Presenta Proofpoint los resultados de su informe anual Voice of CISO, donde se estudian los retos, expectativas y prioridades de los directores de seguridad de la información. Analizamos algunos datos del informe en compañía de Fernando Anaya, responsable de la compañía para la región de Iberia. Entre los datos que llaman la atención del directivo destaca que el 58% de los CISO hayan tenido incidentes de fuga de información. Además, el 64 % de los directores de ciberseguridad se sienten menos preparados para afrontar un ciberataque dirigido, frente al 49 % del año anterior; por otra parte, el 72 % de los responsables de ciberseguridad “se sienten en riesgo de sufrir un ciberataque importante, frente al 31 % del año pasado”.
En opinión de Fernando Anaya, hace bastantes años que “los ataques se dirigen hacia las personas y son activados por las personas”, y el informe no hace sino poner de manifiesto que “el error humano vuelve a considerarse como la mayor debilidad que tienen las organizaciones”.
“los ataques se dirigen hacia las personas y son activados por las personas”
También destaca Fernando Anaya que la relación entre los CISO y los Consejos de Administración “ha mejorado”. Según el estudio el 68 % de los responsables de seguridad en España dice que los miembros de la junta directiva están de acuerdo con ellos en cuestiones de ciberseguridad, lo que supone un aumento sustancial respecto al 40 %. Dice el directivo de Proofpoint que “los CISOs han sabido trasladarle las preocupaciones al Consejo de Administración», a quienes preocupan el impacto que una brecha de seguridad en la valoración del negocio, la interrupción del propio negocio y la pérdida de clientes.
Las crecientes presiones sobre los CISO hacen que su trabajo sea cada vez más insostenible, Voice of CISO recoge que el 60% dice enfrentarse a expectativas laborales poco razonables, lo que supone un aumento respecto al 51% del año pasado. Si bien la vuelta a la normalidad puede explicar esta afirmación, la angustia que padecen los CISOs debido a su trabajo también suma: al 63% le preocupa su responsabilidad personal y el 62% sintió agotamiento en los últimos 12 meses.
El informe también recoge que el 58% de los responsables de seguridad en España afirma haberse enfrentado a pérdidas de datos sensibles en los últimos 12 meses; y de ellos, el 83% coincide en que la salida de empleados de la organización contribuyó a estos incidentes. Por otra parte, las principales amenazas percibidas por los CISOs españoles han cambiado, siendo ahora las amenazas internas las que se sitúan al principio de esta lista, seguidas de cerca por el fraude por correo electrónico (Business Email Compromise) y los ataques a la cadena de suministro. En 2022, los ataques a la cadena de suministro, el ransomware y el compromiso de cuentas cloud eran las principales preocupaciones.
Un portfolio visionario
Proofpoint es una compañía que arrancó en el mundo de la seguridad del correo electrónico y que ha expandido su oferta hacia el mundo del DLP, o prevención de la pérdida de datos; la formación y concienciación, capaz de reducir el impacto de los errores humanos; y la protección de la identidad gracias a la compra de Illusive a finales del año pasado. Tres nuevos caminos que coinciden con las grandes preocupaciones de los responsables de ciberseguridad. “Fuimos visionarios”, dice Fernando Anaya, explicando que el portfolio de la compañía “crece en torno a la protección del usuario, que está en el centro de la estrategia de ciberseguridad”.
Sobre la propuesta de DLP de Prooofpoint dice el directivo que, a diferencia de la tradicional, que se basaba en clasificar al dato en sí mismo, se basa en el usuario. “Dependiendo de quién esté accediendo a él, un dato puede ser más o menos crítico”, dice Anaya, explicando que la situación no es la misma si quien accede al dato es un empleado que ha anunciado que se va a ir de la compañía, un usuarios descuidado o negligente, o un empleado cuya cuenta ha sido comprometida; “las aproximaciones que tenemos que dar al dato tienen que ver mucho con el tipo de usuarios que lo esté accediendo”.
Por otra parte, la fuga de información se produce, o bien a través del correo electrónico, o bien a través de la cloud, o bien a través del endpoint, “y a ese respecto, somos uno de los pocos fabricantes que puede ofrecer protección en todos esos vectores”.
«Los ataques se dirigen al usuario y son activados por los usuarios”
La parte de la protección de la identidad… “lo estamos haciendo ya”, asegura el directivo, añadiendo que la compra de Illusive el pasado mes de diciembre “nos permite proteger las amenazas que presentan las identidades”. Illusive es una compañía pionera en ITDR, o Identity Threat Detection and Response, un nuevo cuadrante de Gartner que hace referencia a una nueva clase de soluciones de ciberseguridad especialmente diseñadas para proteger los sistemas de gestión de identidades.
El negocio de formación y concienciación “está creciendo mucho”, dice Fernando Anaya, para quien sigue siendo crucial establecer políticas o procedimientos claros en materia de protección de datos; “al final el denominador común en el grueso de las amenazas es el usuario. Los ataques se dirigen al usuario y son activados por los usuarios”. La propuesta de la compañía, PSAT (Proofpoint Security Awareness Training), evalúa el conocimiento que tienen las organizaciones, les ofrece formación con el fin de que cambien y que realicen buenas prácticas y en caso de necesidad “somos capaces de ofrecer remediación”.
