El DBIR 2025 de Verizon frente a su junta directiva: lo que se les escapa

Los CISO son cada vez más invitados a las reuniones de la junta directiva. Encuesta de Splunk Un estudio de enero reveló que el 83 % participa con cierta frecuencia o la mayor parte del tiempo, mientras que un porcentaje similar interactúa directamente con el director ejecutivo. Sin embargo, menos de un tercio de los encuestados afirma que la junta directiva incluye uno o más miembros con experiencia en ciberseguridad. Esto significa que los CISO podrían estar hablando sin ser realmente escuchados.

El Informe de Investigaciones sobre Violaciones de Datos de Verizon (DBIR) es una excelente oportunidad para aclarar las cosas. Contiene información valiosa sobre el panorama de amenazas que podría utilizarse como punto de partida para conversaciones estratégicas. Si los CISO no abordan estas tendencias de vulneraciones en las reuniones de liderazgo, podrían estar dejando a su organización expuesta.

¿Una falla de comunicación?

Las investigaciones nos indican que, en muchas organizaciones, los CISO no hablan el idioma de la junta directiva o de la empresa, o bien la junta no quiere escuchar, o ambas cosas. Investigación de FTI Consulting El estudio revela que casi un tercio (31%) de los ejecutivos no comprende completamente los conceptos técnicos que utiliza el CISO y que más de la mitad (58%) de los CISO tienen dificultades para transmitir este lenguaje de forma comprensible para la alta dirección. Otro tercio de los ejecutivos afirma que sus CISO dudan en plantearles posibles problemas de seguridad.

Sin embargo, el problema se da en ambos sentidos. Estudio de Trend Micro Según un estudio de 2024, cuatro quintas partes (79 %) de los CISO a nivel mundial han sentido presión en la junta directiva para minimizar la gravedad de los riesgos cibernéticos, a menudo porque se les considera "molestiosos" o "excesivamente negativos". Un tercio afirma haber sido desestimado sin más. Esto puede vincularse a una acusación común: que las juntas directivas aún consideran que la ciberseguridad es un asunto del departamento de TI y no del negocio. Solo la mitad (54 %) de los CISO consultados por Trend afirmó confiar en que su junta directiva comprende completamente los riesgos cibernéticos de la organización, una cifra que apenas ha variado en tres años.

La junta directiva escucha cuando el riesgo cibernético se percibe como un riesgo empresarial; así es como se pasa de la sala de servidores a la sala de juntas. Los CISO deben traducir la complejidad técnica en relevancia empresarial, aconseja Mick Baccio, asesor de seguridad global de Splunk SURGe.

Para ser escuchados, deben superar esa brecha y considerar la ciberseguridad como un factor clave para el negocio: alinear las métricas de seguridad con la protección de los ingresos, el cumplimiento normativo y la confianza del cliente. Igualmente importante es establecer relaciones informales con los miembros de la junta directiva para convertirse en un asesor de confianza, no solo en un mensajero del cumplimiento normativo.

Tendencias de infracciones del DBIR que debemos observar

Suponiendo que los CISO logren que su junta directiva los escuche, ¿de qué deberían preocuparse? Verizon... último DBIR Se basa en un análisis de más de 22,000 12,195 incidentes de seguridad, incluidas XNUMX XNUMX filtraciones de datos confirmadas. Destaca varias tendencias preocupantes, entre ellas:

• Un aumento anual en los eventos de "intrusión del sistema" de un 36% a un 53% en las filtraciones de datos. Se trata de ataques más sofisticados, caracterizados por malware y hacking.
• Este hallazgo se debe a un aumento repentino de los ataques de ransomware, cuyo número aumentó un 37 % desde el año pasado y ahora están presentes en el 44 % de las vulneraciones, a pesar de una disminución en el importe medio del rescate pagado. Las pymes se ven afectadas de forma desproporcionada.
• El 40% de las víctimas de ransomware tenían direcciones de correo electrónico corporativas robadas por ladrones de información.
• El abuso de credenciales (22%), la explotación de vulnerabilidades (20%) y el phishing (19%) fueron los principales vectores de ataque de violación de datos.
• La IA generativa representa un riesgo creciente en dos frentes: el texto generado sintéticamente en correos electrónicos maliciosos (es decir, phishing) se duplicó en los últimos dos años, mientras que el 14 % de los empleados accede habitualmente a los sistemas de IA generativa en sus dispositivos corporativos. La mayoría (72 %) utilizaba un correo electrónico no corporativo como identificador de cuenta, lo que sugiere el uso de IA en la sombra.
• La participación humana en las infracciones sigue siendo alta, en torno al 60%, y se da especialmente por abuso de credenciales e ingeniería social.
• Se observó un aumento del 34 % en la explotación de vulnerabilidades como vector de ataque, especialmente en exploits de día cero dirigidos a dispositivos perimetrales y VPN. Solo la mitad (54 %) de las vulnerabilidades de dispositivos perimetrales se remediaron por completo, con una mediana de 32 días para ello.
• El porcentaje de infracciones que involucran a terceros se duplicó hasta alcanzar el 30%.
• BYOD sigue siendo una amenaza: el 46% de los sistemas comprometidos por ladrones de información con credenciales corporativas robadas eran dispositivos personales.

Los CISO deberían tener conversaciones sobre el “realismo del riesgo” con sus juntas directivas a partir de estos hallazgos, afirma Baccio.

“Si tu plan de crisis se detiene en tu propio cortafuegos, no tienes un plan de crisis. El informe de Verizon es claro: la superficie de ataque se ha expandido y los atacantes están explotando simultáneamente los niveles humano, técnico y de la cadena de suministro. Los directores deben ir más allá de cumplir requisitos y preguntarse: "¿Dónde somos realmente más vulnerables?", declara a ISMS.online.

Los riesgos de terceros y la exposición de dispositivos periféricos deben considerarse amenazas a la continuidad del negocio, no solo problemas de TI. La junta directiva debería exigir una planificación periódica de escenarios en torno al abuso de credenciales, la extorsión por ransomware y las filtraciones de datos internas.

El director de estrategia cibernética de Trend Micro, Jonathan Lee, sostiene que el informe debería ser otra “llamada de atención” para las juntas directivas sobre la necesidad de alinear la estrategia de seguridad con la resiliencia operativa.

Basta con observar los recientes incidentes de alto perfil que afectaron a minoristas del Reino Unido para ver la pérdida de ingresos, beneficios y reputación que puede provocar un ataque. En algunos casos, sufrir una vulneración de seguridad puede suponer una amenaza existencial para una organización. En un contexto de servicio público, esto también puede tener un impacto físico real, como el daño clínico causado tras el ataque a la cadena de suministro del NHS contra Synnovis», declara a ISMS.online.

Simplemente reconocer la existencia de estos riesgos e incluirlos en un registro de riesgos no es suficiente. ¿Por qué esperar a que una brecha de seguridad afecte a su organización? ¿No es mejor ser proactivo y estar preparado, en lugar de reactivo y no estar preparado para lo peor?

Cerrando la brecha con programas de cumplimiento

Las normas de mejores prácticas como la ISO 27001 pueden ayudar en este sentido, proporcionando a las juntas directivas y a los líderes de seguridad un lenguaje común y un enfoque basado en el riesgo para mejorar la resiliencia cibernética.

Los marcos de cumplimiento no detendrán a todos los atacantes, pero sí evitarán el caos en su respuesta. Marcos como ISO 27001 y SOC 2 proporcionan un lenguaje y una estructura comunes para alinear los controles de ciberseguridad con los objetivos empresariales, afirma Baccio de Splunk.

Ofrecen evidencia repetible y auditable de la gestión de riesgos sin ser tan prescriptivos ni lentos como regímenes regulatorios como NIS2. El valor no reside solo en la certificación, sino en la disciplina y la claridad que aporta a la estrategia y los informes de ciberseguridad.

Lee, de Trend Micro, dice que estos estándares pueden incluso proporcionar una vía de acceso práctica para el cumplimiento de regulaciones como NIS2 y el próximo Proyecto de Ley de Ciberseguridad y Resiliencia del Reino Unido.

“Además de reforzar las defensas contra los atacantes, este enfoque también demuestra el compromiso de mantener altos estándares de seguridad para su cadena de suministro y sus socios interconectados digitalmente”, concluye.

Al utilizar estos programas de cumplimiento, los CISO pueden acortar la distancia entre la ciberseguridad y sus organizaciones, garantizando que las medidas de seguridad se consideren un componente fundamental del éxito y la resiliencia de sus organizaciones.