Visto desde fuera, el último año puede haber parecido tranquilo para los CISOs de todo el mundo. En los años anteriores, los CISOs tuvieron que lidiar con una pandemia global, la implementación masiva del trabajo en remoto y una alta rotación de empleados, por lo que cualquier cosa que no sea una catástrofe podría considerarse como la calma después de la tormenta.
Lamentablemente, no ha sido así. Al contrario, con una mayor dependencia de la tecnología en la nube, una fuerza laboral en movimiento y ejércitos de ciberdelincuentes equipados con tecnologías de IA, este ha sido el año en que la tormenta ha alcanzado su punto máximo.
Tanto es así que el informe Voice of the CISO 2024 de Proofpoint, una encuesta global a 1.600 CISOs, ha revelado que más de dos tercios (70%) de los responsables de ciberseguridad del mundo aún temen un ciberataque en los próximos 12 meses.
Dicho esto, en el caso de España, aunque los CISOs están evidentemente en alerta máxima, la confianza en su personal y en su postura de seguridad va en aumento. Sólo el 54% afirma no estar preparado para afrontar un ciberataque en caso de que se produzca, frente al 64% del año pasado y el 49% de 2022.
La dicotomía entre concienciación y preparación es un tema recurrente en el informe de este año. Sin embargo, como muchos pueden atestiguar, una no siempre conduce a la otra.
Los CISOs confían en sus empleados (pero siguen siendo un problema)
Cuando se les preguntó sobre su mayor vulnerabilidad en materia de ciberseguridad, hubo un claro consenso sobre el principal culpable: las personas.
Una vez más, entre los CISOs españoles, el error humano se percibe como la mayor amenaza para la ciberseguridad, con un 75% de acuerdo con esta afirmación, frente al 65% del año pasado. Dado que los empleados siguen trabajando a menudo fuera de los entornos de oficina tradicionales y protegidos, a través de múltiples plataformas en la nube, esta preocupación está más que justificada.
Los ciberdelincuentes tienen ahora una superficie de ataque mucho más amplia a la que apuntar, y todo lo que necesitan para tener éxito es un clic por descuido o una descarga errónea.
La rotación de personal también sigue siendo una de las principales preocupaciones. A pesar de que el 82% de los CISOs españoles creen tener controles adecuados para proteger sus datos, el 46% admite haber perdido datos confidenciales en los últimos 12 meses. El 70% afirman que la salida de empleados de su organización contribuyó a esta pérdida.
En contraste con esta aparente preocupación en torno al riesgo humano, la mayoría de los CISOs creen que los empleados comprenden su papel en la protección de la organización frente a los ciberataques. En los datos referentes a España en el informe Voice of the CISO de este año, el 87% estuvo de acuerdo con esta afirmación, frente al 73% en 2023 y el 53% en 2022.
Que tantos piensen así sugiere un alto nivel de confianza en los programas de concienciación y formación en seguridad. Sin embargo, dado que las personas siguen siendo consideradas la vulnerabilidad número uno, la confianza en que la concienciación se traduzca en preparación no parece tan alta.
La IA no siempre es útil
Cuando se les pide que evalúen las mayores ciberamenazas en el horizonte, los sospechosos habituales constituyen la mayor parte de la lista.
Más de un tercio de los CISOs citaron el malware (43%), el ransomware (33%) y el fraude por correo electrónico (33%). como principales preocupaciones. Sin embargo, hay un fenómeno más reciente que encabeza la lista.
El 62% de los CISOs españoles cree que la IA generativa representa el mayor riesgo de seguridad para sus organizaciones. Dado el aumento de su popularidad y la mayor funcionalidad de ChatGPT en los últimos 12 meses, este hallazgo no es en absoluto sorprendente.
Este gran modelo de lenguaje y otras herramientas de IA generativa similares son consideradas por los CISOs como las más propensas (43%) a introducir riesgos en sus organizaciones. Muchos programas más tradicionales, como Slack, Teams o Zoom (46%) y Microsoft 365 (42%), no se quedan atrás.
Sin embargo, no todo son malas noticias en lo que respecta a la IA. Si bien los CISOs tienen razón al ver su peligro potencial en manos de los ciberdelincuentes, otros la utilizan para fortalecer la seguridad y proteger los datos, desplegando capacidades basadas en IA para ayudar a mitigar los errores humanos y defenderse contra las ciberamenazas avanzadas.
Los CISOs se sienten más escuchados, pero bajo mayor presión
La relación entre los CISOs y los consejos de administración ha estado bajo la lupa desde los acontecimientos de 2020. A medida que las organizaciones se veían obligadas a mantener su actividad normal mientras implementaban masivamente el trabajo remoto, la perspectiva del CISO cobró más relevancia que nunca.
Aunque a algunos les preocupaba que esta influencia disminuyera una vez superados los peores efectos de la pandemia, no parece ser el caso.
Los CISOs siguen teniendo presencia en los consejos de administración de todo el mundo, y allí donde tienen un lugar en la mesa, las relaciones continúan mejorando. En 2024, el 87% de los CISOs españoles coincide en que los miembros de sus consejos de administración están alineados con ellos en materia de ciberseguridad.
Esto representa un salto significativo desde el 68% en 2023 y el 40% en 2022, lo que sugiere que la presencia constante del CISO está influyendo tanto en la estrategia empresarial como en la concienciación sobre la seguridad.
Lamentablemente, el sentimiento de los CISOs no es tan positivo en otros ámbitos. En España, durante el último año, el 60% de los CISOs admitió sentirse agotado, mientras que el 61% afirma enfrentarse a expectativas excesivas.
La recesión económica y los recortes presupuestarios también generan tensiones. El 64% de los CISOs españoles afirma que se les ha pedido que reduzcan personal o pospongan contrataciones, mientras que el 52% se siente limitado en su capacidad para realizar inversiones cruciales para la empresa.
Proteger al personal para defender la organización
A pesar de la presión inherente a su importante rol, muchos CISOs mantienen el optimismo después de otro año desafiante.
La mayoría afirma haber fortalecido sus relaciones con los consejos de administración, confiar más en su capacidad para contrarrestar los ciberataques y haber asignado con éxito presupuestos a programas de concienciación de usuarios y prevención de pérdida de datos.
En cuanto a los principales desafíos, las personas y sus comportamientos siguen ocupando el primer lugar.
El CISO puede tener numerosas prioridades para el próximo año, como combatir los ataques impulsados por IA junto con viejos adversarios como el ransomware y el Business Email Compromise (BEC). Sin embargo, abordar el problema del riesgo humano debe seguir siendo la prioridad principal para garantizar que puedan continuar protegiendo a sus organizaciones ahora y en el futuro.
Fernando Anaya, country manager de Proofpoint