Cuatro mitos que empañan el valor total de la ciberseguridad
La consultora tecnológica Gartner aborda cuatro mitos populares que oscurecen el valor total que brinda la ciberseguridad e inhiben la eficacia de los programas de seguridad de las organizaciones.
- El CISO en 2023; con mayor inversión, cerca del negocio y con el foco en la concienciación
- La transformación digital, caldo de cultivo de oportunidades y riesgos de ciberseguridad
- Estas son las tendencias a las que se debe amarrar el sector de la ciberseguridad en 2023
- "El CISO se obsesiona con sentarse en la mesa directiva, pero, ¿qué quiere contar? Lo importante es estar en el diseño de los proyectos"
- Concienciación, capacitación y regulación siguen protagonizando los principales retos 'ciber'
La firma de análisis e investigación Gartner ha avanzado cuatro mitos que empañan el valor total de la seguridad cibernética para las empresas e inhiben la eficacia final de los programas de seguridad implantados. En este sentido, la consultora tecnológica ha asegurado que los CISO deben adoptar una mentalidad de “mínima eficacia” para maximizar el impacto de la seguridad cibernética para el negocio. “Muchos CISO están agotados y sienten que tienen poco control sobre factores estresantes o sobre el equilibrio entre el trabajo y la vida personal”, defiende Henrique Teixeira, analista sénior del sello. “Los líderes de ciberseguridad y sus equipos están poniendo el máximo esfuerzo, pero no están teniendo el máximo impacto”.
Una mentalidad mínimamente efectiva es un concepto que se corresponde, detalla Leigh McMullen, vicepresidenta analista de Gartner, con un “enfoque deliberado, impulsado por el ROI, para liderar la ciberseguridad en el futuro”. Si bien la idea de mínimo puede parecer “incómoda”, se refiere “a las entradas, no a los resultados”. Este enfoque, insisten los expertos, “permitirá que las funciones de ciberseguridad vayan más allá de simplemente 'defender el fuerte' para desbloquear su verdadero potencial para crear valor tangible”. Así, durante la Cumbre de Gestión de Riesgos y Seguridad, Teixeira y McMullen han desmentido cuatro mitos comunes sobre seguridad y explicaron cómo los líderes de seguridad pueden crear valor nuevo a través del compromiso comercial, la tecnología y el talento.
Más datos, mejor protección
Se cree comúnmente que la mejor manera de impulsar la acción de los tomadores de decisiones ejecutivas sobre iniciativas de seguridad cibernética es a través de un análisis de datos sofisticado, como el cálculo de la probabilidad de que ocurra un evento cibernético. Sin embargo, no es práctico cuantificar el riesgo de esta manera. Además, este enfoque no brinda responsabilidad compartida entre la seguridad cibernética y alta dirección para reducir materialmente el riesgo comercial. La investigación de Gartner ha encontrado que solo un tercio de los CISO informan que el éxito impulsa la acción a través de la cuantificación del riesgo cibernético.
“En lugar de continuar buscando más datos y más análisis, los CISO inteligentes se involucran en un enfoque de información mínima efectiva”, apuntó Teixeira. "Determine la cantidad mínima de información necesaria para trazar una línea recta entre la financiación de la seguridad cibernética de la empresa y la cantidad de vulnerabilidad que aborda la financiación". Los CISO deben utilizar un enfoque de métricas basadas en resultados (ODM) para la acción Información mínima efectiva. Los ODM vinculan las métricas operativas de seguridad y riesgo con los resultados comerciales que respaldan al explicar los niveles de protección actualmente implementados y los niveles de protección alternativos disponibles en función del gasto.
Más tecnología equivale a una mejor protección
Se prevé que el gasto mundial en productos y servicios de gestión de riesgos y seguridad de la información crezca un 12,7% hasta arañar los 190.000 millones de dólares en 2023. Sin embargo, aunque las organizaciones gastan más en herramientas y tecnologías de ciberseguridad, los líderes en seguridad siguen sintiendo que no están debidamente protegidos. “La seguridad cibernética a menudo se atasca en una mentalidad de adquisición de equipos, creyendo que a la vuelta de la esquina debe haber algo mejor”, dijo McMullen. “En cambio, los CISO deben adoptar un conjunto mínimo de herramientas efectivas: la menor cantidad de tecnologías necesarias para observar, defender y responder a las exposiciones. Esto permitirá que la ciberseguridad sea dueña de su arquitectura, reduciendo la complejidad y la falta de interoperabilidad que dificultan la generación de valor a partir de las inversiones en tecnología”.
Las organizaciones pueden comenzar el viaje hacia un conjunto de herramientas efectivo mínimo adoptando una perspectiva de costes humanos; es decir, manteniendo los gastos generales de los ciberprofesionales que administran las herramientas de ciberseguridad por debajo del beneficio de la herramienta para mitigar los riesgos. Paralelamente, adopte una vista arquitectónica para medir si una herramienta determinada se suma o se sustrae a la capacidad de proteger a la empresa. Los principios de la arquitectura de malla de ciberseguridad (CSMA) también pueden respaldar la seguridad en el diseño de la simplicidad, la composición y la interoperabilidad.
Más talento, cotas más altas de protección
“La demanda de talento en ciberseguridad ha superado la oferta hasta el punto de que los CISO no pueden ponerse al día”, asegura McMullen. “La seguridad es un cuello de botella masivo para la transformación digital, y mucho de eso se debe al mito de que solo los profesionales de ciberseguridad pueden hacer un trabajo cibernético serio. La solución es democratizar la experiencia en seguridad cibernética, en lugar de intentar contratar para salir de la brecha de talento”.
En este contexto, la consultora predice que para 2027, el 75% de los empleados adquirirá, modificará o creará tecnología fuera de la visibilidad de TI, frente al 41% en 2022. Los CISO pueden reducir la carga de sus equipos al ayudar a estos tecnólogos comerciales a desarrollar la experiencia mínima efectiva o el juicio cibernético. Una encuesta reciente de Gartner asevera que los tecnólogos de negocios con alto juicio cibernético tienen 2.5 veces más probabilidades de considerar los riesgos de seguridad cibernética al desarrollar capacidades analíticas o tecnológicas.
Más control no es igual a mejor protección
Según se desprende de una encuesta reciente de la firma de análisis, el 69% de los empleados han pasado por alto la guía de seguridad cibernética de su organización en los últimos 12 meses, y el 74% de los empleados estarían dispuestos a pasar por alto la guía de seguridad cibernética si les ayudara a ellos o a su equipo a lograr un objetivo comercial. “Las organizaciones de ciberseguridad son muy conscientes del comportamiento no seguro generalizado de la fuerza laboral, pero la respuesta típica de agregar más controles es contraproducente”, dijo Teixeira. “Los empleados reportan una gran cantidad de fricciones relacionadas con el comportamiento seguro, lo que genera un comportamiento inseguro. Los controles que se eluden son peores que ningún control”.
Así, la fricción efectiva mínima reequilibra la evaluación de ciberseguridad del desempeño de los controles de seguridad para priorizar la experiencia del usuario en lugar de la funcionalidad técnica únicamente. Gartner predice que para 2027, el 50 % de los CISO de grandes empresas habrán adoptado prácticas de diseño de seguridad centradas en el ser humano para minimizar la fricción inducida por la ciberseguridad y maximizar la adopción del control.
