Según las recientes investigaciones, el 47% de consejos de administración se sienten poco preparados para un ciberataque. Un dato que deja mucho que desear, puesto que la seguridad debería ser una de las principales prioridades de las empresas.
Así lo ha dado a conocer Proofpoint y Ciberseguridad en MIT Sloan (CAMS), en su informe Cybersecurity: The 2022 Board Perspective en el que se analizan las percepciones de los consejos de administración en empresas sobre cuáles son sus principales retos y riesgos, entre los que la ciberseguridad aparece como punto destacado de sus agendas.
“Los miembros de los consejos de administración desempeñan un papel clave en la cultura y el posicionamiento de las organizaciones en ciberseguridad. Por la tanto, deben comprender las amenazas a la ciberseguridad a las que se enfrentan sus organizaciones y la estrategia que estas adoptan para ser ciberresilientes”, señala la doctora Keri Pearlson, directora ejecutiva de Ciberseguridad en MIT Sloan (CAMS).
Seguridad consejos de administración
La investigación aborda tres áreas clave: riesgos y ciberataques a los que se enfrentan las juntas directivas, el nivel de preparación para combatir esas amenazas y cómo de alineados se encuentran estos responsables con los CISOs en base a las conclusiones del estudio Voice of the CISO 2022 de Proofpoint.
Respecto a esto último, se ha observado una desconexión entre ambas partes en cuanto a riesgos, consecuencias y ciberamenazas. Estas son las principales conclusiones, incluyendo también las de empresas españolas:
- Existe una desconexión entre la sala de juntas y los CISOs a la hora de evaluar el riesgo que suponen hoy los sofisticados ciberdelincuentes: En datos globales, el 65% de los consejos de administración cree que su organización corre el riesgo de sufrir un ciberataque importante en los próximos 12 meses, en comparación con el 48% de los CISOs. Sin embargo, en España la distancia entre ambas partes es algo más acusada: el 68% de los miembros de la junta directiva cree que puede darse un ciberataque en su empresa, y solo el 31% de los CISOs está de acuerdo.
El 47% de consejos de administración se siente poco preparado para un ciberataque, según un informe de Proofpoint y Ciberseguridad en MIT Sloan
- Las preocupaciones de los miembros de consejos de administración y los CISOs sobre las amenazas a las que se enfrentan: las juntas directivas consideran el fraude por correo electrónico y los ataques Business Email Compromise (BEC) como su principal preocupación (41%), seguido por el compromiso de cuentas cloud (37%) y el ransomware (32%). Los CISOs coinciden en señalar el fraude por correo electrónico, los ataques BEC y el compromiso de cuentas cloud entre sus principales preocupaciones, pero la mayor amenaza para ellos son las personas con acceso a información privilegiada. En cambio, para los miembros de juntas directivas, esas personas con acceso a información privilegiada son una preocupación menor. Estos datos de la encuesta a nivel global contrastan con los datos obtenidos de empresas españolas: por orden, las preocupaciones de los consejos de administración son el fraude por email y BEC (54%), ransomware (50%) y malware (42%); y los CISOs se fijan más en ataques a la cadena de suministro, ransomware y compromiso de cuentas cloud.
- La concienciación y la financiación no se traducen en preparación: el 75% del total de encuestados cree que su junta directiva comprende el riesgo sistémico de su organización, el 76% piensa que ha invertido adecuadamente en ciberseguridad, el 75% considera que sus datos están debidamente protegidos y el 76% habla de ciberseguridad al menos mensualmente. Pero esos esfuerzos son insuficientes: el 47% sigue considerando que su organización no está preparada para hacer frente a un ciberataque en los próximos 12 meses. En España, la percepción de esa concienciación y financiación en las organizaciones es más optimista, de ahí que solo un 36% piense que en los próximos 12 meses un ciberataque pueda pillar desprevenida a su empresa.
- Los miembros de consejos de administración no coinciden con los CISOs acerca de las consecuencias más importantes de un incidente en ciberseguridad: la filtración de datos internos encabeza la lista de preocupaciones de los consejos a nivel global (37%), seguida de cerca por el daño reputacional (34%) y la pérdida de ingresos (33%). Los CISOs globales, por su parte, están más preocupados por el tiempo de inactividad, la interrupción operativa y el impacto en las valoraciones del negocio. Para los directivos españoles, las mayores preocupaciones son la publicación de datos internos y la pérdida de ingresos (44%), mientras que en el caso de los CISOs españoles son el daño reputacional y la interrupción operativa.
- Una mayor concienciación de los empleados no protege del error humano: a pesar de que el 76% de los encuestados globales (74% en España) piensa que los empleados entienden su papel en la protección de la organización contra amenazas, el 67% de los miembros de la junta directiva (54 % en España) ve el error humano como su mayor cibervulnerabilidad.
- Hay margen de mejora en la relación entre los consejos de administración y los CISOs: existe una gran diferencia de perspectiva entre ambas partes. Según la encuesta global, el 69% de los miembros de consejos de administración afirma estar de acuerdo con sus CISOs, pero solo el 51% de estos piensan lo mismo. Mientras, en España, hay un 76% de directivos que coinciden con sus CISOs y menos responsables de seguridad (40%) alineados con los miembros de consejos de administración de sus organizaciones.
- Los consejos de administración se preparan para la supervisión reglamentaria: tanto en la encuesta global como solo en España, el 80% está de acuerdo en que las organizaciones deberían estar obligadas a informar de un ciberataque importante a los reguladores en un plazo de tiempo razonable y solo el 6% discrepa sobre esto.