Los CISO hablan claro: el 80% no considera eficaz su estrategia de ciberseguridad empresarial

CISO no consideran efectiva estrategia ciberseguridad
El estudio Global Cybersecurity Leadership Insights 2023, realizado por la consultora EY, arroja resultados significativos sobre el estado de las estrategias de ciberseguridad elaboradas por los CISO en las empresas.

Comparte esta entrada

Una encuesta dirigida a 500 CISO (responsables de ciberseguridad) en más de 25 países, elaborada por EY, arroja impactantes resultados sobre el estado de la ciberseguridad empresarial en el mundo.

Sólo el 20% de los CISO consideran que sus respectivas estrategias empresariales de ciberseguridad se llevan a cabo de manera eficaz.

Primero, ¿qué es un CISO? CISO es el acrónimo de Chief Information Security Officer, que en español se traduce como Director de Seguridad de la Información. El CISO es un ejecutivo de nivel C (C-level) en una organización, y su función principal es supervisar y dirigir las estrategias y políticas de seguridad de la información. 

De esta manera, es responsable de proteger los activos de información de la empresa contra amenazas internas y externas, garantizando la confidencialidad, integridad y disponibilidad de los datos.

Con todo esto, ¿cómo ven los propios CISO las estrategias de ciberseguridad empresariales?

Pues bien, en el informe «Global Cybersecurity Leadership Insights 2023» de EY, se revela que solo el 20% de los encuestados en la gestión de ciberseguridad considera eficaz el enfoque de sus organizaciones frente a las amenazas cibernéticas

Esta cifra, obtenida de 500 responsables de ciberseguridad en 25 países, incluyendo España, plantea interrogantes sobre las estrategias y políticas de seguridad de la información en el ámbito empresarial a nivel global.

Los ciberataques, cada año más costosos para las empresas

En cuanto a la frecuencia de incidentes, el estudio revela que las organizaciones experimentan, en promedio, 44 incidentes de ciberseguridad al año. Este no solo constituye una amenaza para la seguridad de la información, sino que también conlleva un impacto financiero significativo. 

Sin embargo, a pesar de la inversión anual promedio de 35 millones de dólares en ciberseguridad, se observa un aumento del 12% en el costo promedio de las brechas de seguridad, alcanzando los 2.5 millones de dólares en 2023. Este dato sugiere que las inversiones actuales no están logrando mitigar eficazmente los riesgos.

En este sentido, el estado de la ciberseguridad a nivel español parece estar alineado con el estado de la misma en todo el mundo.

Los CISO creen que los ciberataques ‘tardan demasiado’ en detectarse

En relación con la detección y respuesta a incidentes de ciberseguridad, el estudio revela que el 76% de los encuestados indicaron que sus organizaciones tardan, en promedio, seis meses o más en abordarlos. 

Esta demora resalta la importancia de mejorar los procesos de monitoreo y respuesta en la seguridad cibernética empresarial para evitar que los atacantes persistan durante períodos prolongados.

Por otro lado, el análisis de EY también clasifica a las organizaciones en dos categorías: «Empresas seguras» y «Empresas vulnerables». Las primeras destacan por tener estrategias de ciberseguridad más eficientes, experimentan menos incidentes y muestran una mayor rapidez en la detección y respuesta a amenazas. 

Estas organizaciones, que adoptan tecnologías emergentes como inteligencia artificial, machine learning, SOAR, nube y DevSecOps, se consideran más preparadas y satisfechas con sus estrategias, marcando pauta en el sector.

Mirando hacia el futuro: los desafíos que afrontan los CISO

En cuanto a los desafíos en ciberseguridad, el estudio resalta preocupaciones comunes para ambas categorías de organizaciones. El segundo desafío más mencionado es la dificultad de equilibrar la innovación y la seguridad, revelando la presión constante de adoptar tecnologías y procesos nuevos para impulsar la eficiencia y la competitividad, mientras se salvaguardan los activos digitales.

Aunque tanto las «Empresas seguras» como las «Empresas vulnerables» comparten inquietudes comunes en ciberseguridad, como los riesgos financieros, de infraestructura tecnológica y reputacionales, hay diferencias. 

En consecuencia, las «Empresas vulnerables» se centran más en los riesgos financieros, mientras que las «Empresas seguras» consideran que la infraestructura tecnológica es una amenaza más significativa. Además, se evidencia una brecha en la percepción del riesgo en la cadena de suministro.

Formación y concienciación en ciberseguridad: la mejor baza para estar protegido

Finalmente, el estudio indica que la mitad de los participantes expresan incertidumbre sobre la efectividad de la capacitación en ciberseguridad para su personal. 

Además, solo el 36% de los CISO encuestados muestra satisfacción con la implementación de las mejores prácticas por parte de equipos ajenos al departamento de TI. 

De esta manera, las «Empresas seguras» resaltan la vital importancia de la formación en ciberseguridad en todos los niveles de la organización, lo que les permite influir positivamente en su transformación, innovación y capacidad para responder ágilmente a las oportunidades del mercado.

Si queremos más datos para darnos cuenta del poco nivel de concienciación y formación en ciberseguridad entre los empleados de las organizaciones empresariales, aquí van más.

Un reporte titulado «Empresas y Ciberseguridad», fruto de la colaboración entre la agencia de evaluación LEET Security, el Club de Excelencia en Gestión (CEG) y la firma de investigación Inmark, proporciona datos esclarecedores:

Resulta llamativo que solo el 40% de las empresas realiza una evaluación continua de los niveles de seguridad de sus proveedores externos a lo largo de su relación comercial. Este hecho es sorprendente dado que el 47,6% de los proveedores accede a las redes internas de las empresas y el 46% maneja información sensible.

A pesar de esta situación, una abrumadora mayoría de empresas en España, específicamente el 77,5%, muestra un interés positivo en un sistema estandarizado que permita verificar la seguridad de los sistemas de sus proveedores.

Zepo: entrena a tus empleados, construye un firewall humano

Da de alta a tus empleados.

Puedes hacerlo de forma manual o a través de un CSV.

Puedes crear grupos de empleados en función del grado de conocimiento y concienciación que tengan sobre los ciberataques.

Lanza ataques y pon a prueba a tus equipos.

Podrás comprobar en tiempo real quiénes caen en la trampa.

Creamos plantillas personalizadas para tus campañas, en función de los bancos y proveedores con los que trabajáis. Nadie sabrá que es una simulación.

Fórmales en prevención de ciberataques.

Crea cursos personalizados en materia de prevención. 3 minutos al mes.

Basta de cursos aburridos y obligatorios. Con Zepo, aprenderás y te divertirás a la vez.

Más para explorar

¿Estás listo para empezar?

Conoce cómo Zepo puede ayudar a tu organización a trabajar protegida.