Los consejos de administración españoles ven la IA generativa como un riesgo a la seguridad

¿Se consideran preparadas las empresas para enfrentarse a unos ciberdelincuentes cada vez más sofisticados? ¿Cuáles son las prioridades de los consejos de administración a nivel de protección? ¿Y qué relación mantienen los directores de juntas con los CISO o líderes de seguridad?

Estas son las preguntas que se plantea Proofpoint en su informe Cybersecurity: The 2023 Board Perspective, que observa un incremento del número de trabajadores del campo de la seguridad que se sienten en riesgo pero, al mismo tiempo, aprecian una alineación más estrecha con las altas esferas.

Un 76 % de los encuestados en España opina que su organización está en peligro de sufrir un ciberataque. Hace un año ese porcentaje era del 68 %. Más de la mitad (52 %) no se ve preparado para plantar cara a un ataque dirigido en los próximos doce meses. La cifra del año anterior era del 47 %.

Cuestiones como un ransomware disruptivo y las acciones contra la cadena de suministro afectan a su percepción. También tiene que ver la popularización de las herramientas de inteligencia artificial (IA). Tanto es así que un 52 % de los directores de juntas directivas de nuestro país considera que que la IA generativa es un riesgo para su seguridad.

A la hora de catalogar amenazas, los miedos son variados. El malware (42 %) encabeza la lista de preocupaciones de las juntas, seguido de amenazas internas (36 %) y los ataques DDoS (36 %). Para los CISO, sin embargo, lo más inquietante son las amenazas internas (38 %), seguidas de cerca por el fraude por correo electrónico (37 %) y los ataques a la cadena de suministro (37 %).

Y, si bien la mayoría de consejeros (56 %) y CISO (65 %) coinciden en que el error humano es el problema número uno, los primeros tienen mucha más confianza (78 %) que los segundos (51 %) en la capacidad de su organización para proteger los datos.

Hasta 9 de cada 10 directores de consejos creen que su junta entiende con claridad los ciberriesgos a encarar, un 74 % opina que se ha invertido de la forma adecuada en ciberseguridad y un 92 % parece tener claro que el presupuesto aumentará a lo largo del próximo año.

Contar con recursos adicionales (42 %), una inteligencia sobre amenazas mejorada (38 %) y regulaciones cibernéticas más estrictas (36 %) se encuentran en su lista de deseos.

Otro dato que deja el informe de Proofpoint es que los responsables de las empresas viven con preocupación sus responsabilidades. A un 80 % de los consejeros españoles les preocupa la obligación que tienen en caso de incidente, al igual que ocurre con el 63 % de los CISO.

En cuanto a las interacciones entre unos y otros, están progresando. Hasta un 70 % de los directivos dice que se relaciona con regularidad con el responsable de seguridad. En el informe anterior sólo lo hacía un 39 %. Además, están acercando posturas. El 78 % de los consejeros y un 68 % de los CISO afirman tener las mismas opiniones.

“Esta nueva alineación entre miembros de la junta directiva y los CISOs sobre ciberriesgos y preparación es una señal positiva de que las dos partes están trabajando de manera más estrecha y logrando avances”, reconoce Ryan Kalember, vicepresidente ejecutivo de estrategia de ciberseguridad de Proofpoint.

“No obstante”, matiza, “esta creciente alianza aún no ha generado cambios significativos en cuanto al posicionamiento sobre ciberseguridad, pese a que los consejos de administración están satisfechos con el tiempo y los recursos que están invirtiendo para combatir este riesgo”.

“Sigue siendo un desafío transformar una mayor concienciación sobre ciberseguridad en estrategias efectivas que protejan a las personas y los datos”, explica Kalember. “Fortalecer aún más las relaciones entre la junta directiva y el CISO será fundamental en los próximos meses para que los directores y los líderes de seguridad puedan tener conversaciones más efectivas y se aseguren de que están invirtiendo en las prioridades correctas”.

“Los consejos de administración deben seguir invirtiendo fuertemente en mejorar la preparación y la resistencia de sus organizaciones”, añade este experto, lo cual “pasa por impulsar conversaciones aún más profundas y productivas con los CISOs para garantizar que los consejeros tomen decisiones informadas y estratégicas que impulsen resultados positivos”.

Desde Proofpoint destacan, en todo caso, que en los consejos “se están tomando en serio las cuestiones de ciberseguridad, demostrando que no se dejan llevar por impresiones acerca del riesgo humano, así como el impacto que las ciberamenazas tienen en los resultados de una organización. Están avanzando en sus relaciones con los responsables de seguridad, comprendiendo que una asociación sólida entre los consejos y las organizaciones de ciberseguridad son más importantes que nunca”.