El 77% de las juntas directivas considera la ciberseguridad prioritaria

  • Seguridad

consejo de administración

El 65% de los miembros de juntas directivas creen que su organización corre el riesgo de sufrir un ciberataque importante en los próximos 12 meses, y casi la mitad opina que su empresa no está preparada para hacer frente a un ataque dirigido. Existe una desconexión entre la sala de juntas y los CISOs a la hora de evaluar el riesgo.

Proofpoint y Ciberseguridad en MIT Sloan (CAMS) han publicado el informe Cybersecurity: The 2022 Board Perspective del que se desprende que la ciberseguridad aparece como punto destacado de las agendas de los consejos de administración de las empresas. El 77% considera la ciberseguridad una prioridad máxima para su consejo de administración, y el 76% asegura debatir sobre este tema al menos mensualmente. En consecuencia, el 75% cree que sus consejos de administración comprenden claramente los riesgos sistémicos a los que se enfrentan sus organizaciones, mientras que el 76% afirma haber realizado inversiones adecuadas en ciberseguridad.

Con todo, el informe revela que el 47% de los miembros de juntas directivas creen que su empresa no está preparada para hacer frente a un ataque dirigido. Asimismo, solo dos tercios de los miembros de consejos de administración ven el error humano como su mayor cibervulnerabilidad, a pesar de que el Foro Económico Mundial haya descubierto que este riesgo provoca el 95% de todos los incidentes de ciberseguridad.

“Es alentador ver que la ciberseguridad se pone por fin en el centro de la conversación de los consejos de administración. Nuestro informe muestra, no obstante, que estos todavía tienen un largo camino por recorrer para entender el panorama de las amenazas y preparar sus organizaciones ante ciberataques”, declara Lucia Milica, vicepresidenta y CISO residente global de Proofpoint.  

Desconexión entre las juntas directivas y los CISOs

De acuerdo con el informe, que el 65% de los consejos de administración cree que su organización corre el riesgo de sufrir un ciberataque importante en los próximos 12 meses, en comparación con el 48% de los CISOs. En España la distancia entre ambas partes es algo más acusada: el 68% de los miembros de la junta directiva cree que puede darse un ciberataque en su empresa, y solo el 31% de los CISOs está de acuerdo. 

Las juntas directivas consideran el fraude por correo electrónico y los ataques Business Email Compromise (BEC) como su principal preocupación (41%), seguido por el compromiso de cuentas cloud (37%) y el ransomware (32%). Los CISOs coinciden en señalar el fraude por correo electrónico, los ataques BEC y el compromiso de cuentas cloud entre sus principales preocupaciones, pero la mayor amenaza para ellos son las personas con acceso a información privilegiada. En cambio, para los miembros de juntas directivas, esas personas con acceso a información privilegiada son una preocupación menor. Estos datos de la encuesta a nivel global contrastan con los datos obtenidos de empresas españolas: por orden, las preocupaciones de los consejos de administración son el fraude por email y BEC (54%), ransomware (50%) y malware (42%); y los CISOs se fijan más en ataques a la cadena de suministro, ransomware y compromiso de cuentas cloud.

El 75% del total de encuestados cree que su junta directiva comprende el riesgo sistémico de su organización, el 76% piensa que ha invertido adecuadamente en ciberseguridad, el 75% considera que sus datos están debidamente protegidos y el 76% habla de ciberseguridad al menos mensualmente. Pero esos esfuerzos son insuficientes, ya que el 47% sigue considerando que su organización no está preparada para hacer frente a un ciberataque en los próximos 12 meses. En España, la percepción de esa concienciación y financiación en las organizaciones es más optimista, de ahí que solo un 36% piense que en los próximos 12 meses un ciberataque pueda pillar desprevenida a su empresa. 

La filtración de datos internos encabeza la lista de preocupaciones de los consejos a nivel global (37%), seguida de cerca por el daño reputacional (34%) y la pérdida de ingresos (33%). Los CISOs globales, por su parte, están más preocupados por el tiempo de inactividad, la interrupción operativa y el impacto en las valoraciones del negocio. Para los directivos españoles, las mayores preocupaciones son la publicación de datos internos y la pérdida de ingresos (44%), mientras que en el caso de los CISOs españoles son el daño reputacional y la interrupción operativa.