Casi la mitad de los consejos de administración se sienten poco preparados para un ciberataque
El 77 por ciento de los encuestados considera la ciberseguridad una prioridad máxima.
Proofpoint, empresa de ciberseguridad y cumplimiento normativo, y Ciberseguridad en MIT Sloan (CAMS), consorcio de investigación interdisciplinario, han publicado el informe Cybersecurity: The 2022 Board Perspective en el que se analizan las percepciones de los consejos de administración en empresas sobre cuáles son sus principales retos y riesgos, entre los que la ciberseguridad aparece como punto destacado de sus agendas.
El 77% de los encuestados considera la ciberseguridad una prioridad máxima para su consejo de administración, y el 76% asegura debatir sobre este tema al menos mensualmente. En consecuencia, el 75% cree que sus consejos de administración comprenden claramente los riesgos sistémicos a los que se enfrentan sus organizaciones, mientras que el 76% afirma haber realizado inversiones adecuadas en ciberseguridad.
Este optimismo, sin embargo, puede estar infundado. El informe revela que casi dos tercios (65%) de los miembros de juntas directivas creen que su organización corre el riesgo de sufrir un ciberataque importante en los próximos 12 meses. Casi la mitad (47%) opina además que su empresa no está preparada para hacer frente a un ataque dirigido. Asimismo, solo dos tercios de los miembros de consejos de administración ven el error humano como su mayor cibervulnerabilidad, a pesar de que el Foro Económico Mundial haya descubierto que este riesgo provoca el 95% de todos los incidentes de ciberseguridad.
El informe Cybersecurity: The 2022 Board Perspective profundiza en las respuestas de una encuesta global, realizada por terceros, a 600 miembros de la junta directiva de organizaciones de 5.000 o más empleados de diferentes sectores. En agosto de 2022 se entrevistó a 50 directores de junta en cada uno de los siguientes 12 países: Estados Unidos, Canadá, Reino Unido, Francia, Alemania, Italia, España, Australia, Singapur, Japón, Brasil y México.
La investigación aborda tres áreas clave: riesgos y ciberataques a los que se enfrentan las juntas directivas, el nivel de preparación para combatir esas amenazas y cómo de alineados se encuentran estos responsables con los CISOs en base a las conclusiones del estudio Voice of the CISO 2022 de Proofpoint. Respecto a esto último, se ha observado una desconexión entre ambas partes en cuanto a riesgos, consecuencias y ciberamenazas.
"Es alentador ver que la ciberseguridad se pone por fin en el centro de la conversación de los consejos de administración. Nuestro informe muestra, no obstante, que estos todavía tienen un largo camino por recorrer para entender el panorama de las amenazas y preparar sus organizaciones ante ciberataques", declara Lucia Milică, vicepresidenta y CISO residente global de Proofpoint. "Una de las formas en que las juntas directivas pueden impulsar su preparación es poniéndose de acuerdo con sus CISOs. La relación entre ambos resulta fundamental para proteger a las personas y los datos, y cada parte debe esforzarse por lograr una comunicación y colaboración más efectiva para garantizar el éxito de la organización".
Proofpoint y CAMS destacan en el informe Cybersecurity: The 2022 Board Perspective las tendencias generales, así como las diferencias sectoriales y regionales, entre los líderes de las organizaciones. Estas son las principales conclusiones, incluyendo también las de empresas españolas:
• Existe una desconexión entre la sala de juntas y los CISOs a la hora de evaluar el riesgo que suponen hoy los sofisticados ciberdelincuentes: En datos globales, el 65% de los consejos de administración cree que su organización corre el riesgo de sufrir un ciberataque importante en los próximos 12 meses, en comparación con el 48% de los CISOs. Sin embargo, en España la distancia entre ambas partes es algo más acusada: el 68% de los miembros de la junta directiva cree que puede darse un ciberataque en su empresa, y solo el 31% de los CISOs está de acuerdo.
• Las preocupaciones de los miembros de consejos de administración y los CISOs sobre las amenazas a las que se enfrentan: las juntas directivas consideran el fraude por correo electrónico y los ataques Business Email Compromise (BEC) como su principal preocupación (41%), seguido por el compromiso de cuentas cloud (37%) y el ransomware (32%). Los CISOs coinciden en señalar el fraude por correo electrónico, los ataques BEC y el compromiso de cuentas cloud entre sus principales preocupaciones, pero la mayor amenaza para ellos son las personas con acceso a información privilegiada. En cambio, para los miembros de juntas directivas, esas personas con acceso a información privilegiada son una preocupación menor. Estos datos de la encuesta a nivel global contrastan con los datos obtenidos de empresas españolas: por orden, las preocupaciones de los consejos de administración son el fraude por email y BEC (54%), ransomware (50%) y malware (42%); y los CISOs se fijan más en ataques a la cadena de suministro, ransomware y compromiso de cuentas cloud.
• La concienciación y la financiación no se traducen en preparación: el 75% del total de encuestados cree que su junta directiva comprende el riesgo sistémico de su organización, el 76% piensa que ha invertido adecuadamente en ciberseguridad, el 75% considera que sus datos están debidamente protegidos y el 76% habla de ciberseguridad al menos mensualmente. Pero esos esfuerzos son insuficientes: el 47% sigue considerando que su organización no está preparada para hacer frente a un ciberataque en los próximos 12 meses. En España, la percepción de esa concienciación y financiación en las organizaciones es más optimista, de ahí que solo un 36% piense que en los próximos 12 meses un ciberataque pueda pillar desprevenida a su empresa.
• Los miembros de consejos de administración no coinciden con los CISOs acerca de las consecuencias más importantes de un incidente en ciberseguridad: la filtración de datos internos encabeza la lista de preocupaciones de los consejos a nivel global (37%), seguida de cerca por el daño reputacional (34%) y la pérdida de ingresos (33%). Los CISOs globales, por su parte, están más preocupados por el tiempo de inactividad, la interrupción operativa y el impacto en las valoraciones del negocio. Para los directivos españoles, las mayores preocupaciones son la publicación de datos internos y la pérdida de ingresos (44%), mientras que en el caso de los CISOs españoles son el daño reputacional y la interrupción operativa.
• Una mayor concienciación de los empleados no protege del error humano: a pesar de que el 76% de los encuestados globales (74% en España) piensa que los empleados entienden su papel en la protección de la organización contra amenazas, el 67% de los miembros de la junta directiva (54 % en España) ve el error humano como su mayor cibervulnerabilidad.
• Hay margen de mejora en la relación entre los consejos de administración y los CISOs: existe una gran diferencia de perspectiva entre ambas partes. Según la encuesta global, el 69% de los miembros de consejos de administración afirma estar de acuerdo con sus CISOs, pero solo el 51% de estos piensan lo mismo. Mientras, en España, hay un 76% de directivos que coinciden con sus CISOs y menos responsables de seguridad (40%) alineados con los miembros de consejos de administración de sus organizaciones.
• Los consejos de administración se preparan para la supervisión reglamentaria: tanto en la encuesta global como solo en España, el 80% está de acuerdo en que las organizaciones deberían estar obligadas a informar de un ciberataque importante a los reguladores en un plazo de tiempo razonable y solo el 6% discrepa sobre esto.
"Los miembros de los consejos de administración desempeñan un papel clave en la cultura y el posicionamiento de las organizaciones en ciberseguridad. Tienen la responsabilidad fiduciaria y de supervisión de sus organizaciones. Por la tanto, deben comprender las amenazas a la ciberseguridad a las que se enfrentan sus organizaciones y la estrategia que estas adoptan para ser ciberresilientes", señala la doctora Keri Pearlson, directora ejecutiva de Ciberseguridad en MIT Sloan (CAMS). "Quienes forman parte de juntas directivas deben buscar la manera de convertir a los CISOs en sus socios estratégicos. Con los riesgos de ciberseguridad en el frente y centro de las agendas de las salas de juntas, el hecho de tener una mejor alineación de las prioridades en esta materia de CISOs y consejos de administración servirá para incrementar la protección y resiliencia de sus organizaciones".