¿Es la IA generativa un riesgo para la seguridad?: la mitad de los consejeros españoles sí lo cree

El 76% de los consejeros españoles considera que su organización está en riesgo de sufrir un ciberataque, comparado con el 68% en 2022. Asimismo, el 52% no se siente preparado para hacer frente a un ataque dirigido, respecto al 47% del año anterior. Así se desprende del segundo informe anual Cybersecurity: The 2023 Board Perspective impulsado por Proofpoint. Un documento que analiza las distintas percepciones de los consejos de administración en las compañías frente al panorama actual de amenazas, las prioridades en materia de ciberseguridad y las relaciones con los CISO.

Este cambio interanual podría reflejar la volatilidad continua del panorama de amenazas, incluyendo las persistentes tensiones geopolíticas, además del aumento del ransomware disruptivo y los ataques a la cadena de suministro. El riesgo emergente de las herramientas de inteligencia artificial (IA), como ChatGPT, también podría estar contribuyendo a este sentimiento, ya que el 52% de los miembros de juntas directivas en España opina que la IA generativa es un riesgo para la seguridad de su organización.

A pesar de estas preocupaciones, el 80% de los encuestados españoles tilda la ciberseguridad de prioridad, el 90% cree que su junta entiende claramente los ciberriesgos a los que se enfrentan y el 74% piensa que se ha invertido adecuadamente en ciberseguridad. En este sentido, el informe profundiza en las respuestas de una encuesta global realizada por terceros a 659 miembros de la junta directiva de organizaciones de 5.000 o más empleados pertenecientes a diferentes sectores.

Tres áreas estratégicas

Este estudio aborda tres áreas clave: riesgos y ciberataques a los que se enfrentan las juntas directivas, el nivel de preparación para combatir esas amenazas y cómo de alineados se encuentran estos responsables con los CISO en base a las conclusiones del estudio Voice of the CISO 2023. Cabe destacar respecto a este último informe que se ha observado un incremento en el número de CISO que se sienten en riesgo y poco preparados para hacer frente a posibles ciberataques, así como una alineación más estrecha entre directores de juntas y líderes de seguridad. “Esta nueva alineación entre miembros de la junta directiva y los CISO sobre ciberriesgos y preparación es una señal positiva de que las dos partes están trabajando de manera más estrecha y logrando avances. No obstante, esta creciente alianza aún no ha generado cambios significativos en cuanto al posicionamiento sobre ciberseguridad, pese a que los consejos de administración están satisfechos con el tiempo y los recursos que están invirtiendo para combatir este riesgo”, detalla Ryan Kalember, vicepresidente ejecutivo de Estrategia de Ciberseguridad de Proofpoint. 

Los hallazgos logrados demuestran que “sigue siendo un desafío transformar una mayor concienciación sobre ciberseguridad en estrategias efectivas que protejan a las personas y los datos. Fortalecer aún más las relaciones entre la junta directiva y el CISO será fundamental en los próximos meses para que los directores y los líderes de seguridad puedan tener conversaciones más efectivas y se aseguren de que están invirtiendo en las prioridades correctas”.

Desgranando las conclusiones

Entre las principales conclusiones destaca cómo la IA generativa llama la atención de la sala de juntas. Con herramientas como ChatGPT en el foco durante los últimos meses, el 52% de los directores de consejos de administración en España ve esta tecnología emergente como un riesgo para la seguridad de su organización. Por otro lado, la comparación interanual señala la creciente preocupación de los miembros de la junta directiva acerca de los ciberriesgos. En concreto, el 76% de los encuestados españoles piensa que su organización está en riesgo de sufrir un ciberataque frente al 68% registrado en 2022.

Además, la concienciación y la financiación no se traducen en preparación: el 80% de los directores de consejos de administración españoles está de acuerdo en que la ciberseguridad es una prioridad para su junta, el 90% dice que su consejo entiende claramente los riesgos a los que se enfrenta, el 74% considera que ha invertido adecuadamente en ciberseguridad y el 92% cree que este presupuesto aumentará en los próximos 12 meses. Sin embargo, estos esfuerzos no llevan a una mejor preparación, ya que el 52% ve que su organización todavía no está preparada para hacer frente a un ciberataque en los próximos 12 meses.

En las salas de juntas españolas predomina el malware (42%), las amenazas internas (36%) y los ataques DDoS (36%). Esto difiere de la opinión de los CISO españoles, quienes señalan las amenazas internas (38%), el fraude por correo electrónico/Business Email Compromise (37%) y ataques a la cadena de suministro (37%) entre sus mayores inquietudes. Tampoco están en consonancia al definir las áreas de riesgo sobre personas y protección de datos. Mientras que la mayoría de consejeros españoles (56%) y CISO en España (65%) están de acuerdo en que su mayor riesgo es el error humano, las juntas directivas tienen mucha más confianza en la capacidad de la organización para proteger sus datos (78%) en comparación a los CISO (51%).

Recursos adicionales, mejor inteligencia sobre amenazas y regulaciones más estrictas encabezan la lista de deseos en las salas de juntas. El 42% de los directores de consejos de administración en España piensa que la ciberseguridad de su organización se beneficiaría si hubiese más recursos, el 38% desea tener acceso a una mejor inteligencia sobre amenazas y el 36% pide normas cibernéticas más firmes. Vuelven a coincidir consejos y CISO en la preocupación sobre la responsabilidad civil. “El 80% de los consejeros españoles muestra inquietud hacia su obligación personal ante un incidente de ciberseguridad en su propia organización, coincidiendo con un 63% de los CISO encuestados.

Por último el informe hace hincapié en la mejora de la relación consejo-CISO en España. El 70% de directivos afirma que interactúa con responsables de seguridad con regularidad, lo cual supone un aumento considerable respecto al año pasado (39%). Asimismo, los miembros del consejo de administración y los líderes de seguridad suelen mostrarse más cercanos en sus interacciones: el 78% de consejeros asegura que comparte las mismas opiniones con los CISO y el 68% de CISO afirma lo mismo.