 40% de 2022.
Las presiones a los CISOs españoles son incesantes. El 60% de los CISOs encuestados en 2024 admite estar agotado, frente al 62% del año pasado, mientras que el 61% considera que se enfrenta a expectativas excesivas, un aumento constante desde el 60% del año pasado y el 51% en 2022. La sostenibilidad de las continuas expectativas de los CISOs sigue siendo puesta a prueba: al 76% le preocupa la responsabilidad personal (66% en 2023) y el 81% (69% en 2023) no se uniría a una organización que no ofrezca cobertura de seguro a los directivos. Además, el 64% de los CISOs coincide en que la actual recesión económica ha obstaculizado su capacidad para realizar inversiones clave para el negocio, y al 52% de ellos se les ha pedido que recorten personal o retrasen contrataciones, así como que reduzcan presupuestos de seguridad.
"A medida que navegamos a través de las complejidades del entorno actual de las ciberamenazas, es alentador ver que los CISOs están ganando confianza en sus estrategias y herramientas", afirma Fernando Anaya, country manager de Proofpoint en España y Portugal. "Sin embargo, los desafíos persistentes por la rotación de empleados, la presión sobre los recursos y la necesidad de un compromiso continuo de la junta nos recuerdan que la vigilancia y la adaptación son claves para nuestra ciberresiliencia colectiva", advierte.