Redacción Digital Inside España
La quinta entrega del estudio Voice of the CISO, realizado por Proofpoint, analiza las respuestas de 1.600 directores de seguridad de la información (CISOs) de dieciséis países y dibuja un panorama cada vez más complejo. El 76% de los CISOs encuestados a escala mundial teme sufrir un ciberataque grave en los próximos doce meses, y un 58% reconoce que su organización no está preparada para responder.
A la presión que esto supone, se le suma el historial reciente: dos tercios de las empresas ya experimentaron pérdidas de datos significativas durante el último año y la mayoría culpa a empleados que abandonaron la empresa. Además, el 66% de los responsables de seguridad se plantea abonar un rescate para evitar filtraciones o restaurar sistemas.
La irrupción de la IA generativa añade un factor más de tensión, puesto que esta se ha convertido en prioridad estratégica, pero también en vector de riesgo: un 64% de los CISOs globales quiere habilitar su uso en los próximos dos años, mientras proliferan las directrices de gobernanza y las defensas basadas en IA.
Radiografía de los CISOs en España
La edición de 2025 del informe profundiza en la realidad nacional. En España, un 59% de los responsables de seguridad percibe un ataque inminente y un tercio admite no estar preparado. Durante el último año, el 33% sufrió una pérdida importante de datos, porcentaje inferior al del 2024 pero todavía significativo.
El abanico de amenazas se diversifica (malware, ransomware, amenazas internas y secuestro de cuentas en la nube), pero las consecuencias convergen en la pérdida de información crítica. Un 51% de los CISOs españoles pagaría un rescate para restaurar los sistemas o evitar fugas, reflejo de la presión que afrontan.
El riesgo interno se mantiene como gran asignatura pendiente. El 70% de los incidentes de pérdida de datos involucró a personal que se marchaba de la compañía, y más de la mitad de los encuestados admite que sus controles de protección siguen siendo insuficientes pese a la adopción masiva de herramientas DLP.
El error humano continúa a la cabeza de las vulnerabilidades, y casi la mitad de los CISOs identifica a las personas como el mayor riesgo, a pesar de la difusión de las mejores prácticas de ciberseguridad.
Por su parte, la IA generativa se percibe como una espada de doble filo, de la que un 39% de los encuestados teme la fuga de datos de clientes a través de servicios públicos de IA, mientras que un 48% la considera una prioridad habilitar su uso de forma segura. Las empresas responden combinando directrices de uso (53%) y defensas automáticas (51%), aunque el fervor inicial por la IA ha descendido respecto al máximo del 84% registrado el año anterior. Cerca del 38% ha optado directamente por prohibir estas herramientas.
La relación entre los CISOs y las juntas directivas también se resiente; la brecha entre la junta directiva y los CISOs españoles se ha reducido del 87% al 47% en solo un año, pese a que la pérdida de información confidencial se ha convertido en la principal preocupación de los consejeros tras un incidente.
Mientras tanto, el 40% de los responsables de seguridad habla de expectativas excesivas y un 56% declara haber sufrido o presenciado agotamiento. La mitad dispone ya de coberturas que limitan la responsabilidad personal, pero un 51% afirma carecer todavía de recursos suficientes para cumplir sus objetivos de ciberseguridad.
