Tras más de dos años de pandemia por el COVID-19, las organizaciones se han adaptado a su nueva normalidad. Pero para los CISOs, 2021 fue otro año exigente, ya que una multitud de ataques disruptivos a gran escala mantuvo a las organizaciones en alerta máxima. Y justo cuando se desvanecía el caos de la pandemia, nuevos acontecimientos -incluidos la Gran Dimisión y las tensiones geopolíticas en Europa- se sumaron a los ya importantes niveles de estrés de los CISOs.
¿Cómo afrontan los responsables de seguridad la escalada de amenazas a la cadena de suministro y a las infraestructuras críticas, la creciente escasez de talento y el mayor control de sus consejos de administración? Para conocer su punto de vista, encuestamos a 1.400 CISOs de todo el mundo y recogimos sus opiniones en la segunda edición de nuestro informe anual Voice of the CISO. Y aunque podemos calificar algunos de los resultados como inesperados, en general, me anima saber que los CISOs se sienten más seguros sobre la estrategia de seguridad de sus organizaciones.
Esto es lo que me sorprendió. A pesar de la continua escalada de amenazas y la creciente presión para responder eficazmente incluso con menos recursos, sólo el 48% de los CISOs sienten que su organización está en riesgo de experimentar un ataque significativo en los próximos 12 meses. Un descenso considerable respecto al 64% del año pasado.
Basándome en mis conversaciones con los CISOs, creo que esta reducción de su preocupación muestra que los líderes de seguridad también se han adaptado a una nueva normalidad. Han aceptado que ahora trabajan en un mundo diferente y que su realidad actual es funcionar a niveles más altos y con mayor capacidad. Después de pasar el año 2020 reaccionando a la pandemia y reforzando las defensas, los responsables de seguridad han alcanzado un nuevo nivel de tranquilidad, aunque la intensidad de las amenazas no haya disminuido.
Las amenazas internas han ascendido del tercer puesto del año pasado al primero en la lista de los mayores ciber-riesgos percibidos que afectarán a las organizaciones durante el próximo año. Independientemente de si se trata de un comportamiento humano accidental, negligente o delictivo, para los CISOs es igual en términos de cuál es más probable que cause una brecha o exposición de datos en su organización. Esto se ve agravado por el error humano, que el 56% de los CISOs globales considera la mayor ciber vulnerabilidad de su organización.
Los ataques de ransomware han dominado el panorama informativo, lo que ha contribuido al aumento de la concienciación sobre la ciberseguridad en los consejos de dirección y ha aupado el ransomware a la parte alta de la agenda de las organizaciones. El 58% de los directores de seguridad informática de todo el mundo ha contratado un ciberseguro y 3 de cada 5 se centran en la prevención en lugar de en estrategias de detección y respuesta. Sin embargo, a pesar del aumento del riesgo, un preocupante 42% de los CISOs admite que no cuenta con una política de pago de rescates.
El cambio de rol del CISO
La buena noticia es que los CISOs, finalmente, se han ganado un asiento en los consejos. Antes de la pandemia, esto era una hazaña casi imposible, pero ahora las juntas directivas entienden que los CISOs son mucho más que tecnólogos. Con la importancia de su trabajo al alza, los líderes de la seguridad se están adaptando a un aumento de las expectativas. Sólo la mitad de los CISOs encuestados este año consideraba que las nuevas exigencias de su función eran excesivas, lo que supone un descenso de siete puntos con respecto a 2021.
Nuestra encuesta descubrió que la mejora de la protección de la información y la concienciación sobre ciberseguridad siguen siendo lo más importante en la agenda de los CISOs. A medida que crece su papel estratégico, los CISOs saben lo que necesitan para mejorar y están bien posicionados para desempeñar un papel más importante en la gestión de los riesgos de su organización. El informe muestra que los CISOs han aceptado una nueva era de mayores amenazas y con responsabilidades también mayores, y siguen apasionados por su trabajo.
Visita https://www.proofpoint.com/es/resources/white-papers/voice-of-the-ciso-report para leer las conclusiones completas del informe Voice of the CISO 2022.
Para conocer más a fondo las conclusiones del informe para España, regístrate para el webinar regional Voice of the CISO que celebraremos el jueves 26 de mayo a las 10:00 horas CEST.