La tarea del CISO actual es la de filtrar lo insignificante y proteger lo crítico

  • Endpoint

IT Ciberseguridad

La concienciación está aumentando y los profesionales de la seguridad están ajustando más su postura frente a las amenazas. Visibilidad y reducción del número de herramientas de seguridad son algunas de las claves para incrementar el nivel de defensa de las organizaciones actuales.

Recomendados: 

Claves de seguridad para las nuevas aplicaciones web y API. Ebook

Protegiendo los datos corporativos en aplicaciones basadas en cloud. Leer

Los ecosistemas de TI actuales se caracterizan por su complejidad y diversidad, con un promedio de uso, según Gartner, de 16 herramientas diferentes de seguridad en cada compañía, lo que dificulta enormemente la labor de los profesionales de la ciberseguridad. Al mismo tiempo, el número de vulnerabilidades continúa aumentando, pero, según un análisis realizado por los expertos de Qualys, si bien las vulnerabilidades existentes hasta el momento se cuentan por cientos de miles (más de 185.000 registradas hasta la fecha), en la práctica los ciberatacantes solo están siendo capaces de explotar dos vulnerabilidades de cada mil. Vemos pues que los datos numéricos alarman, pero no siempre se corresponden con riesgos empresariales reales.

Según Qualys, la conclusión para los responsables de la toma de decisiones en el ámbito de la seguridad es clara a día de hoy: el negocio considera el riesgo desde el punto de vista del daño potencial en lugar de la probabilidad de ocurrencia. 2022 está siendo por tanto un año donde la concienciación está aumentando en este sentido y los profesionales de la seguridad están cada vez ajustando más su postura frente a las amenazas, para que ambas estrategias estén alineadas. Los expertos de Qualys priorizan 4 tendencias clave para mejorar la eficacia de la ciberseguridad:

1. De la observación de vulnerabilidades a la observación de riesgos

Con la figura del responsable de seguridad o CISO cada vez más presente en los órganos directivos de las organizaciones se hace necesario más que nunca trasladar a estas instancias superiores una información clara y concisa acerca de los riesgos empresariales reales. “Hablar en términos de vectores de ataque y enumerar vulnerabilidades o sistemas de puntuación no es una estrategia acertada”, destaca Sergio Pedroche, country manager de Qualys para España y Portugal. “Es esencial que todos los datos se analicen desde una perspectiva centrada en el riesgo que proporcione una imagen más clara del panorama real de amenazas”.

2. Visibilidad como punto de partida

La evaluación de amenazas es imposible sin una visibilidad integral y esta es una tarea ardua, pero clave, en el marco de los complejos entornos de TI actuales. Ver cada elemento, enumerarlo y cuantificar sus vulnerabilidades será por tanto el primer paso que permitirá a las organizaciones priorizar las amenazas de manera más efectiva.

3. Reducción del número de herramientas de seguridad

Las herramientas de seguridad dispares de hoy en día a menudo funcionan en silos. Las tendencias apuntan hacia la consolidación en una plataforma unificada que ofrezca capacidades de automatización para monitorización, detección y corrección de riesgos, de modo que los equipos de seguridad puedan dar el siguiente paso importante hacia la gestión de riesgos.

4. Informes que aporten conocimientos prácticos concretos

La plataforma unificada ofrecerá una gran variedad de opciones de informes y paneles automatizados, que brindan métricas concisas y definidas por el riesgo que dan cuenta de los requisitos específicos del negocio, así como de los estándares de la industria, los puntos de referencia, las mejores prácticas y los marcos regulatorios.

“Diferentes organizaciones tendrán diferentes necesidades de cumplimiento -lo que constituye un alto riesgo para un negocio puede no significar nada para otro- y la tarea del CISO actual es, más que nunca, la de filtrar lo insignificante y proteger lo crítico, cumpliendo las normas sin afectar la agilidad del negocio”, resalta Pedroche.