El CISO, una figura clave en las empresas

La encuesta Digital Trust Survey 2023, realizada por PwC a partir de la opinión de 3.522 ejecutivos de 65 países –incluido España–, señala que la clave está en una colaboración cada vez más estrecha entre la figura del CISO (Chief Information Security Officers) y el equipo directivo. No en vano, dicho informe recoge que más del 70% de los directivos han visto mejorar las iniciativas de ciberseguridad de sus empresas en el último año, gracias a las inversiones realizadas y a la estrecha colaboración al más alto nivel dentro de las compañías. 

Según los datos recogidos por PwC, la figura del CISO ha dado un paso adelante en las empresas, pasando de ser un especialista en ciberseguridad a liderar la estrategia de ciberseguridad junto con todo el equipo directivo. En ese sentido, destaca que “el 49% de los CEO de empresas que ya han sufrido un ataque tienen previsto dar más autoridad al CISO para que impulse la colaboración interna entre la alta dirección en cuestiones clave de ciberseguridad”. 

Lo cierto es que, según el informe de Deloitte El estado de la ciberseguridad en España 2022 en este último año se ha experimentado un aumento “más que notable” del número de ciberataques, y también se ha apreciado una sofisticación de dichas amenazas. El aumento con respecto al año pasado de incidentes con impactos significativos ha sido nada menos que del 26%, y el 94% de las empresas consultadas ha sufrido al menos un incidente grave a lo largo de 2021. 

Más recursos

Otro de los aspectos analizados es el presupuestario, y es que la relación entre el presupuesto destinado a la ciberseguridad y la cantidad de incidentes sufridos por la empresa es inversamente proporcional; es decir, a mayor presupuesto menor es la cantidad de ataques sufridos. 

Pero además de los recursos económicos, uno de los datos más relevantes para medir el grado de ciberresiliencia de una compañía es la cuantificación de las personas con dedicación exclusiva a esta tarea. En ese sentido, el documento de Deloitte subraya que “más de la mitad de los empleados dedicados en exclusividad a ciberseguridad son recursos externos a la organización”. 

Pero las conclusiones del estudio van más allá, constatando que el talento disponible en el ámbito de la ciberseguridad escasea; es decir, mientras que la demanda de las empresas cada vez es mayor, la incorporación al mercado de personas especializadas no aumenta al mismo ritmo. “Esto ha llevado a una situación que puede considerarse crisis de talento en ciberseguridad, puesto que aquellas empresas que disponen de presupuesto suficiente para la contratación de dicho personal se ven incapaces en muchos casos de cubrir las vacantes abiertas por falta de candidatos cualificados”, lamenta.La falta de personal cualificado es, por tanto, otro de los factores que impide el desarrollo exitoso de la estrategia de ciberseguridad en una empresa. No en vano, el 81% de los CISO considera que no dispone de personal suficiente. 

Formar a toda la organización

Aunque las organizaciones cada vez tienen más clara la necesidad de poner la ciberseguridad en primer plano, la encuesta de PwC muestra que solo cuatro de cada diez directivos (40%) aseguran haber mitigado por completo los riesgos asociados a las áreas más críticas de sus empresas y, lo que es más preocupante, perciben un aumento de las amenazas a las que se enfrentan sus organizaciones y les preocupa no estar preparados para hacerles frente.

En ese sentido, cada vez son más las compañías concienciadas con la necesidad de formar a la plantilla con el objetivo de mitigar los riesgos. Aunque todavía un doloroso 11% de ellas sigue sin hacerlo, Deloitte concluye que “las empresas que imparten más de 20 horas anuales de formación y concienciación a sus empleados han sufrido únicamente el 15% de los incidentes ocurridos en el último año”. 

El de la ciberseguridad es, por tanto, un ámbito cada vez más exigente que requiere de las organizaciones agilidad y capacidad de adaptación para afrontar los desafíos del futuro. En ese sentido, el documento de PwC adelanta que en 2023 se avecinan retos como “la obligación de reportar información en materia de ciberseguridad –ataques, pruebas de resistencia, etc.– y la presión creciente de los reguladores y otros grupos de interés para garantizar la seguridad y la privacidad de los datos”.