Los CISO apuntan al error humano como el principal riesgo de ciberseguridad

Proofpoint ha publicado su informe anual Voice of the CISO, que analiza los principales retos, expectativas y prioridades de los responsables de ciberseguridad (Chief Information Security Officers o CISO) de todo el mundo.

El informe de 2024 señala una tendencia notable: mientras que el miedo a un ciberataque continúa creciendo, los CISO españoles demuestran una creciente confianza en su capacidad para defenderse frente a las amenazas, lo que refleja un cambio significativo en el panorama de la ciberseguridad.

El 61% de los CISO en España se siente en riesgo de sufrir un ciberataque en los próximos 12 meses, frente al 72% de 2023. Mientras que los CISO siguen en alerta máxima, su confianza está creciendo: sólo el 54% no se siente preparado para hacer frente a un ciberataque dirigido, descendiendo respecto al 64% de 2023.

Empleados negligentes como preocupación clave en ciberseguridad

El error humano continúa siendo percibido como el talón de Aquiles de la ciberseguridad, con tres cuartas partes (75%) de los CISO en España identificándolo como la vulnerabilidad más significativa. En un año en el que han aumentado las amenazas internas y la pérdida de datos provocada por las personas, más CISO que nunca (86%) ven el riesgo humano, y en particular a los empleados negligentes, como una preocupación clave en materia de ciberseguridad en los próximos dos años.

Sin embargo, hay un creciente optimismo en el papel de las soluciones basadas en IA para mitigar los riesgos centrados en las personas, lo que refleja un giro estratégico hacia las defensas basadas en la tecnología.

El informe Voice of the CISO 2024 muestra cuál es el estado de la ciberseguridad desde la perspectiva de quienes están a la vanguardia de la protección de las personas y la defensa de los datos. También subraya la importancia de mantener unas medidas de ciberseguridad sólidas frente a las presiones económicas y el papel fundamental de los factores humanos en la preparación de las organizaciones.

La encuesta mide asimismo los cambios en la alineación entre los responsables de seguridad y sus consejos de administración, explorando cómo su relación influye en las prioridades sobre seguridad. En el caso de los CISO españoles, estas son las principales conclusiones del informe Voice of the CISO 2024 de Proofpoint:

El error humano sigue encabezando las amenazas de seguridad, pero los CISO en España recurren a soluciones de IA como ayuda. El informe señala estar viendo un aumento en el número de CISO que ven el error humano como la mayor cibervulnerabilidad de su organización: el 75% en la encuesta de este año frente al 65% en 2023. Sin embargo, el 87% de los CISO cree que los empleados entienden su papel en la protección de la empresa.

Los CISO españoles aún temen los ciberataques, pero menos se sienten desprevenidos, lo que demuestra una creciente confianza en sus medidas de seguridad. En 2024, el 61% de los CISO encuestados se siente en riesgo de sufrir un ciberataque en los próximos 12 meses, frente al 72% en 2023 y el 31% en 2022. Sin embargo, el 54% considera que su organización no está preparada para hacer frente a un ciberataque dirigido, un porcentaje menor que el 64% en 2023.

La IA generativa encabeza las preocupaciones de seguridad de los CISO españoles. En 2024, el 62% de los CISO encuestados piensa que la IA generativa supone un riesgo de seguridad para su organización. Los tres principales sistemas que creen que introducen riesgo para sus organizaciones son Microsoft 365 (46%), Slack/Teams/Zoom/otras herramientas de colaboración (42%), y ChatGPT/otra IA generativa (43%).

La rotación de empleados sigue siendo una preocupación, pero los CISO en España confían en sus defensas. En 2024, el 46% de los responsables de seguridad declaró haber tenido que hacer frente a una pérdida de datos confidenciales en los últimos 12 meses; y de ellos, el 70% coincidió en que la salida de empleados de la organización contribuyó a esa pérdida. A pesar de ello, el 82% de los CISO cree que tiene controles adecuados para proteger sus datos.

La mayoría de los CISO españoles ha adoptado tecnología DLP y ha invertido más en formación en seguridad. El 44% de los CISO encuestados en 2024 dispone de tecnología de prevención de pérdida de datos (DLP), frente a sólo el 41% en 2023. Más de la mitad (52%) de los CISO invirtió en formar a los empleados en mejores prácticas de seguridad, un porcentaje mayor que el 42% en 2023.

El malware y el ransomware encabezan las preocupaciones de los CISO españoles. Las mayores amenazas a la ciberseguridad percibidas por los CISO en España durante 2024 son el malware (43%), los ataques de ransomware (33%) y BEC o fraude por correo electrónico (33%). Estas son diferentes de las del año pasado, en el que los CISO percibieron la amenaza interna (negligente, accidental o criminal), el fraude por email y los ataques a la cadena de suministro como las mayores amenazas.

Postura firme sobre el pago de rescates con una mayor dependencia de los ciberseguros. En 2024, el 63% (64% en 2023) de los CISO en España cree que su organización pagaría para restaurar los sistemas y evitar la liberación de datos si fuera atacada por ransomware en los próximos 12 meses. El 81% de los CISO dijo que confiaría en las reclamaciones de los seguros para recuperar las pérdidas potenciales incurridas, en comparación con el 65% en 2023.

La relación Consejo-CISO en España ha mejorado significativamente. En 2024, el 87% de los CISO coincide en que los miembros de la junta directiva están de acuerdo con ellos en cuestiones de ciberseguridad. Se trata de un salto significativo desde el 68% de 2023 y el 40% de 2022.

Las presiones a los CISO españoles son incesantes. En 2024, el 60% de los CISO admitió estar agotado frente al 62% del año pasado, mientras que el 61% considera que se enfrenta a expectativas excesivas, un aumento constante desde el 60% del año pasado y el 51% en 2022.

La sostenibilidad de las continuas expectativas de los CISO sigue siendo puesta a prueba: al 76% le preocupa la responsabilidad personal (66% en 2023) y el 81% (69% en 2023) no se uniría a una organización que no ofrezca cobertura de seguro a los directivos. Además, el 64% de los CISO coincide en que la actual recesión económica ha obstaculizado su capacidad para realizar inversiones clave para el negocio, y al 52% de ellos se les ha pedido que recorten personal o retrasen contrataciones, así como que reduzcan presupuestos de seguridad.