Las empresas, atrapadas en ciclos de seguridad reactiva: ¿cuestión de actitud?

También puedes leer... Cómo evaluar las opciones de SD-WAN La Seguridad es Infinity Gestión de cuentas con privilegios para Dummies Cómo combatir las amenazas cifradas Cómo vencer al malware evasivo

Los responsables de tomar decisiones de tecnología tienen que afrontar continuamente una serie de retos de diversa índole, que van desde la adaptación a las regulaciones a responder a las necesidades de transformacion empresarial, e incluso la rápida evolución tecnológica que se está produciendo.

Lo ideal sería, según un estudio de Optiv Security, es que los requerimientos de negocio fuesen el principal motivador de la estrategia de seguridad de una compañía, pero dos de cada tres responsables de TI del Reino Unido, y probablemente muchos se sentirán identificados, dicen que sus programas de seguridad son siempre reactivos debido a los cambios normativos, la evolución de las amenazas y factores externos.

El informe, titulado "Actitudes empresariales ante la ciberseguridad: abordando el panorama de las amenazas modernas", analiza en profundidad las prácticas de ciberseguridad actuales, así como las variaciones de los requisitos y las estrategias para equilibrar el riesgo y el crecimiento de las empresas en un entorno de aceleración y cambio constante.

La evolución tecnológica está teniendo una gran influencia en la estrategia de ciberseguridad. La proliferación de las aplicaciones móviles está teniendo un impacto importante o significativo en el 79% de las empresas, incluso más que la necesidad de entender las lagunas en sus programas de seguridad. Las tecnologías basadas en la nube le siguen de cerca, con un 77% de los participantes que reconocen importantes o significativas repercusiones de la migración a la nube.

Los equipos de seguridad que solo piensan en las amenazas externas son incapaces de seguir el ritmo del negocio y el cambio digital, en opinión de Optiv. Según Simon Church, su vicepresidente ejecutivo y director general para Europa, "estamos viendo un importante cambio hacia una perspectiva de ‘prioridad empresarial’ entre los responsables de seguridad, que equilibra el riesgo con los imperativos de la empresa moderna. Sin embargo, muchas organizaciones siguen comprometidas con el anticuado modelo de comprar tecnologías de seguridad basadas en las últimas tendencias y vulnerabilidades, siguiendo el enfoque problema-respuesta”. Este planteamiento, según la compañía, favorece que sea el escenario, en lugar de los objetivos empresariales, los que determinen las operaciones y la infraestructura de seguridad, y a menudo ignora los otros elementos importantes de un programa de seguridad exitoso: las personas y los procesos.

Los líderes de TI sienten, además, que sus empresas no entienden las estrategias de seguridad, por lo que es difícil ‘vender’ internamente los programas, y así lo sostienen tres de cada cinco. Casi un tercio ve esta falta de comprensión como un gran obstáculo para la ejecución de su estrategia preferida, y solo el 23% piensa que el resto de la empresa entiende perfectamente su estrategia de seguridad. En el 56% de las compañías, el departamento de tecnología formula una estrategia de seguridad, pero ésta requiere la aprobación de la dirección para comenzar, y en casi una cuarta parte de los casos, es esta última la que impone la estrategia a la organización.

"Muchas organizaciones tienen dificultades para medir e informar con éxito del retorno de la inversión en ciberseguridad frente a los objetivos empresariales", asegura Church. "

Además, muchas organizaciones de TI tienen dificultades para medir e informar sobre el ROI frente a los objetivos empresariales. De hecho, según el estudio, “solo un tercio informan a sus empresas sobre el éxito de su programa de seguridad, ya sea mediante dashboards constantemente actualizados o informes periódicos que muestren los indicadores clave. Al reforzar los informes, los responsables del departamento pueden demostrar el valor de sus estrategias y soluciones de seguridad y conseguir más fácilmente la aprobación de sus propuestas de seguridad", sostiene Church.

El estudio identifica que más del 25% de los encuestados cree que su seguridad es muy buena, pero las empresas no solo buscan la efectividad, sino también la simplicidad, aspecto que mencionaron el 32% de ellos.

Todo el mundo es consciente del ritmo al que cambia todo y del crecimiento exponencial que se está produciendo, así como del impacto de la globalización en las economías y empresas de todo el mundo, los modelos de negocio en Internet y la nube, la transformación digital, la movilidad, etc.  El resultado de estas transformaciones y del enfoque de seguridad existente, es un mundo cibernético que es excesiva e innecesariamente complejo y decepcionante. Nuestro estudio confirma que la industria necesita una nueva perspectiva, un nuevo enfoque y un nuevo modelo de ejecución y consumo para que la ciberseguridad genere mejores resultados. Se necesita un planteamiento que sitúe la estrategia empresarial y el riesgo en el centro de la toma de las decisiones informáticas".