Proofpoint ha publicado su informe anual Voice of the CISO, que analiza los principales retos, expectativas y prioridades de los responsables de ciberseguridad (Chief Information Security Officers o CISOs) de todo el mundo.
El informe de 2024 señala una tendencia notable: mientras que el miedo a un ciberataque continúa creciendo, los CISOs españoles demuestran una creciente confianza en su capacidad para defenderse frente a las amenazas, lo que refleja un cambio significativo en el panorama de la ciberseguridad. El 61% de los CISOs en España se siente en riesgo de sufrir un ciberataque en los próximos 12 meses, frente al 72% de 2023. Mientras que los CISOs siguen en alerta máxima, su confianza está creciendo: sólo el 54% no se siente preparado para hacer frente a un ciberataque dirigido, descendiendo respecto al 64% de 2023.
El error humano continúa siendo percibido como el talón de Aquiles de la ciberseguridad, con tres cuartas partes (75%) de los CISOs en España identificándolo como la vulnerabilidad más significativa. En un año en el que han aumentado las amenazas internas y la pérdida de datos provocada por las personas, más CISOs que nunca (86%) ven el riesgo humano, y en particular a los empleados negligentes, como una preocupación clave en materia de ciberseguridad en los próximos dos años. Sin embargo, hay un creciente optimismo en el papel de las soluciones basadas en IA para mitigar los riesgos centrados en las personas, lo que refleja un giro estratégico hacia las defensas basadas en la tecnología.
El informe Voice of the CISO 2024 examina las respuestas a una encuesta global realizada por terceros a 1.600 CISOs de organizaciones con 1.000 empleados o más de diferentes sectores. Durante el primer trimestre de 2024, se entrevistó a 100 CISOs en cada mercado de 16 países: Estados Unidos, Canadá, Reino Unido, Francia, Alemania, Italia, España, Suecia, Países Bajos, Emiratos Árabes Unidos, Arabia Saudí, Australia, Japón, Singapur, Corea del Sur y Brasil.
Este análisis muestra cuál es el estado de la ciberseguridad desde la perspectiva de quienes están a la vanguardia de la protección de las personas y la defensa de los datos. También subraya la importancia de mantener unas medidas de ciberseguridad sólidas frente a las presiones económicas y el papel fundamental de los factores humanos en la preparación de las organizaciones. La encuesta mide asimismo los cambios en la alineación entre los responsables de seguridad y sus consejos de administración, explorando cómo su relación influye en las prioridades sobre seguridad.
En el caso de los CISOs españoles, estas son las principales conclusiones del informe Voice of the CISO 2024 de Proofpoint:
El error humano sigue encabezando las amenazas de seguridad, pero los CISOs en España recurren a soluciones de IA como ayuda. Estamos viendo un aumento en el número de CISOs que ven el error humano como la mayor cibervulnerabilidad de su organización: el 75% en la encuesta de este año frente al 65% en 2023. Sin embargo, el 87% de los CISOs cree que los empleados entienden su papel en la protección de la empresa. Esta confianza es mayor que en años anteriores: 73% en 2023 y 53% en 2022. Esto puede atribuirse al 84% de los CISOs encuestados que busca implementar funcionalidades impulsadas por IA para ayudar a proteger contra el error humano y las ciberamenazas avanzadas centradas en las personas.
Los CISOs españoles aún temen los ciberataques, pero menos se sienten desprevenidos, lo que demuestra una creciente confianza en sus medidas de seguridad. En 2024, el 61% de los CISOs encuestados se siente en riesgo de sufrir un ciberataque en los próximos 12 meses, frente al 72% en 2023 y el 31% en 2022. Sin embargo, el 54% considera que su organización no está preparada para hacer frente a un ciberataque dirigido, un porcentaje menor que el 64% en 2023.
La IA generativa encabeza las preocupaciones de seguridad de los CISO españoles. En 2024, el 62% de los CISOs encuestados piensa que la IA generativa supone un riesgo de seguridad para su organización. Los tres principales sistemas que creen que introducen riesgo para sus organizaciones son Microsoft 365 (46%), Slack/Teams/Zoom/otras herramientas de colaboración (42%), y ChatGPT/otra IA generativa (43%).
La rotación de empleados sigue siendo una preocupación, pero los CISOs en España confían en sus defensas. En 2024, el 46% de los responsables de seguridad declaró haber tenido que hacer frente a una pérdida de datos confidenciales en los últimos 12 meses; y de ellos, el 70% coincidió en que la salida de empleados de la organización contribuyó a esa pérdida. A pesar de ello, el 82% de los CISOs cree que tiene controles adecuados para proteger sus datos
La mayoría de los CISOs españoles ha adoptado tecnología DLP y ha invertido más en formación en seguridad. El 44% de los CISOs encuestados en 2024 dispone de tecnología de prevención de pérdida de datos (DLP), frente a sólo el 41% en 2023. Más de la mitad (52%) de los CISOs invirtió en formar a los empleados en mejores prácticas de seguridad, un porcentaje mayor que el 42% en 2023.
El malware y el ransomware encabezan las preocupaciones de los CISOs españoles. Las mayores amenazas a la ciberseguridad percibidas por los CISOs en España durante 2024 son el malware (43%), los ataques de ransomware (33%) y BEC o fraude por correo electrónico (33%). Estas son diferentes de las del año pasado, en el que los CISOs percibieron la amenaza interna (negligente, accidental o criminal), el fraude por email y los ataques a la cadena de suministro como las mayores amenazas.
Postura firme sobre el pago de rescates con una mayor dependencia de los ciberseguros. En 2024, el 63% (64% en 2023) de los CISOs en España cree que su organización pagaría para restaurar los sistemas y evitar la liberación de datos si fuera atacada por ransomware en los próximos 12 meses. El 81% de los CISOs dijo que confiaría en las reclamaciones de los seguros para recuperar las pérdidas potenciales incurridas, en comparación con el 65% en 2023.
La relación Consejo-CISO en España ha mejorado significativamente. En 2024, el 87% de los CISOs coincide en que los miembros de la junta directiva están de acuerdo con ellos en cuestiones de ciberseguridad. Se trata de un salto significativo desde el 68% de 2023 y el 40 % de 2022.
Las presiones a los CISOs españoles son incesantes. En 2024, el 60% de los CISOs admitió estar agotado frente al 62% del año pasado, mientras que el 61% considera que se enfrenta a expectativas excesivas, un aumento constante desde el 60% del año pasado y el 51% en 2022. La sostenibilidad de las continuas expectativas de los CISOs sigue siendo puesta a prueba: al 76% le preocupa la responsabilidad personal (66% en 2023) y el 81% (69% en 2023) no se uniría a una organización que no ofrezca cobertura de seguro a los directivos. Además, el 64% de los CISOs coincide en que la actual recesión económica ha obstaculizado su capacidad para realizar inversiones clave para el negocio, y al 52% de ellos se les ha pedido que recorten personal o retrasen contrataciones, así como que reduzcan presupuestos de seguridad.