PwC Digital Trust Insights 2022 (DTI): Encuesta mundial sobre el estado de la Seguridad de la Información

PwC Digital Trust Insights 2022 es una encuesta realizada por PwC entre julio y agosto de 2021 en 66 países, incluyendo España, que recoge las respuestas de 3.602 CISOs, CEOs y ejecutivos del C-Suite en los Ômbitos de Seguridad, IT y Negocio. El 62% de los ejecutivos encuestados pertenecen a grandes compañías con ingresos mayores de 1.000 millones dólares. Del total de participantes, 1.203 forman parte de empresas europeas, siendo 141 de ellos, miembros de compañías ubicadas en España.


AndrƩs Diego Hontiveros
Socio responsable de Identity & Data Governance
Business Security Solutions
PwC EspaƱa

Sólo un 1% de las empresas incluyen profesionales, con experiencia anterior en este rol, en su Junta, según Marlin Hawk

En el último año, un 64% de los CISOs cambiaron de empresa, prueba de su alta demanda y falta de reconocimiento entre la alta dirección

ā€œLa digitalización ha estimulado el rĆ”pido crecimiento del rol de CISO en un periodo de tiempo relativamente corto. Hace cinco aƱos, la seguridad de la información era el nĆŗcleo de la función; hoy, el mandato del CISO se extiende a Ć”reas como riesgo empresarial, resistencia operativa, diseƱo de productos y arquitectura tecnológicaā€. AsĆ­ lo destaca Marlin Hawk en la segunda edición de su estudio ā€˜Global CISO Research Report 2021’, en el que ha contado con la opinión de mĆ”s de 470 responsables de seguridad de la información en AmĆ©rica del Norte, Europa y Asia PacĆ­fico, incluyendo muchas empresas del Fortune 500, como Bank of America, Humana, TD Bank Group, Equifax, Credit Suisse y BT Security.

Según Forrester, la función vive un buen momento, con alta capacitación, pero aún queda mucho por hacer en diversidad

El rol del CISO precisa que se definan trayectorias profesionales específicas para ejercer como tal, así como mejorar los procesos de selección y conservación

En la Ćŗltima dĆ©cada, la figura del Responsable de Seguridad de la Información (CISO) ha experimentado un fuerte reconocimiento por la presión regulatoria, la apuesta por la transformación digital y la popularización de nuevos entornos como la nube y tecnologĆ­as, como la Inteligencia Artificial y el Aprendizaje AutomĆ”tico. A pesar de que ya hay normativas como el Real Decreto 43/2021, de enero de 2021, que reconoce esta figura, aĆŗn queda mucho hacer. AsĆ­ lo considera el analista Forrester que ha elaborado un estudio para ver cuĆ”les son los antecedentes profesionales de 168 CISOs que trabajan para las principales empresas cotizadas de Europa -Reino Unido (FTSE 100), Francia (CAC 40), Alemania (DAX 30), Italia (FTSE MIB), EspaƱa (IBEX 35) y Holanda (NL25)-. Entre sus datos mĆ”s importantes, el estudio constata que el 70% de los jefes de seguridad de la información en Europa ejercen bajo el tĆ­tulo de CISO, el resto bajo ā€˜Jefe de Seguridad de la Información’ y ā€˜Director de Seguridad’. En EE.UU, ademĆ”s, tienen un peso especial en el escalafón de la compaƱƭa, ya que suelen tener cargos como VP (Vicepresidente) y SVP (Vicepresidente Senior). En Europa es raro encontrar estas distinciones asociadas a los CISO, destaca el estudio.

La IA y la autenticación biométrica son los controles mÔs valorados en la seguridad de los accesos, según CyberArk

IAM, mƔxima prioridad de los CISOs ante el aumento del robo de credenciales en identidades poco protegidas y con acceso a datos sensibles

Para la mayorĆ­a de los responsables de seguridad a nivel mundial, el robo de credenciales sigue siendo una de sus principales preocupaciones. De hecho, un 97% afirma que los atacantes intentan, cada vez mĆ”s, hacerse con uno o mĆ”s tipos de credenciales centrĆ”ndose, especialmente, en nuevos tipos de identidades. AsĆ­ se desprende de un estudio publicado por CyberArk, bajo el tĆ­tulo ā€˜El Informe CISO View 2021: Zero Trust y acceso privilegiado’, realizado a travĆ©s de entrevistas a un centenar de directivos de seguridad de grandes empresas.

Identifican a las empresas mÔs maduras con las que cuentan con capacidades de respuesta y de recuperación tras un ransomware

El riesgo cibernético, primer motivo de preocupación corporativo parar los auditores internos europeos

La Confederación Europea de Institutos de AuditorĆ­a Interna (ECIIA) ha publicado la sexta edición de su ā€˜Risk in Focus’ que da a conocer cada aƱo. En este caso, de cara a 2022, presenta un anĆ”lisis pormenorizado de cuĆ”les estiman que serĆ”n las principales amenazas para el próximo aƱo, a partir de la opinión de mĆ”s de 738 Jefes de AuditorĆ­a Ejecutivos (CAE) que representan una variedad de organizaciones, incluyendo empresas lĆ­deres, organizaciones del sector pĆŗblico y entidades no gubernamentales de toda Europa. AdemĆ”s, en la elaboración del informe, realizado entre en marzo y abril de este 2021, colaboraron 12 Institutos de Auditores Internos europeos que representan a 13 paĆ­ses (Alemania, Austria, BĆ©lgica, EspaƱa, Francia, Grecia, Italia, Luxemburgo, PaĆ­ses Bajos, Suiza, Suecia y Reino Unido e Irlanda). Su objetivo es ayudar a los directores ejecutivos de auditorĆ­a a comprender cómo ven sus pares el panorama de riesgos actual y ayudar en el desarrollo de sus próximos planes de auditorĆ­a mĆ”xime teniendo en cuenta que ā€œlas organizaciones y sus funciones de auditorĆ­a interna se enfrentan a un ritmo vertiginoso de cambio y una incertidumbre sin precedentes. La pandemia ha desestabilizado las operaciones y la mano de obra, ha interrumpido la oferta y la demanda y ha socavado modelos comerciales previamente sólidos en una medida que pocos hubieran creĆ­do posibleā€, destaca el documento.

SegĆŗn (ISC)2, falta personal cualificado y persisten problemas de seguridad de datos y cumplimiento legal y regulatorio

La nube aún estÔ lejos de su madurez en ciberprotección por la falta de especialistas, su rÔpida evolución y superficie de exposición

El impulso que ha tenido el uso de la nube por el trabajo en remoto y la necesidad de proteger los datos que hay en ella, subidos desde todo tipo de dispositivos, su seguridad ha experimentado ā€˜un nuevo amanecer’. A ello se han sumado importantes iniciativas como la acometida por Francia a finales de septiembre, cuando el Director de la Direction InterministĆ©rielle du NumĆ©rique, su departamento de sistemas de la información, prohibió a sus ministros el empleo de Microsoft 365 para, dice, proteger su soberanĆ­a digital. SegĆŗn una circular interna, ā€œMicrosoft 365 no cumple con la doctrina en la nube del centroā€, por lo que pide a la Administración pĆŗblica que deje de usar la nube ofrecida por la multinacional estadounidense para protegerse de la llamada ’Cloud Act’ de EE.UU.

Una de cada tres empresas apuesta por contar con Ć©l ā€˜como servicio’ por el ahorro y capacidades que supone

MƔs del 50% de los profesionales de seguridad estƔn descontentos con el proveedor actual de SIEM por su coste, velocidad y capacidades

Desde que nacieran en los aƱos 90, los SIEM basados en los SIM (Gestión de Información de Seguridad) y en los SEM (Gestión de Eventos de Seguridad) se han convertido en una piedra angular de la ciberseguridad corporativa por la visibilidad que ofrecen de lo que pasa en el ciberespacio empresarial y la información que facilita para hacer frente a amenazas. Para conocer con detalle si siguen siendo tan Ćŗtiles como hace dĆ©cadas y quĆ© retos tienen los actuales SIEM, la compaƱƭa Panther, a travĆ©s de su laboratorio, ha realizado un informe titulado ā€˜Estado del SIEM 2021’, para el que, en junio de 2021, encuestó a mĆ”s de 400 profesionales de TI que usan estos sistemas en EE.UU., Reino Unido, CanadĆ” y Australia.

Se espera que los ataques contra proveedores de software que puedan afectar a sus clientes se disparen por cuatro este año, según la Agencia de Ciberseguridad de la UE

A pesar de las consecuencias sufridas por los afectados de SolarWinds, los ejecutivos siguen sin tomar medidas para evitar un segundo incidente de este tipo

Los ataques contra la cadena de suministro, como los sufridos por SolarWinds, Codecov y Kaseya, son una de las grandes preocupaciones de organismos como la Agencia de Ciberseguridad de Europa (ENISA). El primero, de hecho, fue tan grande, afectando a mĆ”s de 18.000 organizaciones por todo el mundo que, segĆŗn los expertos, ā€œsu impacto total, probablemente, no se conocerĆ” en aƱosā€. Entre sus ā€˜vĆ­ctimas’ figuran Microsoft, Cisco, Intel, Belkin, FireEye y Deloitte, y la situación es tan compleja que la propia Enisa considera que en 2021 este tipo de incidentes podrĆ­an llegar a multiplicarse por cuatro.

La media por incidente es de 31 compañías impactadas, con un coste medio total de 77,5 millones de euros, según una investigación realizada por RiskRecon junto con Interos y Cyber GRX

Los incidentes cibernƩticos multipartitos en cadena a partir de una vƭctima han llegado a afectar hasta mƔs de 800 empresas

RiskRecon, compaƱƭa de Mastercard especializada en calificaciones de ciberseguridad, ha publicado junto con Interos y Cyber GRX un clarificador informe sobre ā€˜Las consecuencias de los incidentes cibernĆ©ticos multipartitos mĆ”s importantes’. Se trata de una exhaustiva investigación en la que identifica y analiza 50 de los mayores ciberataques de los Ćŗltimos aƱos que impactaron en cadena a proveedores y socios, con el objetivo de entender por quĆ© sucedieron y, tambiĆ©n, quĆ© impacto supuso tras propagarse y las pĆ©rdidas que ocasionaron. Y es que ofrece unos datos esclarecedores por cuanto se calcula que el coste medio de estos ataques fue de 77,5 millones de euros, una cifra astronómica si se tienen en cuenta, segĆŗn destaca RiskRecon, que ā€œun incidente tĆ­pico tiene un impacto de 172.000 euros, de promedioā€.

Considera que sus integrantes deben tener una formación técnica y, también, de riesgo para saber cómo gestionar los fallos detectados

ENISA analiza la madurez de los equipos de respuesta a incidentes de productos (PSIRT) constatando falta de madurez… y su escasez

Los ciberataques cada vez son mĆ”s sofisticados y complejos. Y ello tambiĆ©n obliga a especializarse. Prueba de ello es el trabajo de los Equipos Sectoriales de Respuesta a Incidentes de Seguridad InformĆ”tica (CSIRT), que han evolucionado centrĆ”ndose en aspectos concretos como son los llamados Equipos de Respuesta a Incidentes de Seguridad de Producto (PSIRT). Para comprobar su madurez en sectores crĆ­ticos como EnergĆ­a y Salud, segĆŗn los identifica la Directiva europea NIS, la Agencia de Ciberseguridad de la UE (Enisa) ha realizado una amplia encuesta con la participación de los responsables de siete PSIRT y 22 CSIRT -estos Ćŗltimos tras constatar la falta de mĆ”s equipos de los primeros- de 19 Estados miembro. El documento, titulado ā€˜Experiencia PSIRT y capacidades desarrollo. Estudio y recomendaciones en Salud y EnergĆ­a’, continua el trabajo de la Agencia de finales de 2020 sobre los equipos de respuesta en EnergĆ­a y Transporte AĆ©reo. De cualquier forma, Enisa explica que las conclusiones de este estudio son extrapolables a otros sectores de los estudiados, ya que ā€œofrecen una visión amplia del panorama de gestión de vulnerabilidadesā€.

Your browser is out-of-date!

Update your browser to view this website correctly.Update my browser now

×