La ciberseguridad es prioridad máxima para el 77% de los consejos de administración

  • Actualidad

Un informe de Proofpoint y el consorcio de investigación MIT Sloan confirma que la preocupación por la ciberseguridad ha llegado a las agendas de los consejos de administración. Aunque tres cuartas partes de los miembros encuestados piensan que su empresa ha realizado las inversiones adecuadas en este ámbito, un 68% cree que puede darse un ciberataque en su organización.

Este informe, titulado Cybersecurity: The 2022 Board Perspective, profundiza en las respuestas de una encuesta global a 600 miembros de juntas directivas de organizaciones de 5.000 o más empleados de diferentes sectores, complementada con 50 entrevistas a presidentes de consejos de administración de doce países: Estados Unidos, Canadá, Reino Unido, Francia, Alemania, Italia, España, Australia, Singapur, Japón, Brasil y México. 

Entre sus conclusiones destaca que el 77% de los participantes considera la ciberseguridad una prioridad máxima para su consejo de administración y, de hecho, un porcentaje muy similar, el 76%, asegura debatir sobre este tema al menos mensualmente. También un 75% cree que este órgano corporativo comprende claramente los riesgos sistémicos a los que se enfrentan sus organizaciones, y un 76% afirma haber realizado inversiones adecuadas en ciberseguridad. 

Al mismo tiempo, pese a sostener que sus compañías han hecho los deberes en esta materia, casi dos tercios (65%) de los consejeros creen que su organización corre el riesgo de sufrir un ciberataque importante en los próximos doce meses. En esa línea, el 47% opina además que su empresa no está preparada para hacer frente a un ataque dirigido. Esto pone de relieve que los esfuerzos realizados en financiación son considerados insuficientes ante el actual panorama de amenazas.

Su visión es diferente a la de los CISOs en algunos puntos. Por ejemplo, el porcentaje de directores de seguridad que creen que su organización corre el riesgo de sufrir un ciberataque importante en los próximos doce meses baja al 48% y, en el caso de España, mienras que el 68% de los miembros de la junta directiva cree que puede darse un ciberataque en su empresa, solo el 31% de los CISOs está de acuerdo.  

En lo que respecta a la perceción de las amenazas a las que se enfrentan, en el caso de los órganos de dirección consideran el fraude por correo electrónico y los ataques Business Email Compromise (BEC) como su principal preocupación (41%), seguido por el compromiso de cuentas cloud (37%) y el ransomware (32%). Los CISOs coinciden en señalar el fraude por correo electrónico, los ataques BEC y el compromiso de cuentas cloud entre sus principales preocupaciones, pero la mayor amenaza para ellos son las personas con acceso a información privilegiada. En cambio, para los miembros de juntas directivas, esas personas con acceso a información privilegiada son una preocupación menor. Estos datos de la encuesta a nivel global contrastan con los datos obtenidos de empresas españolas: por orden, las preocupaciones de los consejos de administración son el fraude por email y BEC (54%), ransomware (50%) y malware (42%); y los CISOs se fijan más en ataques a la cadena de suministro, ransomware y compromiso de cuentas cloud.

Otro ejemplo de diferencia de percepción es que los miembros de consejos de administración no coinciden con los CISOs acerca de las consecuencias más importantes de un incidente en ciberseguridad. La filtración de datos internos encabeza la lista de preocupaciones de los consejos a nivel global (37%), seguida de cerca por el daño reputacional (34%) y la pérdida de ingresos (33%). Los CISOs a nivel global, por su parte, están más preocupados por el tiempo de inactividad, la interrupción operativa y el impacto en las valoraciones del negocio. Para los directivos españoles, las mayores preocupaciones son la publicación de datos internos y la pérdida de ingresos (44%), mientras que en el caso de los CISOs españoles son el daño reputacional y la interrupción operativa.

Por otro lado, una mayor concienciación de los empleados no protege del error humano. En este sentido, el informe subraya que, a pesar de que el 76% de los encuestados globales (74% en España) piensa que los empleados entienden su papel en la protección de la organización contra amenazas, el 67% de los miembros de la junta directiva (54 % en España) ve el error humano como su mayor cibervulnerabilidad.

En definitiva, concluye la investigación que hay margen de mejora en la relación entre los consejos de administración y los CISOs. Según la encuesta global, el 69% de los miembros de consejos afirma estar de acuerdo con sus CISOs, pero solo el 51% de estos piensan lo mismo. Mientras, en España, hay un 76% de directivos que coinciden con sus CISOs y menos responsables de seguridad (40%), alineados con los miembros de consejos de administración de sus organizaciones.  

Por último, los consejos se están preparando para la supervisión reglamentaria. En este punto, tanto en la encuesta global como solo en España, el 80% está de acuerdo en que las organizaciones deberían estar obligadas a informar de un ciberataque importante a los reguladores en un plazo de tiempo razonable y solo el 6% discrepa sobre esto.