PwC Digital Trust Insights 2022 (DTI): Encuesta mundial sobre el estado de la Seguridad de la Información
PwC Digital Trust Insights 2022 es una encuesta realizada por PwC entre julio y agosto de 2021 en 66 países, incluyendo España, que recoge las respuestas de 3.602 CISOs, CEOs y ejecutivos del C-Suite en los ámbitos de Seguridad, IT y Negocio. El 62% de los ejecutivos encuestados pertenecen a grandes compañías con ingresos mayores de 1.000 millones dólares. Del total de participantes, 1.203 forman parte de empresas europeas, siendo 141 de ellos, miembros de compañías ubicadas en España.
Andrés Diego Hontiveros
Socio responsable de Identity & Data Governance
Business Security Solutions
PwC España
Sólo un 1% de las empresas incluyen profesionales, con experiencia anterior en este rol, en su Junta, según Marlin Hawk
En el último año, un 64% de los CISOs cambiaron de empresa, prueba de su alta demanda y falta de reconocimiento entre la alta dirección
“La digitalización ha estimulado el rápido crecimiento del rol de CISO en un periodo de tiempo relativamente corto. Hace cinco años, la seguridad de la información era el núcleo de la función; hoy, el mandato del CISO se extiende a áreas como riesgo empresarial, resistencia operativa, diseño de productos y arquitectura tecnológica”. Así lo destaca Marlin Hawk en la segunda edición de su estudio ‘Global CISO Research Report 2021’, en el que ha contado con la opinión de más de 470 responsables de seguridad de la información en América del Norte, Europa y Asia Pacífico, incluyendo muchas empresas del Fortune 500, como Bank of America, Humana, TD Bank Group, Equifax, Credit Suisse y BT Security.
Según Forrester, la función vive un buen momento, con alta capacitación, pero aún queda mucho por hacer en diversidad
El rol del CISO precisa que se definan trayectorias profesionales específicas para ejercer como tal, así como mejorar los procesos de selección y conservación
En la última década, la figura del Responsable de Seguridad de la Información (CISO) ha experimentado un fuerte reconocimiento por la presión regulatoria, la apuesta por la transformación digital y la popularización de nuevos entornos como la nube y tecnologías, como la Inteligencia Artificial y el Aprendizaje Automático. A pesar de que ya hay normativas como el Real Decreto 43/2021, de enero de 2021, que reconoce esta figura, aún queda mucho hacer. Así lo considera el analista Forrester que ha elaborado un estudio para ver cuáles son los antecedentes profesionales de 168 CISOs que trabajan para las principales empresas cotizadas de Europa -Reino Unido (FTSE 100), Francia (CAC 40), Alemania (DAX 30), Italia (FTSE MIB), España (IBEX 35) y Holanda (NL25)-. Entre sus datos más importantes, el estudio constata que el 70% de los jefes de seguridad de la información en Europa ejercen bajo el título de CISO, el resto bajo ‘Jefe de Seguridad de la Información’ y ‘Director de Seguridad’. En EE.UU, además, tienen un peso especial en el escalafón de la compañía, ya que suelen tener cargos como VP (Vicepresidente) y SVP (Vicepresidente Senior). En Europa es raro encontrar estas distinciones asociadas a los CISO, destaca el estudio.
La IA y la autenticación biométrica son los controles más valorados en la seguridad de los accesos, según CyberArk
IAM, máxima prioridad de los CISOs ante el aumento del robo de credenciales en identidades poco protegidas y con acceso a datos sensibles
Para la mayoría de los responsables de seguridad a nivel mundial, el robo de credenciales sigue siendo una de sus principales preocupaciones. De hecho, un 97% afirma que los atacantes intentan, cada vez más, hacerse con uno o más tipos de credenciales centrándose, especialmente, en nuevos tipos de identidades. Así se desprende de un estudio publicado por CyberArk, bajo el título ‘El Informe CISO View 2021: Zero Trust y acceso privilegiado’, realizado a través de entrevistas a un centenar de directivos de seguridad de grandes empresas.
Identifican a las empresas más maduras con las que cuentan con capacidades de respuesta y de recuperación tras un ransomware
El riesgo cibernético, primer motivo de preocupación corporativo parar los auditores internos europeos
La Confederación Europea de Institutos de Auditoría Interna (ECIIA) ha publicado la sexta edición de su ‘Risk in Focus’ que da a conocer cada año. En este caso, de cara a 2022, presenta un análisis pormenorizado de cuáles estiman que serán las principales amenazas para el próximo año, a partir de la opinión de más de 738 Jefes de Auditoría Ejecutivos (CAE) que representan una variedad de organizaciones, incluyendo empresas líderes, organizaciones del sector público y entidades no gubernamentales de toda Europa. Además, en la elaboración del informe, realizado entre en marzo y abril de este 2021, colaboraron 12 Institutos de Auditores Internos europeos que representan a 13 países (Alemania, Austria, Bélgica, España, Francia, Grecia, Italia, Luxemburgo, Países Bajos, Suiza, Suecia y Reino Unido e Irlanda). Su objetivo es ayudar a los directores ejecutivos de auditoría a comprender cómo ven sus pares el panorama de riesgos actual y ayudar en el desarrollo de sus próximos planes de auditoría máxime teniendo en cuenta que “las organizaciones y sus funciones de auditoría interna se enfrentan a un ritmo vertiginoso de cambio y una incertidumbre sin precedentes. La pandemia ha desestabilizado las operaciones y la mano de obra, ha interrumpido la oferta y la demanda y ha socavado modelos comerciales previamente sólidos en una medida que pocos hubieran creído posible”, destaca el documento.
Según (ISC)2, falta personal cualificado y persisten problemas de seguridad de datos y cumplimiento legal y regulatorio
La nube aún está lejos de su madurez en ciberprotección por la falta de especialistas, su rápida evolución y superficie de exposición
El impulso que ha tenido el uso de la nube por el trabajo en remoto y la necesidad de proteger los datos que hay en ella, subidos desde todo tipo de dispositivos, su seguridad ha experimentado ‘un nuevo amanecer’. A ello se han sumado importantes iniciativas como la acometida por Francia a finales de septiembre, cuando el Director de la Direction Interministérielle du Numérique, su departamento de sistemas de la información, prohibió a sus ministros el empleo de Microsoft 365 para, dice, proteger su soberanía digital. Según una circular interna, “Microsoft 365 no cumple con la doctrina en la nube del centro”, por lo que pide a la Administración pública que deje de usar la nube ofrecida por la multinacional estadounidense para protegerse de la llamada ’Cloud Act’ de EE.UU.
Una de cada tres empresas apuesta por contar con él ‘como servicio’ por el ahorro y capacidades que supone
Más del 50% de los profesionales de seguridad están descontentos con el proveedor actual de SIEM por su coste, velocidad y capacidades
Desde que nacieran en los años 90, los SIEM basados en los SIM (Gestión de Información de Seguridad) y en los SEM (Gestión de Eventos de Seguridad) se han convertido en una piedra angular de la ciberseguridad corporativa por la visibilidad que ofrecen de lo que pasa en el ciberespacio empresarial y la información que facilita para hacer frente a amenazas. Para conocer con detalle si siguen siendo tan útiles como hace décadas y qué retos tienen los actuales SIEM, la compañía Panther, a través de su laboratorio, ha realizado un informe titulado ‘Estado del SIEM 2021’, para el que, en junio de 2021, encuestó a más de 400 profesionales de TI que usan estos sistemas en EE.UU., Reino Unido, Canadá y Australia.
Se espera que los ataques contra proveedores de software que puedan afectar a sus clientes se disparen por cuatro este año, según la Agencia de Ciberseguridad de la UE
A pesar de las consecuencias sufridas por los afectados de SolarWinds, los ejecutivos siguen sin tomar medidas para evitar un segundo incidente de este tipo
Los ataques contra la cadena de suministro, como los sufridos por SolarWinds, Codecov y Kaseya, son una de las grandes preocupaciones de organismos como la Agencia de Ciberseguridad de Europa (ENISA). El primero, de hecho, fue tan grande, afectando a más de 18.000 organizaciones por todo el mundo que, según los expertos, “su impacto total, probablemente, no se conocerá en años”. Entre sus ‘víctimas’ figuran Microsoft, Cisco, Intel, Belkin, FireEye y Deloitte, y la situación es tan compleja que la propia Enisa considera que en 2021 este tipo de incidentes podrían llegar a multiplicarse por cuatro.
La media por incidente es de 31 compañías impactadas, con un coste medio total de 77,5 millones de euros, según una investigación realizada por RiskRecon junto con Interos y Cyber GRX
Los incidentes cibernéticos multipartitos en cadena a partir de una víctima han llegado a afectar hasta más de 800 empresas
RiskRecon, compañía de Mastercard especializada en calificaciones de ciberseguridad, ha publicado junto con Interos y Cyber GRX un clarificador informe sobre ‘Las consecuencias de los incidentes cibernéticos multipartitos más importantes’. Se trata de una exhaustiva investigación en la que identifica y analiza 50 de los mayores ciberataques de los últimos años que impactaron en cadena a proveedores y socios, con el objetivo de entender por qué sucedieron y, también, qué impacto supuso tras propagarse y las pérdidas que ocasionaron. Y es que ofrece unos datos esclarecedores por cuanto se calcula que el coste medio de estos ataques fue de 77,5 millones de euros, una cifra astronómica si se tienen en cuenta, según destaca RiskRecon, que “un incidente típico tiene un impacto de 172.000 euros, de promedio”.
Considera que sus integrantes deben tener una formación técnica y, también, de riesgo para saber cómo gestionar los fallos detectados
ENISA analiza la madurez de los equipos de respuesta a incidentes de productos (PSIRT) constatando falta de madurez… y su escasez
Los ciberataques cada vez son más sofisticados y complejos. Y ello también obliga a especializarse. Prueba de ello es el trabajo de los Equipos Sectoriales de Respuesta a Incidentes de Seguridad Informática (CSIRT), que han evolucionado centrándose en aspectos concretos como son los llamados Equipos de Respuesta a Incidentes de Seguridad de Producto (PSIRT). Para comprobar su madurez en sectores críticos como Energía y Salud, según los identifica la Directiva europea NIS, la Agencia de Ciberseguridad de la UE (Enisa) ha realizado una amplia encuesta con la participación de los responsables de siete PSIRT y 22 CSIRT -estos últimos tras constatar la falta de más equipos de los primeros- de 19 Estados miembro. El documento, titulado ‘Experiencia PSIRT y capacidades desarrollo. Estudio y recomendaciones en Salud y Energía’, continua el trabajo de la Agencia de finales de 2020 sobre los equipos de respuesta en Energía y Transporte Aéreo. De cualquier forma, Enisa explica que las conclusiones de este estudio son extrapolables a otros sectores de los estudiados, ya que “ofrecen una visión amplia del panorama de gestión de vulnerabilidades”.