Proofpoint realiza anualmente una encuesta a los CISO de todo el mundo para conocer sus puntos de vista y preocupaciones. Este año, nuestro informe Voice of the CISO 2022 recoge las opiniones de más de 1.400 responsables de seguridad.
Ya en la edición anterior había demasiada preocupación por el creciente panorama de amenazas y por no saber a qué riesgos dar prioridad. Los CISO se sentían abrumados y asediados por esta labor tan complicada.
Dado que en 2021 y en el comienzo de 2022 apenas se redujeron las amenazas, sino que hubo que enfrentarse a aumentos récord de ransomware y BEC ((Business Email Compromise), se esperaba ver un resultado similar en la encuesta de este año, con los equipos de seguridad a nivel mundial más preocupados todavía. Por este motivo, fue sorprendente encontrarse con que la comunidad de CISO se sintiera más cómoda y relajada ahora, lo que hace que nos preguntemos por qué y qué significa esto para nuestras funciones.
Lo bueno
Los equipos de seguridad lo han tenido difícil durante los últimos años. Los cambios impulsados por la COVID no eran más que la guinda del pastel en cuanto a amenazas, riesgos y peligros. Los CISO se han ido adaptando a un conjunto cada vez mayor de responsabilidades que abarcan la resiliencia operativa, el desarrollo de aplicaciones y productos, la continuidad del negocio, el cumplimiento, la privacidad, la gestión de riesgos y, cada vez más, la seguridad física. Estábamos desbordados a medida que aumentaban los ataques y las probabilidades de que estos tuvieran impactos multimillonarios para las empresas. Este ya era un papel para valientes, incluso antes de que la pandemia impusiera la reducción de costes, la agilidad empresarial y el trabajo a distancia con plazos inmediatos e inamovibles.
Es interesante conocer que los CISO sienten que han superado con éxito este tiempo turbulento y están saliendo casi intactos. Confiar en su supervivencia de los últimos años es una validación de su selección de controles, habilidades de gestión y visión estratégica. Los CISO han detectado menos ataques que al comienzo de la COVID, y menos del 50 por ciento se sintió en riesgo de una brecha de seguridad material, por debajo del 64 por ciento registrado en 2021.
Sorprendentemente, incluso sus niveles de estrés se han reducido, ya que solo el 49 por ciento declaró que su función conllevaba ‘expectativas excesivas’, frente al 57 por ciento del año anterior. Que la mitad de nosotros estemos estresados sigue sin ser una buena noticia, pero deberíamos celebrar esta tendencia positiva.
Y lo menos bueno
Hubo algunas estadísticas de amenazas y daños que se nivelaron o bajaron, y es significativo considerarlas también. Se sigue reconociendo que las personas son la principal superficie de ataque para una organización, algo que refuerza las conclusiones del informe DBIR de Verizon y el Foro Económico Mundial. Únicamente el 60% considera que su personal está suficientemente formado y concienciado, lo cual deja una importante brecha que hay que abordar.
Curiosamente, una de las mayores decepciones se produjo en la relación entre el CISO y su consejo de administración, siendo más notable en las empresas con más de 5.000 empleados. La percepción de una relación positiva cayó del 71 al 51 por ciento. Además, la mitad de los CISO seguían pensando que su empresa no había sabido prepararlos para tener éxito.
¿Por qué esa calma según los CISO?
Hay que tener en cuenta qué ocurrió en 2021 para que estas cifras bajaran. Parece que las duras decisiones en materia de ciberseguridad tomadas a lo largo del año pasado no siempre estuvieron en consonancia con las recomendaciones de los CISO. Todos conocemos casos de recortes y de cuestiones que se han dejado de lado en aras de la eficacia empresarial.
Esto ha recordado a los CISO que, después de un período de enfoque, apoyo y empoderamiento, la junta directiva realmente tiene otros asuntos que gestionar también. Y la seguridad es solo una pieza del rompecabezas.
Los responsables de seguridad gestionaron con éxito los riesgos y vieron los beneficios de tomar un camino que, quizás de forma aislada, no habrían elegido por sí mismos. Aunque no se les reconozca el mérito, tienen razones para alegrarse de que su táctica haya funcionado.
CISO: Mirando al futuro
De ahora en adelante está más que asumido que el personal sigue siendo la principal superficie de ataque para una organización y la fuente más probable de la mayoría de infracciones. Eso sí, aunque existe un déficit significativo entre la posición deseada y la realidad. Este es uno de los pocos puntos en los que los CISO tienen una visión clara, ya que todavía carecen de consenso sobre las principales amenazas a las que se enfrentan, con solo un cuatro por ciento de diferencia entre las amenazas más y menos preocupantes.
Según la nueva encuesta, las principales prioridades estratégicas son promover la protección de la información (39%), aumentar la concienciación sobre la ciberseguridad (38%) y consolidar y externalizar las soluciones y controles de seguridad (36%).
Mientras que las dos primeras categorías son siempre prioritarias en la agenda del CISO, la última está seguramente impulsada por lo ocurrido desde 2020. Las configuraciones de TI son cada vez más complejas, con los empleados trabajando desde cualquier lugar, la adopción de la nube cubriendo algunas lagunas dentro del entorno de oficinas y algunos controles tácticos a corto plazo todavía en vigor.
En general, los CISO parecen percibir este año como ‘la calma después de la tormenta’. Sin embargo, debemos ser conscientes de que la tormenta nunca se ha calmado realmente. Simplemente nos hemos acostumbrado a ella. A medida que aumentan las tensiones geopolíticas y se intensifican los ataques centrados en las personas, las mismas brechas en la concienciación, preparación y prevención de los usuarios están listas para volver a complicar la situación.