PwC Digital Trust Insights 2022 (DTI): Encuesta mundial sobre el estado de la Seguridad de la Información
PwC Digital Trust Insights 2022 es una encuesta realizada por PwC entre julio y agosto de 2021 en 66 paĆses, incluyendo EspaƱa, que recoge las respuestas de 3.602 CISOs, CEOs y ejecutivos del C-Suite en los Ć”mbitos de Seguridad, IT y Negocio. El 62% de los ejecutivos encuestados pertenecen a grandes compaƱĆas con ingresos mayores de 1.000 millones dólares. Del total de participantes, 1.203 forman parte de empresas europeas, siendo 141 de ellos, miembros de compaƱĆas ubicadas en EspaƱa.

AndrƩs Diego Hontiveros
Socio responsable de Identity & Data Governance
Business Security Solutions
PwC EspaƱa
Sólo un 1% de las empresas incluyen profesionales, con experiencia anterior en este rol, en su Junta, según Marlin Hawk
En el último año, un 64% de los CISOs cambiaron de empresa, prueba de su alta demanda y falta de reconocimiento entre la alta dirección
āLa digitalización ha estimulado el rĆ”pido crecimiento del rol de CISO en un periodo de tiempo relativamente corto. Hace cinco aƱos, la seguridad de la información era el nĆŗcleo de la función; hoy, el mandato del CISO se extiende a Ć”reas como riesgo empresarial, resistencia operativa, diseƱo de productos y arquitectura tecnológicaā. AsĆ lo destaca Marlin Hawk en la segunda edición de su estudio āGlobal CISO Research Report 2021ā, en el que ha contado con la opinión de mĆ”s de 470 responsables de seguridad de la información en AmĆ©rica del Norte, Europa y Asia PacĆfico, incluyendo muchas empresas del Fortune 500, como Bank of America, Humana, TD Bank Group, Equifax, Credit Suisse y BT Security.
Según Forrester, la función vive un buen momento, con alta capacitación, pero aún queda mucho por hacer en diversidad
El rol del CISO precisa que se definan trayectorias profesionales especĆficas para ejercer como tal, asĆ como mejorar los procesos de selección y conservación
En la Ćŗltima dĆ©cada, la figura del Responsable de Seguridad de la Información (CISO) ha experimentado un fuerte reconocimiento por la presión regulatoria, la apuesta por la transformación digital y la popularización de nuevos entornos como la nube y tecnologĆas, como la Inteligencia Artificial y el Aprendizaje AutomĆ”tico. A pesar de que ya hay normativas como el Real Decreto 43/2021, de enero de 2021, que reconoce esta figura, aĆŗn queda mucho hacer. AsĆ lo considera el analista Forrester que ha elaborado un estudio para ver cuĆ”les son los antecedentes profesionales de 168 CISOs que trabajan para las principales empresas cotizadas de Europa -Reino Unido (FTSE 100), Francia (CAC 40), Alemania (DAX 30), Italia (FTSE MIB), EspaƱa (IBEX 35) y Holanda (NL25)-. Entre sus datos mĆ”s importantes, el estudio constata que el 70% de los jefes de seguridad de la información en Europa ejercen bajo el tĆtulo de CISO, el resto bajo āJefe de Seguridad de la Informaciónā y āDirector de Seguridadā. En EE.UU, ademĆ”s, tienen un peso especial en el escalafón de la compaƱĆa, ya que suelen tener cargos como VP (Vicepresidente) y SVP (Vicepresidente Senior). En Europa es raro encontrar estas distinciones asociadas a los CISO, destaca el estudio.
La IA y la autenticación biométrica son los controles mÔs valorados en la seguridad de los accesos, según CyberArk
IAM, mƔxima prioridad de los CISOs ante el aumento del robo de credenciales en identidades poco protegidas y con acceso a datos sensibles
Para la mayorĆa de los responsables de seguridad a nivel mundial, el robo de credenciales sigue siendo una de sus principales preocupaciones. De hecho, un 97% afirma que los atacantes intentan, cada vez mĆ”s, hacerse con uno o mĆ”s tipos de credenciales centrĆ”ndose, especialmente, en nuevos tipos de identidades. AsĆ se desprende de un estudio publicado por CyberArk, bajo el tĆtulo āEl Informe CISO View 2021: Zero Trust y acceso privilegiadoā, realizado a travĆ©s de entrevistas a un centenar de directivos de seguridad de grandes empresas.
Identifican a las empresas mÔs maduras con las que cuentan con capacidades de respuesta y de recuperación tras un ransomware
El riesgo cibernético, primer motivo de preocupación corporativo parar los auditores internos europeos
La Confederación Europea de Institutos de AuditorĆa Interna (ECIIA) ha publicado la sexta edición de su āRisk in Focusā que da a conocer cada aƱo. En este caso, de cara a 2022, presenta un anĆ”lisis pormenorizado de cuĆ”les estiman que serĆ”n las principales amenazas para el próximo aƱo, a partir de la opinión de mĆ”s de 738 Jefes de AuditorĆa Ejecutivos (CAE) que representan una variedad de organizaciones, incluyendo empresas lĆderes, organizaciones del sector pĆŗblico y entidades no gubernamentales de toda Europa. AdemĆ”s, en la elaboración del informe, realizado entre en marzo y abril de este 2021, colaboraron 12 Institutos de Auditores Internos europeos que representan a 13 paĆses (Alemania, Austria, BĆ©lgica, EspaƱa, Francia, Grecia, Italia, Luxemburgo, PaĆses Bajos, Suiza, Suecia y Reino Unido e Irlanda). Su objetivo es ayudar a los directores ejecutivos de auditorĆa a comprender cómo ven sus pares el panorama de riesgos actual y ayudar en el desarrollo de sus próximos planes de auditorĆa mĆ”xime teniendo en cuenta que ālas organizaciones y sus funciones de auditorĆa interna se enfrentan a un ritmo vertiginoso de cambio y una incertidumbre sin precedentes. La pandemia ha desestabilizado las operaciones y la mano de obra, ha interrumpido la oferta y la demanda y ha socavado modelos comerciales previamente sólidos en una medida que pocos hubieran creĆdo posibleā, destaca el documento.
SegĆŗn (ISC)2, falta personal cualificado y persisten problemas de seguridad de datos y cumplimiento legal y regulatorio
La nube aún estÔ lejos de su madurez en ciberprotección por la falta de especialistas, su rÔpida evolución y superficie de exposición
El impulso que ha tenido el uso de la nube por el trabajo en remoto y la necesidad de proteger los datos que hay en ella, subidos desde todo tipo de dispositivos, su seguridad ha experimentado āun nuevo amanecerā. A ello se han sumado importantes iniciativas como la acometida por Francia a finales de septiembre, cuando el Director de la Direction InterministĆ©rielle du NumĆ©rique, su departamento de sistemas de la información, prohibió a sus ministros el empleo de Microsoft 365 para, dice, proteger su soberanĆa digital. SegĆŗn una circular interna, āMicrosoft 365 no cumple con la doctrina en la nube del centroā, por lo que pide a la Administración pĆŗblica que deje de usar la nube ofrecida por la multinacional estadounidense para protegerse de la llamada āCloud Actā de EE.UU.
Una de cada tres empresas apuesta por contar con Ć©l ācomo servicioā por el ahorro y capacidades que supone
MƔs del 50% de los profesionales de seguridad estƔn descontentos con el proveedor actual de SIEM por su coste, velocidad y capacidades
Desde que nacieran en los aƱos 90, los SIEM basados en los SIM (Gestión de Información de Seguridad) y en los SEM (Gestión de Eventos de Seguridad) se han convertido en una piedra angular de la ciberseguridad corporativa por la visibilidad que ofrecen de lo que pasa en el ciberespacio empresarial y la información que facilita para hacer frente a amenazas. Para conocer con detalle si siguen siendo tan Ćŗtiles como hace dĆ©cadas y quĆ© retos tienen los actuales SIEM, la compaƱĆa Panther, a travĆ©s de su laboratorio, ha realizado un informe titulado āEstado del SIEM 2021ā, para el que, en junio de 2021, encuestó a mĆ”s de 400 profesionales de TI que usan estos sistemas en EE.UU., Reino Unido, CanadĆ” y Australia.
Se espera que los ataques contra proveedores de software que puedan afectar a sus clientes se disparen por cuatro este año, según la Agencia de Ciberseguridad de la UE
A pesar de las consecuencias sufridas por los afectados de SolarWinds, los ejecutivos siguen sin tomar medidas para evitar un segundo incidente de este tipo
Los ataques contra la cadena de suministro, como los sufridos por SolarWinds, Codecov y Kaseya, son una de las grandes preocupaciones de organismos como la Agencia de Ciberseguridad de Europa (ENISA). El primero, de hecho, fue tan grande, afectando a mĆ”s de 18.000 organizaciones por todo el mundo que, segĆŗn los expertos, āsu impacto total, probablemente, no se conocerĆ” en aƱosā. Entre sus āvĆctimasā figuran Microsoft, Cisco, Intel, Belkin, FireEye y Deloitte, y la situación es tan compleja que la propia Enisa considera que en 2021 este tipo de incidentes podrĆan llegar a multiplicarse por cuatro.
La media por incidente es de 31 compaƱĆas impactadas, con un coste medio total de 77,5 millones de euros, segĆŗn una investigación realizada por RiskRecon junto con Interos y Cyber GRX
Los incidentes cibernĆ©ticos multipartitos en cadena a partir de una vĆctima han llegado a afectar hasta mĆ”s de 800 empresas
RiskRecon, compaƱĆa de Mastercard especializada en calificaciones de ciberseguridad, ha publicado junto con Interos y Cyber GRX un clarificador informe sobre āLas consecuencias de los incidentes cibernĆ©ticos multipartitos mĆ”s importantesā. Se trata de una exhaustiva investigación en la que identifica y analiza 50 de los mayores ciberataques de los Ćŗltimos aƱos que impactaron en cadena a proveedores y socios, con el objetivo de entender por quĆ© sucedieron y, tambiĆ©n, quĆ© impacto supuso tras propagarse y las pĆ©rdidas que ocasionaron. Y es que ofrece unos datos esclarecedores por cuanto se calcula que el coste medio de estos ataques fue de 77,5 millones de euros, una cifra astronómica si se tienen en cuenta, segĆŗn destaca RiskRecon, que āun incidente tĆpico tiene un impacto de 172.000 euros, de promedioā.
Considera que sus integrantes deben tener una formación técnica y, también, de riesgo para saber cómo gestionar los fallos detectados
ENISA analiza la madurez de los equipos de respuesta a incidentes de productos (PSIRT) constatando falta de madurez⦠y su escasez
Los ciberataques cada vez son mĆ”s sofisticados y complejos. Y ello tambiĆ©n obliga a especializarse. Prueba de ello es el trabajo de los Equipos Sectoriales de Respuesta a Incidentes de Seguridad InformĆ”tica (CSIRT), que han evolucionado centrĆ”ndose en aspectos concretos como son los llamados Equipos de Respuesta a Incidentes de Seguridad de Producto (PSIRT). Para comprobar su madurez en sectores crĆticos como EnergĆa y Salud, segĆŗn los identifica la Directiva europea NIS, la Agencia de Ciberseguridad de la UE (Enisa) ha realizado una amplia encuesta con la participación de los responsables de siete PSIRT y 22 CSIRT -estos Ćŗltimos tras constatar la falta de mĆ”s equipos de los primeros- de 19 Estados miembro. El documento, titulado āExperiencia PSIRT y capacidades desarrollo. Estudio y recomendaciones en Salud y EnergĆaā, continua el trabajo de la Agencia de finales de 2020 sobre los equipos de respuesta en EnergĆa y Transporte AĆ©reo. De cualquier forma, Enisa explica que las conclusiones de este estudio son extrapolables a otros sectores de los estudiados, ya que āofrecen una visión amplia del panorama de gestión de vulnerabilidadesā.