Cuatro mitos comunes están oscureciendo el valor total de la ciberseguridad para la empresa e inhibiendo la eficacia del programa de seguridad, según Gartner, Inc.
Los CISO deben adoptar una mentalidad de «eficacia mínima» para maximizar el impacto de la ciberseguridad en la empresa.
«Muchos CISO están agotados y sienten que tienen poco control sobre sus factores de estrés o el equilibrio entre su vida laboral y personal», dijo Henrique Teixeira, Analista Director Senior de Gartner. «Los líderes de ciberseguridad y sus equipos están poniendo el máximo esfuerzo, pero no está teniendo el máximo impacto».
«Una mentalidad de Mínima Eficacia es un enfoque deliberado y basado en el retorno de la inversión para liderar la ciberseguridad hacia el futuro», añadió Leigh McMullen, Distinguida VP Analista de Gartner. «Aunque la idea de ‘mínimo’ pueda parecer incómoda, se refiere a las entradas, no a los resultados. Este enfoque permitirá a las funciones de ciberseguridad ir más allá de la mera ‘defensa del fuerte’ y liberar su verdadero potencial para crear valor tangible.»
Durante la conferencia inaugural de la Cumbre de Gartner sobre Seguridad y Gestión de Riesgos se desmontaron cuatro mitos comunes sobre seguridad y explicaron cómo los líderes de seguridad pueden crear nuevo valor a través del compromiso empresarial, la tecnología y el talento.
Mito nº 1: Más datos equivalen a mejor protección
Existe la creencia generalizada de que la mejor forma de impulsar la acción de los responsables de la toma de decisiones ejecutivas en iniciativas de ciberseguridad es a través de sofisticados análisis de datos, como el cálculo de la probabilidad de que se produzca un ciberataque. Sin embargo, no es práctico cuantificar el riesgo de esta manera. Además, este enfoque no ofrece la responsabilidad compartida entre la ciberseguridad y los responsables de la toma de decisiones de la empresa necesaria para reducir materialmente el riesgo empresarial. La investigación de Gartner ha descubierto que sólo un tercio de los CISOs informan de que han conseguido impulsar la acción a través de la cuantificación del riesgo cibernético.
«En lugar de seguir buscando más datos y más análisis, los CISO inteligentes adoptan un enfoque de Conocimiento Mínimo Eficaz», afirma Teixeira. «Determinar la menor cantidad de información necesaria para trazar una línea recta entre la financiación de la ciberseguridad de la empresa y la cantidad de vulnerabilidad que la financiación aborda.»
Los CISO deben utilizar un enfoque de métricas orientadas a resultados (ODM) para actuar Minimum Effective Insight. Los ODM vinculan las métricas operativas de seguridad y riesgo a los resultados empresariales que respaldan, explicando los niveles de protección existentes en la actualidad y los niveles de protección alternativos disponibles en función del gasto.
Mito nº 2: Más tecnología equivale a mejor protección
Se prevé que el gasto mundial en productos y servicios de seguridad de la información y gestión de riesgos crezca un 12,7% hasta alcanzar los US$189.800 millones en 2023. Sin embargo, aunque las organizaciones gasten más en herramientas y tecnologías de ciberseguridad, los responsables de seguridad siguen pensando que no están debidamente protegidas.
«La ciberseguridad a menudo se queda atascada en una mentalidad de adquisición de engranajes, creyendo que a la vuelta de la esquina debe haber algo mejor», dice Gartner. «En su lugar, los CISO deben adoptar un conjunto de herramientas mínimamente eficaces, es decir, el menor número de tecnologías necesarias para observar, defender y responder a las exposiciones. Esto permitirá que la ciberseguridad se apropie de su arquitectura, reduciendo la complejidad y la falta de interoperabilidad que hace que sea tan difícil generar valor a partir de las inversiones en tecnología.»
Las organizaciones pueden comenzar el viaje hacia un conjunto de herramientas mínimamente eficaces adoptando una visión de coste humano, manteniendo los gastos generales de los profesionales de la ciberseguridad que gestionan las herramientas de ciberseguridad por debajo del beneficio de la herramienta en la mitigación de riesgos. Paralelamente, hay que adoptar una perspectiva arquitectónica para medir si una herramienta determinada aumenta o disminuye la capacidad de protección de la empresa. Los principios de la arquitectura de malla de ciberseguridad (CSMA, por sus siglas en inglés) también pueden apoyar la seguridad en el diseño de la simplicidad, la componibilidad y la interoperabilidad.
Mito nº 3: Más profesionales de la ciberseguridad equivalen a mejor protección
«La demanda de talento en ciberseguridad ha superado a la oferta hasta el punto de que los CISO son incapaces de ponerse al día. La seguridad es un cuello de botella masivo para la transformación digital, y mucho de eso se debe al mito de que solo los profesionales de ciberseguridad pueden hacer un trabajo cibernético serio. Democratizar la experiencia en ciberseguridad, en lugar de tratar de contratar fuera de la brecha de talento, es la solución.»
Gartner predice que para 2027, el 75% de los empleados adquirirán, modificarán o crearán tecnología fuera de la visibilidad de TI, frente al 41% en 2022. Los CISO pueden reducir la carga de sus equipos ayudando a estos tecnólogos empresariales a construir una Pericia Mínima Efectiva, o juicio cibernético. Una encuesta reciente de Gartner encontró que los tecnólogos de negocios con alto juicio cibernético son 2,5 veces más propensos a considerar los riesgos de ciberseguridad al desarrollar capacidades analíticas o tecnológicas.
Mito nº 4: Más controles equivalen a mejor protección
Una encuesta reciente de Gartner descubrió que el 69% de los empleados han eludido las directrices de ciberseguridad de su organización en los últimos 12 meses, y el 74% de los empleados estarían dispuestos a eludir las directrices de ciberseguridad si les ayudara a ellos o a su equipo a alcanzar un objetivo empresarial.
«Las organizaciones de ciberseguridad son muy conscientes del comportamiento no seguro generalizado de la fuerza de trabajo, pero la respuesta típica de añadir más controles es contraproducente. Los empleados informan de la gran cantidad de fricciones que conlleva el comportamiento seguro, lo que está impulsando el comportamiento inseguro. Los controles que se eluden son peores que no tener ningún control».
La fricción mínima efectiva reequilibra la evaluación de la ciberseguridad del rendimiento de los controles de seguridad para priorizar la experiencia del usuario en lugar de la funcionalidad técnica por sí sola. Gartner predice que para 2027, el 50% de los CISO de grandes empresas habrán adoptado prácticas de diseño de seguridad centradas en el ser humano para minimizar la fricción inducida por la ciberseguridad y maximizar la adopción de controles.
Fuente: Gartner