Proofpoint ha publicado su informe anual «Voice of the CISO», el cual examina los principales desafíos, expectativas y prioridades de los directores de seguridad de la información (CISOs). Los resultados revelan que la mayoría de los CISOs en España ha experimentado un aumento significativo en sus niveles de preocupación, equiparables a los registrados al comienzo de la pandemia. Un 72% de los encuestados siente que está en riesgo de sufrir un ciberataque importante, en comparación con el 31% del año pasado, cuando tal vez existía una breve sensación de calma después de adaptarse al caos provocado por la pandemia. Estos datos representan un retroceso considerable en comparación con 2021, cuando solo la mitad de los CISOs españoles creían que habría un ataque inminente.

En cuanto a la preparación de las organizaciones, el 64% considera que no está preparado para enfrentar un ciberataque dirigido, lo cual indica un marcado aumento en comparación con el 49% del año anterior y el 53% de 2021.

A pesar de que las organizaciones han superado en gran medida los desafíos de los últimos dos años, los efectos de la «Gran Dimisión» y la rotación de empleados siguen siendo persistentes, agravados por la reciente ola de despidos masivos. El 83% de los responsables de seguridad en España afirma que la salida de empleados de sus organizaciones ha resultado en la pérdida de datos. Aunque el 58% ha tenido que enfrentar incidentes relacionados con la pérdida de información confidencial en los últimos 12 meses, solo el 51% de los CISOs españoles cree que cuentan con una protección adecuada de datos.

El informe Voice of the CISO 2023 analiza las respuestas de una encuesta a más de 1.600 CISOs de organizaciones de tamaño medio a grande de diferentes sectores, realizada por una entidad independiente. A lo largo del primer trimestre de este año, se entrevistó a un centenar de CISOs de cada uno de los siguientes 16 países: Estados Unidos, Canadá, Reino Unido, Francia, Alemania, Italia, España, Suecia, Países Bajos, Emiratos Árabes Unidos, Arabia Saudí, Australia, Japón, Singapur, Corea del Sur y Brasil. 

En concreto, este informe examina las tendencias globales y las diferencias regionales en torno a tres temas centrales: las amenazas y los riesgos a los que se enfrentan a diario los CISOs; el impacto de los empleados en la ciberpreparación de las organizaciones; y las defensas que están construyendo los CISOs, especialmente a medida que la recesión económica ejerce presión sobre los presupuestos de seguridad. También mide los cambios en cuanto a posicionamiento entre los CISOs y sus consejos de administración, viendo cómo su relación puede afectar a las prioridades en seguridad.

“Muchos CISOs no tienen esa sensación de calma que experimentaron brevemente después de vencer el caos provocado por la pandemia. Una vez que han vuelto a la rutina de siempre, se sienten menos seguros de las capacidades de su organización para defenderse de los ciberriesgos”, comenta Andrew Rose, CISO residente de Proofpoint en EMEA. “Nuestro informe Voice of the CISO 2023 indica que, aparte de las crecientes dificultades para proteger a su gente y defender sus datos, los CISOs están siendo puestos a prueba con mayores expectativas, desgaste e incertidumbre respecto a su responsabilidad individual. No obstante, este estudio nos da también un soplo de esperanza al ver cómo ha mejorado la relación entre los líderes de seguridad y los miembros de la junta directiva, lo que ayudará a las organizaciones a superar los retos de este año y los que vendrá en un futuro”.

Estas son las conclusiones del informe Voice of the CISO 2023 referentes a España:

• Las preocupaciones de los CISOs españoles son sustancialmente más elevadas que el año pasado, sintiéndose mucho menos preparados: el 72% ve riesgos de sufrir un ciberataque importante en los próximos 12 meses, frente al 31% del año pasado y al 50% en 2021. Asimismo, el 64% cree que su organización no está preparada para hacer frente a un ciberataque dirigido, respecto al 49% del año pasado y al 53% en 2021.
• La pérdida de datos sensibles se ve agravada por la rotación de empleados: el 58% de los responsables de seguridad en España afirma haberse enfrentado a pérdidas de datos sensibles en los últimos 12 meses; y de ellos, el 83% coincide en que la salida de empleados de la organización contribuyó a estos incidentes. Pese a esas pérdidas, el 51% de los CISOs considera que tiene controles adecuados para proteger los datos.
• Las amenazas internas encabezan la lista de amenazas más significativas: las principales amenazas percibidas por los CISOs españoles han cambiado, siendo ahora las amenazas internas las que se sitúan al principio de esta lista, seguidas de cerca por el fraude por correo electrónico (Business Email Compromise) y los ataques a la cadena de suministro. En 2022, los ataques a la cadena de suministro, el ransomware y el compromiso de cuentas cloud eran las principales preocupaciones.
• Probablemente la mayoría de las organizaciones pagará un rescate si se ve afectada por el ransomware: el 64% de los CISOs en España piensa que su organización pagaría por restaurar los sistemas y evitar la publicación de sus datos en caso de verse atacada por ransomware en los próximos 12 meses. Además, el 65% reclamaría un ciberseguro para recuperar las pérdidas sufridas por varios tipos de ataques.
• El riesgo en torno a la cadena de suministro es una prioridad cada vez mayor: el 59% de los responsables de seguridad españoles dice disponer de controles adecuados para mitigar el riesgo sobre la cadena de suministro, lo que supone un aumento respecto al 49% del año pasado. Aunque dichas protecciones pueden parecer adecuadas por ahora, en un futuro los CISOs pueden verse escasos de recursos: el 64% señala que la inestable economía ha afectado negativamente a su presupuesto de ciberseguridad.
• Los riesgos relacionados con las personas vuelven a resultar preocupantes: tras un descenso significativo el año pasado, más CISOs españoles consideran de nuevo el error humano como la mayor cibervulnerabilidad de su organización, con un 65% en la encuesta de este año frente al 48% de 2022 y al 68% en 2021. Al mismo tiempo, muchos más responsables de seguridad (73%) creen que los empleados entienden su papel en la protección de la organización, respecto al 53% del año pasado y al 58% en 2021, lo que ilustra los intentos por construir una cultura de seguridad sólida.
• Los CISOs y los consejos de las empresas están mucho más en sintonía: el 68% de los responsables de seguridad en España dice que los miembros de la junta directiva están de acuerdo con ellos en cuestiones de ciberseguridad. Esto supone un aumento sustancial respecto al 40% de los CISOs que compartían esta opinión el año pasado, acercándose así al 62% registrado en 2021.
• Las crecientes presiones sobre los CISOs hacen que su trabajo sea cada vez más insostenible: el 60% dice enfrentarse a expectativas laborales poco razonables, lo que supone un aumento respecto al 51% del año pasado. Si bien la vuelta a la normalidad puede explicar esta afirmación, la angustia que padecen los CISOs debido a su trabajo también suma: al 63% le preocupa su responsabilidad personal y el 62% sintió agotamiento en los últimos 12 meses.