Proofpoint publica su segundo informe anual Cybersecurity: The 2023 Board Perspective, que analiza las percepciones de los consejos de administración en empresas sobre el panorama de amenazas, las prioridades en ciberseguridad y las relaciones con los CISO. Los datos revelan que, en España, el 76% de los encuestados cree que su organización está en riesgo de sufrir un ciberataque (68 % en 2022) y que el 52% no se siente preparado para hacer frente a un ataque dirigido (47 % en 2022).
Este cambio entre un año y otro podría reflejar la volatilidad continua del panorama de amenazas, incluyendo el riesgo emergente de las herramientas de inteligencia artificial (IA), como ChatGPT. El 52 % de los miembros de juntas directivas en España opina que la IA generativa es un riesgo para la seguridad de su organización.
A pesar de estas preocupaciones, el 80 % de los encuestados españoles considera la ciberseguridad como prioridad, el 90 % cree que su junta entiende claramente los ciberriesgos a los que se enfrentan y el 74 % piensa que se ha invertido adecuadamente en ciberseguridad.
El informe Cybersecurity: The 2023 Board Perspective profundiza en las respuestas de una encuesta global realizada por terceros a 659 miembros de la junta directiva de organizaciones de 5.000 o más empleados pertenecientes a diferentes sectores. En junio de 2023 se entrevistó a más de 50 consejeros en los siguientes 12 países: Estados Unidos, Canadá, Reino Unido, Francia, Alemania, Italia, España, Australia, Singapur, Japón, Brasil y México.
Este estudio aborda tres áreas clave: riesgos y ciberataques a los que se enfrentan las juntas directivas, el nivel de preparación para combatir esas amenazas y cómo de alineados se encuentran estos responsables con los CISOs en base a las conclusiones del estudio Voice of the CISO 2023 de Proofpoint. Respecto a este último informe, se ha observado un incremento en el número de CISOs que se sienten en riesgo y no preparados, así como una alineación más estrecha que antes entre directores de juntas y líderes de seguridad.
Para Ryan Kalember, vicepresidente ejecutivo de estrategia de ciberseguridad de Proofpoint, los datos del estudio no hacen sino demostrar que «fortalecer aún más las relaciones entre la junta directiva y el CISO será fundamental en los próximos meses para que los directores y los líderes de seguridad puedan tener conversaciones más efectivas y se aseguren de que están invirtiendo en las prioridades correctas”.
Las principales conclusiones sobre organizaciones en España del informe Cybersecurity: The 2023 Board Perspective de Proofpoint son:
La IA generativa llama la atención de la sala de juntas: con herramientas como ChatGPT en el foco durante los últimos meses, el 52 % de los directores de consejos de administración en España ve esta tecnología emergente como un riesgo para la seguridad de su organización.
La comparación interanual señala la creciente preocupación de los miembros de la junta directiva acerca de los ciberriesgos: el 76 % de los encuestados españoles piensa que su organización está en riesgo de sufrir un ciberataque, frente al 68 % registrado en 2022.
La concienciación y la financiación no se traducen en preparación: el 80 % de los directores de consejos de administración españoles está de acuerdo en que la ciberseguridad es una prioridad para su junta, el 90% dice que su consejo entiende claramente los riesgos a los que se enfrenta, el 74 % considera que ha invertido adecuadamente en ciberseguridad y el 9 2% cree que este presupuesto aumentará en los próximos 12 meses. Sin embargo, estos esfuerzos no llevan a una mejor preparación: el 5 2% ve que su organización todavía no está preparada para hacer frente a un ciberataque en los próximos 12 meses.
Los consejos de administración y los CISOs tienen preocupaciones diferentes respecto a las principales amenazas: en las salas de juntas españolas predomina el malware (42 %), las amenazas internas (36 %) y los ataques DDoS (36 %). Esto difiere de la opinión de los CISOs españoles, quienes señalan las amenazas internas (38 %), el fraude por correo electrónico/Business Email Compromise (37 %) y ataques a la cadena de suministro (37 %) entre sus mayores inquietudes.
Los directivos de consejos no están alineados completamente con los CISOs en las áreas de riesgo sobre personas y protección de datos: mientras que la mayoría de consejeros españoles (56 %) y CISOs en España (65 %) están de acuerdo en que su mayor riesgo es el error humano, las juntas directivas tienen mucha más confianza en la capacidad de la organización para proteger sus datos (78 %) en comparación a los CISOs (51 %).
Recursos adicionales, mejor inteligencia sobre amenazas y regulaciones más estrictas encabezan la lista de deseos en las salas de juntas: el 42 % de los directores de consejos de administración en España piensa que la ciberseguridad de su organización se beneficiaría si hubiese más recursos, el 38 % desea tener acceso a una mejor inteligencia sobre amenazas y el 36 % pide normas cibernéticas más firmes.
Las interacciones y relaciones entre el consejo y los CISOs en España están mejorando: el 70 % de directivos afirma que interactúa con responsables de seguridad con regularidad, lo cual supone un aumento considerable respecto al año pasado (39 %). Asimismo, los miembros del consejo de administración y los líderes de seguridad suelen mostrarse más cercanos en sus interacciones: el 78% de consejeros asegura que comparte las mismas opiniones con los CISOs y el 68 % de CISOs afirma lo mismo.
La responsabilidad civil preocupa tanto a los consejos como a los CISOs: el 80 % de los consejeros españoles muestra inquietud hacia su obligación personal ante un incidente de ciberseguridad en su propia organización, coincidiendo con un 63 % de los CISOs encuestados en España.
“Los miembros de los consejos de administración se están tomando en serio las cuestiones de ciberseguridad, demostrando que no se dejan llevar por impresiones acerca del riesgo humano, así como el impacto que las ciberamenazas tienen en los resultados de una organización. Están avanzando en sus relaciones con los responsables de seguridad, comprendiendo que una asociación sólida entre los consejos y las organizaciones de ciberseguridad son más importantes que nunca”, afirma Kalember.