Cómo superar el promedio en materia de ciberseguridad
Seamos realistas: la triste pero cierta realidad de la ciberseguridad moderna es que hacer lo que hacen muchas organizaciones significa que probablemente estés haciendo algo mal. Necesitas hacerlo mejor.
¿Por qué? Porque los datos muestran que, en muchos casos, una parte considerable de las empresas no logran gestionar tipos clave de riesgos de ciberseguridad. Por ejemplo:
- Aproximadamente la mitad de las empresas encuestadas para el Marco de Evaluación de Capacidades de Ciberseguridad de IDC no escanean ni monitorean sistemáticamente la mayoría de sus puntos finales remotos.
- Apenas la mitad de las organizaciones cuentan con estrategias de gestión de dispositivos móviles (MDM).
- Más de la mitad de las empresas no generan listas de materiales de software (SBOM) para rastrear los riesgos de seguridad de la cadena de suministro, o dependen de enfoques manuales inconsistentes para producir SBOM.
- La mayoría de las organizaciones informan que les lleva al menos una semana descubrir amenazas activas a la seguridad.
- Solo una minoría de organizaciones cuenta con herramientas y procesos de cumplimiento automatizados que les permiten buscar y descubrir riesgos de forma continua.
Podría continuar, pero entiendes el punto: estar en buena compañía en el frente de la ciberseguridad no significa que estés donde quieres estar. Si desea minimizar su exposición a las amenazas, debe estar entre la minoría de organizaciones que gestionan de manera integral y sistemática los riesgos de seguridad de todo tipo, en todos los dominios, no entre la mayoría que se queda corta en áreas críticas.
Por qué es difícil mejorar en ciberseguridad
Para ser justos, es difícil culpar demasiado a una organización típica por un desempeño mediocre en el frente de la ciberseguridad. Implementar un programa integral de ciberseguridad es mucho más fácil de decir que de hacer, especialmente debido al hecho de que hay mucho que proteger y los requisitos cambian muy rápidamente.
Debido a esta complejidad, simplemente decidir cómo organizar un programa de ciberseguridad puede ser un desafío, dados los diferentes tipos de riesgos y amenazas que hay que gestionar y las formas complejas en las que se superponen.
Por ejemplo, dado que hoy en día prácticamente todo toca la red de alguna manera, ¿la seguridad de la red requiere un conjunto distinto de herramientas y procesos, o es necesario integrar la seguridad de la red en otros aspectos de sus operaciones de seguridad? Por poner otro ejemplo, ¿los dispositivos móviles requieren su propia estrategia de seguridad? ¿O simplemente debería tratarlos como puntos finales, porque, después de todo, son puntos finales al final del día?
Los esfuerzos por responder preguntas como estas ayudan a explicar por qué las empresas habitualmente se quedan cortas en materia de ciberseguridad y por qué prácticamente todos los años durante la última década se han establecido nuevos récords en cuanto a la frecuencia y el costo de los ataques. Cuando no está claro cómo empezar a abordar la ciberseguridad y formular una estrategia que cubra todas las áreas de riesgo clave de manera coherente y eficiente, está preparado para el fracaso.
Un marco para la mejora de la ciberseguridad
En IDC, creemos que las organizaciones pueden afrontar este desafío diseñando estrategias de seguridad que cubran siete dominios distintos:
- Seguridad de la red
- Puesto final de Seguridad
- Identidad y confianza digital
- Seguridad de datos
- Seguridad de la aplicación
- Respuesta, recuperación y resiliencia
- Gobernanza, riesgo y cumplimiento (GRC)
Sin duda, esta taxonomía no es perfecta. Existe cierta superposición entre estas categorías y, en algunos casos, puede que no esté claro dónde encajan las tecnologías emergentes, como las herramientas y servicios de IA generativa, que en algunos aspectos se parecen a las aplicaciones pero en otros tienen que ver con datos. Pero creemos es una base útil para identificar qué necesitan proteger las empresas y cómo deben organizar sus estrategias de seguridad.
A partir de ahí, superar la curva en materia de ciberseguridad significa implementar defensas efectivas en cada uno de los siete dominios identificados anteriormente. Por supuesto, exactamente cómo hacerlo depende en gran parte de factores como qué tipos de activos de TI debe proteger, qué herramientas de ciberseguridad están disponibles para usted y qué tan numeroso y experimentado sea su personal de ciberseguridad. No puedo decirle exactamente qué prácticas de ciberseguridad son mejores para usted.
Pero puedo decirle –basándome en datos como la información que recopilamos para fundamentar el Marco de Madurez de Evaluación de Ciberseguridad– qué organizaciones que están optimizadas para la seguridad hacen de manera diferente a la organización promedio, y qué prácticas de ciberseguridad pueden diferenciar a su empresa de la multitud en un Buen camino.
Con esa información, puede asegurarse de que su empresa se ubique más arriba en el árbol, lejos de los frutos más maduros a los que los actores de amenazas tienden a apuntar primero.
Sin duda, no hay forma de garantizar que estará a salvo de un ataque. Incluso si usted se encuentra en el uno por ciento de las empresas más seguras del mundo, los actores de amenazas que realmente quieran irrumpir en su patrimonio de TI probablemente puedan encontrar una manera de hacerlo, si cuentan con el tiempo y los recursos suficientes. Pero la realidad es que la mayoría de los actores de amenazas solo quieren violar alguna empresa, no su empresa en particular, por lo que, al superar el promedio en lo que respecta a la protección contra los riesgos de ciberseguridad, se reduce drásticamente el riesgo de ataque.
Traducción del artículo original de IDC
How to Beat the Average When it Comes to Cybersecurity | IDC Blog
28 DE FEBRERO DE 2024