Cuatro mitos que obstaculizan la eficacia de una estrategia de seguridad

  • Actualidad

ciberseguridad generica

Dice Gartner que los directores de Seguridad de la Información y sus equipos están poniendo el máximo esfuerzo, pero no están teniendo el máximo impacto. Para revertir esta situación frustrante, habla de una mentalidad o enfoque de "eficacia mínima" para acabar con los mitos que impiden extraer el valor pleno de las estrategias de ciberseguridad. Hemos recogido esas falsas creencias y la propuesta de actuación de la firma de análisis.

Según el experto de Gartner Henrique Teixera, muchos CISO están agotados y sienten que tienen poco control sobre los factores que les estresan o el equilibrio entre el trabajo y su vida personal. En su día a día, sus equipos se esfuerzan al máximo pero no consiguen un máximo impacto.

La razón, a juicio de la consultora, es que hay cuatro mitos en torno a la ciberseguridad, que impiden alcanzar ese nivel de impacto superior, y para ello propone un enfoque de eficacia mínimo, que permitirá desbloquear el verdadero potencial y crear un valor tangible para las organizaciones.

Los mitos
Para Gartner, las concepciones erróneas de las que se parten son los siguientes:

Mito n.º 1 Más datos equivalen a una mejor protección
Es común pensar que la mejor manera de impulsar la acción de los tomadores de decisiones ejecutivas sobre iniciativas de ciberseguridad es a través de un análisis de datos sofisticado, como el cálculo de la probabilidad de que ocurra un incidente. Gartner advierte de que no es práctico cuantificar el riesgo de esta manera y es negativo a la hora de conseguir que la responsabilidad sobre este ámbito sea compartida entre el área de seguridad y la dirección.

La recomendación de la firma es que en lugar de buscar más datos, los CISO adopten un enfoque de información mínima efectiva, justo la necesaria para correlacionar la financiación del programa de ciberseguridad y la cantidad de vulnerabilidad que se está abordando con ese dinero. Para ello, deben utilizar mediciones basadas en resultados (ODM), que vinculan las métricas operativas de seguridad y el riesgo con los resultados comerciales.

Mito n.º 2: Más tecnología equivale a una mejor protección
Los datos de Gartner indican el gasto mundial en productos y servicios de gestión de riesgos y seguridad de la información crecerán un 12,7 % hasta alcanzar los 189.800 millones de dólares en 2023. Sin embargo, aunque las organizaciones gastan más en herramientas y tecnologías de ciberseguridad, los líderes en seguridad siguen sintiendo que no están debidamente protegidos.

Sin embargo, el planteamiento debería ser adoptar un conjunto mínimo de herramientas efectivas: la menor cantidad de tecnologías necesarias para observar, defender y responder a las exposiciones. "Esto permitirá que la ciberseguridad sea dueña de su arquitectura, reduciendo la complejidad y la falta de interoperabilidad que dificultan la generación de valor a partir de las inversiones en tecnología", asegura la consultora.

Añade, además, que es conveniente calcular el coste humano, manteniendo los gastos generales de los profesionales de ciberseguridad que administran las herramientas por debajo del beneficio de la solución en cuestión y, en paralelo, tener una visión de la arquitectura para medir si una herramienta determinada se suma o se sustrae a la capacidad de proteger a la empresa. En esto pueden ayudar os principios de la arquitectura de malla de ciberseguridad (CSMA).

Mito n.º 3: más profesionales de la ciberseguridad equivalen a una mejor protección
Para Gartner, el déficit de talento en ciberseguridad es muy difícil de superar, y la seguridad puede convertirse en un cuello de botella masivo para la transformación digital, en gran parte por el mito de que solo los profesionales de ciberseguridad pueden hacer un trabajo cibernético serio. "La solución es democratizar la experiencia en ciberseguridad cibernética, en lugar de intentar contratar para cubrir la brecha de talento", sostiene.

La propuesta de Gartner es desarrollar en las organizaciones lo que denomina la experiencia mínima efectiva, porque así los empleados tendrán en consideración los riesgos cibernéticos. Esto es importante porque, para 2027, el 75% de los empleados adquirirá, modificará o creará tecnología fuera de la visibilidad de TI, frente al 41% en 2022.

Mito #4: Más controles equivalen a una mejor protección
Una encuesta reciente de Gartner encontró que el 69 % de los empleados han pasado por alto la guía de ciberseguridad cibernética de su organización en los últimos doce meses, y tres de cada cuatro estarían dispuestos a obviarla si les ayudara a ellos o a su equipo a lograr un objetivo comercial.

Los equipos de seguridad son muy conscientes del comportamiento no seguro generalizado de la fuerza laboral, "pero la respuesta típica de agregar más controles es contraproducente", señala Teixeira.

En este punto, el consejo es adoptar una mentalidad de fricción mínima efectiva que priorice la experiencia de usuario, en lugar de pensar solamente en funcionalidad técnica. Gartner predice que para 2027, el 50 % de los CISO de grandes empresas habrán adoptado prácticas de diseño de seguridad centradas en el ser humano para minimizar la fricción inducida por la ciberseguridad y maximizar la adopción del control.

TAGS Ciberseguridad, Estrategias, Actualidad, Consejos TIC, Gestión de riesgos, Ciberseguridad

CONTENIDO RELACIONADO

CONTENIDO RECOMENDADO