PwC Digital Trust Insights 2022 (DTI): Encuesta mundial sobre el estado de la Seguridad de la InformaciĆ³n

PwC Digital Trust Insights 2022 es una encuesta realizada por PwC entre julio y agosto de 2021 en 66 paĆ­ses, incluyendo EspaƱa, que recoge las respuestas de 3.602 CISOs, CEOs y ejecutivos del C-Suite en los Ć”mbitos de Seguridad, IT y Negocio. El 62% de los ejecutivos encuestados pertenecen a grandes compaƱƭas con ingresos mayores de 1.000 millones dĆ³lares. Del total de participantes, 1.203 forman parte de empresas europeas, siendo 141 de ellos, miembros de compaƱƭas ubicadas en EspaƱa.


AndrƩs Diego Hontiveros
Socio responsable de Identity & Data Governance
Business Security Solutions
PwC EspaƱa

SĆ³lo un 1% de las empresas incluyen profesionales, con experiencia anterior en este rol, en su Junta, segĆŗn Marlin Hawk

En el Ćŗltimo aƱo, un 64% de los CISOs cambiaron de empresa, prueba de su alta demanda y falta de reconocimiento entre la alta direcciĆ³n

ā€œLa digitalizaciĆ³n ha estimulado el rĆ”pido crecimiento del rol de CISO en un periodo de tiempo relativamente corto. Hace cinco aƱos, la seguridad de la informaciĆ³n era el nĆŗcleo de la funciĆ³n; hoy, el mandato del CISO se extiende a Ć”reas como riesgo empresarial, resistencia operativa, diseƱo de productos y arquitectura tecnolĆ³gicaā€. AsĆ­ lo destaca Marlin Hawk en la segunda ediciĆ³n de su estudio ā€˜Global CISO Research Report 2021ā€™, en el que ha contado con la opiniĆ³n de mĆ”s de 470 responsables de seguridad de la informaciĆ³n en AmĆ©rica del Norte, Europa y Asia PacĆ­fico, incluyendo muchas empresas del Fortune 500, como Bank of America, Humana, TD Bank Group, Equifax, Credit Suisse y BT Security.

SegĆŗn Forrester, la funciĆ³n vive un buen momento, con alta capacitaciĆ³n, pero aĆŗn queda mucho por hacer en diversidad

El rol del CISO precisa que se definan trayectorias profesionales especĆ­ficas para ejercer como tal, asĆ­ como mejorar los procesos de selecciĆ³n y conservaciĆ³n

En la Ćŗltima dĆ©cada, la figura del Responsable de Seguridad de la InformaciĆ³n (CISO) ha experimentado un fuerte reconocimiento por la presiĆ³n regulatoria, la apuesta por la transformaciĆ³n digital y la popularizaciĆ³n de nuevos entornos como la nube y tecnologĆ­as, como la Inteligencia Artificial y el Aprendizaje AutomĆ”tico. A pesar de que ya hay normativas como el Real Decreto 43/2021, de enero de 2021, que reconoce esta figura, aĆŗn queda mucho hacer. AsĆ­ lo considera el analista Forrester que ha elaborado un estudio para ver cuĆ”les son los antecedentes profesionales de 168 CISOs que trabajan para las principales empresas cotizadas de Europa -Reino Unido (FTSE 100), Francia (CAC 40), Alemania (DAX 30), Italia (FTSE MIB), EspaƱa (IBEX 35) y Holanda (NL25)-. Entre sus datos mĆ”s importantes, el estudio constata que el 70% de los jefes de seguridad de la informaciĆ³n en Europa ejercen bajo el tĆ­tulo de CISO, el resto bajo ā€˜Jefe de Seguridad de la InformaciĆ³nā€™ y ā€˜Director de Seguridadā€™. En EE.UU, ademĆ”s, tienen un peso especial en el escalafĆ³n de la compaƱƭa, ya que suelen tener cargos como VP (Vicepresidente) y SVP (Vicepresidente Senior). En Europa es raro encontrar estas distinciones asociadas a los CISO, destaca el estudio.

La IA y la autenticaciĆ³n biomĆ©trica son los controles mĆ”s valorados en la seguridad de los accesos, segĆŗn CyberArk

IAM, mƔxima prioridad de los CISOs ante el aumento del robo de credenciales en identidades poco protegidas y con acceso a datos sensibles

Para la mayorĆ­a de los responsables de seguridad a nivel mundial, el robo de credenciales sigue siendo una de sus principales preocupaciones. De hecho, un 97% afirma que los atacantes intentan, cada vez mĆ”s, hacerse con uno o mĆ”s tipos de credenciales centrĆ”ndose, especialmente, en nuevos tipos de identidades. AsĆ­ se desprende de un estudio publicado por CyberArk, bajo el tĆ­tulo ā€˜El Informe CISO View 2021: Zero Trust y acceso privilegiadoā€™, realizado a travĆ©s de entrevistas a un centenar de directivos de seguridad de grandes empresas.

Identifican a las empresas mĆ”s maduras con las que cuentan con capacidades de respuesta y de recuperaciĆ³n tras un ransomware

El riesgo cibernĆ©tico, primer motivo de preocupaciĆ³n corporativo parar los auditores internos europeos

La ConfederaciĆ³n Europea de Institutos de AuditorĆ­a Interna (ECIIA) ha publicado la sexta ediciĆ³n de su ā€˜Risk in Focusā€™ que da a conocer cada aƱo. En este caso, de cara a 2022, presenta un anĆ”lisis pormenorizado de cuĆ”les estiman que serĆ”n las principales amenazas para el prĆ³ximo aƱo, a partir de la opiniĆ³n de mĆ”s de 738 Jefes de AuditorĆ­a Ejecutivos (CAE) que representan una variedad de organizaciones, incluyendo empresas lĆ­deres, organizaciones del sector pĆŗblico y entidades no gubernamentales de toda Europa. AdemĆ”s, en la elaboraciĆ³n del informe, realizado entre en marzo y abril de este 2021, colaboraron 12 Institutos de Auditores Internos europeos que representan a 13 paĆ­ses (Alemania, Austria, BĆ©lgica, EspaƱa, Francia, Grecia, Italia, Luxemburgo, PaĆ­ses Bajos, Suiza, Suecia y Reino Unido e Irlanda). Su objetivo es ayudar a los directores ejecutivos de auditorĆ­a a comprender cĆ³mo ven sus pares el panorama de riesgos actual y ayudar en el desarrollo de sus prĆ³ximos planes de auditorĆ­a mĆ”xime teniendo en cuenta que ā€œlas organizaciones y sus funciones de auditorĆ­a interna se enfrentan a un ritmo vertiginoso de cambio y una incertidumbre sin precedentes. La pandemia ha desestabilizado las operaciones y la mano de obra, ha interrumpido la oferta y la demanda y ha socavado modelos comerciales previamente sĆ³lidos en una medida que pocos hubieran creĆ­do posibleā€, destaca el documento.

SegĆŗn (ISC)2, falta personal cualificado y persisten problemas de seguridad de datos y cumplimiento legal y regulatorio

La nube aĆŗn estĆ” lejos de su madurez en ciberprotecciĆ³n por la falta de especialistas, su rĆ”pida evoluciĆ³n y superficie de exposiciĆ³n

El impulso que ha tenido el uso de la nube por el trabajo en remoto y la necesidad de proteger los datos que hay en ella, subidos desde todo tipo de dispositivos, su seguridad ha experimentado ā€˜un nuevo amanecerā€™. A ello se han sumado importantes iniciativas como la acometida por Francia a finales de septiembre, cuando el Director de la Direction InterministĆ©rielle du NumĆ©rique, su departamento de sistemas de la informaciĆ³n, prohibiĆ³ a sus ministros el empleo de Microsoft 365 para, dice, proteger su soberanĆ­a digital. SegĆŗn una circular interna, ā€œMicrosoft 365 no cumple con la doctrina en la nube del centroā€, por lo que pide a la AdministraciĆ³n pĆŗblica que deje de usar la nube ofrecida por la multinacional estadounidense para protegerse de la llamada ā€™Cloud Actā€™ de EE.UU.

Una de cada tres empresas apuesta por contar con Ć©l ā€˜como servicioā€™ por el ahorro y capacidades que supone

MƔs del 50% de los profesionales de seguridad estƔn descontentos con el proveedor actual de SIEM por su coste, velocidad y capacidades

Desde que nacieran en los aƱos 90, los SIEM basados en los SIM (GestiĆ³n de InformaciĆ³n de Seguridad) y en los SEM (GestiĆ³n de Eventos de Seguridad) se han convertido en una piedra angular de la ciberseguridad corporativa por la visibilidad que ofrecen de lo que pasa en el ciberespacio empresarial y la informaciĆ³n que facilita para hacer frente a amenazas. Para conocer con detalle si siguen siendo tan Ćŗtiles como hace dĆ©cadas y quĆ© retos tienen los actuales SIEM, la compaƱƭa Panther, a travĆ©s de su laboratorio, ha realizado un informe titulado ā€˜Estado del SIEM 2021ā€™, para el que, en junio de 2021, encuestĆ³ a mĆ”s de 400 profesionales de TI que usan estos sistemas en EE.UU., Reino Unido, CanadĆ” y Australia.

Se espera que los ataques contra proveedores de software que puedan afectar a sus clientes se disparen por cuatro este aƱo, segĆŗn la Agencia de Ciberseguridad de la UE

A pesar de las consecuencias sufridas por los afectados de SolarWinds, los ejecutivos siguen sin tomar medidas para evitar un segundo incidente de este tipo

Los ataques contra la cadena de suministro, como los sufridos por SolarWinds, Codecov y Kaseya, son una de las grandes preocupaciones de organismos como la Agencia de Ciberseguridad de Europa (ENISA). El primero, de hecho, fue tan grande, afectando a mĆ”s de 18.000 organizaciones por todo el mundo que, segĆŗn los expertos, ā€œsu impacto total, probablemente, no se conocerĆ” en aƱosā€. Entre sus ā€˜vĆ­ctimasā€™ figuran Microsoft, Cisco, Intel, Belkin, FireEye y Deloitte, y la situaciĆ³n es tan compleja que la propia Enisa considera que en 2021 este tipo de incidentes podrĆ­an llegar a multiplicarse por cuatro.

La media por incidente es de 31 compaƱƭas impactadas, con un coste medio total de 77,5 millones de euros, segĆŗn una investigaciĆ³n realizada por RiskRecon junto con Interos y Cyber GRX

Los incidentes cibernƩticos multipartitos en cadena a partir de una vƭctima han llegado a afectar hasta mƔs de 800 empresas

RiskRecon, compaƱƭa de Mastercard especializada en calificaciones de ciberseguridad, ha publicado junto con Interos y Cyber GRX un clarificador informe sobre ā€˜Las consecuencias de los incidentes cibernĆ©ticos multipartitos mĆ”s importantesā€™. Se trata de una exhaustiva investigaciĆ³n en la que identifica y analiza 50 de los mayores ciberataques de los Ćŗltimos aƱos que impactaron en cadena a proveedores y socios, con el objetivo de entender por quĆ© sucedieron y, tambiĆ©n, quĆ© impacto supuso tras propagarse y las pĆ©rdidas que ocasionaron. Y es que ofrece unos datos esclarecedores por cuanto se calcula que el coste medio de estos ataques fue de 77,5 millones de euros, una cifra astronĆ³mica si se tienen en cuenta, segĆŗn destaca RiskRecon, que ā€œun incidente tĆ­pico tiene un impacto de 172.000 euros, de promedioā€.

Considera que sus integrantes deben tener una formaciĆ³n tĆ©cnica y, tambiĆ©n, de riesgo para saber cĆ³mo gestionar los fallos detectados

ENISA analiza la madurez de los equipos de respuesta a incidentes de productos (PSIRT) constatando falta de madurezā€¦ y su escasez

Los ciberataques cada vez son mĆ”s sofisticados y complejos. Y ello tambiĆ©n obliga a especializarse. Prueba de ello es el trabajo de los Equipos Sectoriales de Respuesta a Incidentes de Seguridad InformĆ”tica (CSIRT), que han evolucionado centrĆ”ndose en aspectos concretos como son los llamados Equipos de Respuesta a Incidentes de Seguridad de Producto (PSIRT). Para comprobar su madurez en sectores crĆ­ticos como EnergĆ­a y Salud, segĆŗn los identifica la Directiva europea NIS, la Agencia de Ciberseguridad de la UE (Enisa) ha realizado una amplia encuesta con la participaciĆ³n de los responsables de siete PSIRT y 22 CSIRT -estos Ćŗltimos tras constatar la falta de mĆ”s equipos de los primeros- de 19 Estados miembro. El documento, titulado ā€˜Experiencia PSIRT y capacidades desarrollo. Estudio y recomendaciones en Salud y EnergĆ­aā€™, continua el trabajo de la Agencia de finales de 2020 sobre los equipos de respuesta en EnergĆ­a y Transporte AĆ©reo. De cualquier forma, Enisa explica que las conclusiones de este estudio son extrapolables a otros sectores de los estudiados, ya que ā€œofrecen una visiĆ³n amplia del panorama de gestiĆ³n de vulnerabilidadesā€.

Your browser is out-of-date!

Update your browser to view this website correctly.Update my browser now

×