La mitad de los miembros de las juntas directivas ven la IA generativa como un riesgo para la seguridad

La firma de ciberseguridad y cumplimiento normativo Proofpoint acaba de publicar su segundo informe anual Cybersecurity: The 2023 Board Perspective, que analiza las percepciones de los consejos de administración en empresas sobre el panorama de amenazas, las prioridades en ciberseguridad y las relaciones con los CISOs.

Para realizar este informe se ha encuestado a 659 miembros de la junta directiva de organizaciones de 5.000 o más empleados pertenecientes a diferentes sectores. En junio de 2023 se entrevistó a más de 50 consejeros en los siguientes 12 países: EE.UU, Canadá, Reino Unido, Francia, Alemania, Italia, España, Australia, Singapur, Japón, Brasil y México.

Los resultados referentes al mercado español revelan que el 76% de los encuestados cree que su organización está en riesgo de sufrir un ciberataque. Este porcentaje era del 68% en 2022. Asimismo, el 52% no se siente preparado para hacer frente a un ataque dirigido, frente al 47% registrado el año anterior.

Este cambio entre un año y otro podría reflejar la volatilidad continua del panorama de amenazas, incluyendo las persistentes tensiones geopolíticas, además del aumento del ransomware disruptivo y los ataques a la cadena de suministro.

El riesgo emergente de las herramientas de inteligencia artificial (IA), como ChatGPT, también podría estar contribuyendo a este sentimiento, ya que el 52% de los miembros de juntas directivas en España opina que la IA generativa es un riesgo para la seguridad de su organización.

A pesar de estas preocupaciones, el 80% de los encuestados españoles considera la ciberseguridad como prioridad, el 90% cree que su junta entiende claramente los ciberriesgos a los que se enfrentan y el 74% piensa que se ha invertido adecuadamente en ciberseguridad.

CISO y juntas están mejor alineados

Este estudio aborda tres áreas clave: riesgos y ciberataques a los que se enfrentan las juntas directivas, el nivel de preparación para combatir esas amenazas y cómo de alineados se encuentran estos responsables con los CISOs en base a las conclusiones del estudio Voice of the CISO 2023 de Proofpoint. Respecto a este último informe, se ha observado un incremento en el número de CISOs que se sienten en riesgo y no preparados, así como una alineación más estrecha que antes entre directores de juntas y líderes de seguridad.

“Esta nueva alineación entre miembros de la junta directiva y los CISOs sobre ciberriesgos y preparación es una señal positiva de que las dos partes están trabajando de manera más estrecha y logrando avances”, declara Ryan Kalember, vicepresidente ejecutivo de estrategia de ciberseguridad de Proofpoint.

“No obstante, esta creciente alianza aún no ha generado cambios significativos en cuanto al posicionamiento sobre ciberseguridad, pese a que los consejos de administración están satisfechos con el tiempo y los recursos que están invirtiendo para combatir este riesgo”, añade.

“Fortalecer aún más las relaciones entre la junta directiva y el CISO será fundamental en los próximos meses para que los directores y los líderes de seguridad puedan tener conversaciones más efectivas y se aseguren de que están invirtiendo en las prioridades correctas”, concluye.

En cualquier caso, los consejos de administración y los CISOs exhiben preocupaciones diferentes respecto a las principales amenazas: en las salas de juntas españolas predomina el malware (42%), las amenazas internas (36%) y los ataques DDoS (36%).

Esto difiere de la opinión de los CISOs españoles, quienes señalan las amenazas internas (38%), el fraude por correo electrónico/Business Email Compromise (37%) y ataques a la cadena de suministro (37%) entre sus mayores inquietudes.

Estos dos polos tampoco están alineados en los orígenes de los incidentes: mientras que la mayoría de consejeros españoles (56%) y CISOs en España (65%) están de acuerdo en que su mayor riesgo es el error humano, las juntas directivas tienen mucha más confianza en la capacidad de la organización para proteger sus datos (78%) en comparación a los CISOs (51%).

Las interacciones y relaciones entre el consejo y los CISOs en España están mejorando: el 70% de directivos afirma que interactúa con responsables de seguridad con regularidad, lo cual supone un aumento considerable respecto al año pasado (39%).

Asimismo, los miembros del consejo de administración y los líderes de seguridad suelen mostrarse más cercanos en sus interacciones: el 78% de consejeros asegura que comparte las mismas opiniones con los CISOs y el 68% de jefes de seguridad afirma algo similar.

“Los miembros de los consejos de administración se están tomando en serio las cuestiones de ciberseguridad, demostrando que no se dejan llevar por impresiones acerca del riesgo humano, así como el impacto que las ciberamenazas tienen en los resultados de una organización. Están avanzando en sus relaciones con los responsables de seguridad, comprendiendo que una asociación sólida entre los consejos y las organizaciones de ciberseguridad son más importantes que nunca”, afirma Kalember.

“Pero no es el momento de dormirse en los laureles. Los consejos de administración deben seguir invirtiendo fuertemente en mejorar la preparación y la resistencia de sus organizaciones. Esto pasa por impulsar conversaciones aún más profundas y productivas con los CISOs para garantizar que los consejeros tomen decisiones informadas y estratégicas que impulsen resultados positivos”, apostilla.