Según un nuevo encuesta de 1.600 directores de seguridad de la información de todo el mundo por la empresa de seguridad cibernética Proofpoint, el 68% de los encuestados siente que su organización está en riesgo de ser atacada en los próximos 12 meses, y el 25% de ellos califica ese riesgo como muy probable. El año anterior, solo el 48% creía que un ciberataque los golpearía durante el próximo año.
Geográficamente hablando, los CISO más preocupados se encuentran en el Reino Unido (84 %), Alemania (83 %) y Singapur (80 %), y los EE. UU. representan el 73 %. Con respecto a las verticales de negocios, los CISO en comercio minorista (77 %), manufactura (76 %) y finanzas (71 %) se sienten más preocupados por los ataques cibernéticos.
Salta a:
Las principales amenazas de ciberseguridad clasificadas por los CISO
Los CISO consideran que el compromiso del correo electrónico comercial es la mayor amenaza para sus organizaciones (33 %) durante los próximos 12 meses (Figura A). Este tipo de fraude generado ajustado pérdidas de alrededor de $ 2.4 mil millones en 2021, según el Centro de Quejas de Delitos en Internet del FBI.
Figura A
La amenaza interna, que se consideró el mayor riesgo para los CISO el año pasado, llega justo después de la amenaza BEC (30%). Estas amenazas internas pueden ser negligentes, accidentales o criminales.
El compromiso de la cuenta en la nube y los ataques de denegación de servicio distribuido son las principales preocupaciones para el 29 % de los CISO.
Los ataques a la cadena de suministro aparecen a la misma tasa del 27 % que los ataques de ransomware y los ataques de smishing y vishing. Los ataques a la cadena de suministro se han vuelto más grandes y complejos, y proteger estas redes opacas se ha vuelto más difícil que nunca. Sin embargo, el 64 % de los CISO creen que están suficientemente armados para mitigar el riesgo de la cadena de suministro.
VER: Utilice este kit de contratación de análisis de seguridad de TechRepublic Premium para encontrar a alguien que pueda ayudarlo a monitorear la postura de seguridad de su empresa.
Cuando se trata de la amenaza del ransomware, los CISO están cada vez más abiertos a pagar rescates a los ciberdelincuentes (62 %) para restaurar sistemas o evitar la liberación de datos. Esta estadística no es sorprendente porque el Foro Económico Mundial informó en 2022 que el 71% de las organizaciones tienen seguro cibernético, y el 61% de los CISO dijeron que presentarían un reclamo sobre las pólizas de seguro cibernético para recuperar las pérdidas sufridas.
Sin embargo, la mayoría de los CISO (62 %) cree que su organización es capaz de detectar y eliminar un actor de amenazas de ransomware utilizando credenciales robadas o comprometidas antes de que se produzcan daños materiales. Según Proofpoint, es probable que esa confianza esté fuera de lugar, ya que las tecnologías de detección y respuesta de punto final no alertan a los clientes sobre el uso de credenciales comprometidas.
Cuando se trata de vulnerabilidades cibernéticas, el 60 % de los CISO encuestados consideran que los errores humanos son el mayor riesgo, lo cual es consistente con los estudios de los dos años anteriores.
El sesenta y uno por ciento de los CISO cree que sus empleados entienden su papel en la protección de su organización contra las amenazas cibernéticas, y el 25% está totalmente de acuerdo. Esos números no evolucionaron durante los dos últimos años, lo que sugiere “poco progreso en la construcción de una cultura de conciencia de seguridad”, según Proofpoint.
Conciencia versus preparación
Proofpoint notó una desconexión preocupante entre la conciencia de los posibles ciberataques que afectan a las empresas y su preparación, ya que el 61 % de los CISO están de acuerdo en que su organización no está preparada para hacer frente a un ciberataque dirigido.
A encuesta de Proofpoint para miembros de la junta hecho el año pasado indicó que solo el 47% de ellos creía que no estaban preparados para ataques cibernéticos dirigidos. Proofpoint cree que los CISO tienen “una mejor lectura de la postura de seguridad y la comprensión del panorama de amenazas”, y el optimismo a nivel de directorio probablemente se base en una imagen incompleta de la situación actual.
Las principales prioridades de los CISO para los próximos dos años
Prácticamente sin cambios con respecto al año pasado, las prioridades de los CISO para los próximos dos años se centran en la innovación como DevSecOps o desarrollo de productos (39 %), consolidación (37 %) y subcontratación de controles de seguridad a centros de operaciones de seguridad, proveedores de seguridad de servicios administrados, etc. ( 35%) (Figura B).
Figura B
La recesión económica mundial afecta estas prioridades de CISO. Muchas organizaciones están reduciendo los presupuestos de seguridad cibernética mientras dejan a sus CISO con los mismos objetivos. Más de la mitad de los CISO (58 %) mencionaron que los eventos económicos recientes han afectado negativamente su presupuesto de ciberseguridad, siendo el sector público y TI los más afectados.
Las relaciones positivas de los CISO con sus directorios
Con la creciente influencia del rol de CISO, hay interacciones más frecuentes a nivel de directorio. El sesenta y dos por ciento de los CISO están de acuerdo en que su directorio está de acuerdo con ellos en temas de seguridad cibernética.
Con respecto a la pérdida de datos, los CISO creen que las principales preocupaciones de sus directorios son el daño a la reputación (36 %), el impacto en la valoración del negocio (36 %) y la pérdida de clientes actuales (36 %), mientras que la realidad de los impactos en el mundo real son el tiempo de inactividad operativo y la recuperación de datos. (38%), pérdida financiera (33%) y sanciones regulatorias (33%). Sin embargo, muchas de estas preocupaciones están interrelacionadas, ya que el tiempo de inactividad operativo puede provocar daños en la reputación, pérdida de clientes y devaluación del negocio.
El sesenta y dos por ciento de los CISO cree que la experiencia en seguridad cibernética debería ser un requisito a nivel de directorio. Esta visión es interesante cuando se piensa que la Comisión de Bolsa y Valores de EE. UU. propuesto exigir a las empresas que cotizan en bolsa que revelen si un miembro de la junta tiene experiencia en ciberseguridad.
Trabajo estresante con un alto índice de burnout
El trabajo remoto e híbrido que se implementó repentinamente en las empresas ha generado más presión, y el 61 % de los CISO están de acuerdo en que ahora enfrentan expectativas excesivas. Ese número creció del 49% en 2022 y del 57% en 2021.
Esta presión está aún más presente, ya que los presupuestos de ciberseguridad se reducen debido a la recesión económica mundial para muchas empresas.
La cuestión de la responsabilidad personal también preocupa al 62 % de los CISO. Sesenta y uno por ciento de ellos dicen que no se unirían a una organización que no ofrecería a los directores y funcionarios un seguro o similar para protegerlos.
No es de extrañar que, en estas condiciones, el 60 % de los CISO encuestados digan haber experimentado agotamiento en los últimos 12 meses.
CISO y comunicación de la junta para impulsar la ciberseguridad
Los últimos años han sido especialmente difíciles, seguidos de un largo período de transición antes de volver a una nueva normalidad. Para muchas organizaciones, esta nueva normalidad debe manejarse con presupuestos de ciberseguridad reducidos debido a la recesión económica mundial.
En el lado positivo, los CISO tienen más visibilidad con sus directorios y la comunicación entre esos grupos se ha vuelto más fluida. Sin duda, este aumento en la relación entre los CISO y los miembros de su junta beneficiará a la ciberseguridad.
Divulgación: Trabajo para Trend Micro, pero las opiniones expresadas en este artículo son mías.
