Las organizaciones invierten en ciberseguridad de forma reactiva y fragmentada

Un nuevo informe de la firma de ciberseguridad WithSecure, basado en una encuesta a más de 400 líderes de ciberseguridad y decisores de tecnología a nivel mundial realizada por Forrester Consulting, sugiere que muchas organizaciones son reactivas en su enfoque de defensa contra las amenazas y fragmentadas en cuanto a las inversiones en ciberseguridad.

¿El resultado? Los objetivos de seguridad se desconectan de los objetivos empresariales, lo que resulta en que las organizaciones inviertan en defensas contra amenazas que no son relevantes para sus negocios o metas.

Índice de Contenido
  1. Ciberseguridad basada en resultados versus seguridad reactiva
  2. Una quinta parte de las empresas alinean la ciberseguridad con las prioridades empresariales
  3. El paradigma del "mercado de limones" complica las inversiones en seguridad
  4. Otro desafío es obtener métricas significativas que vinculen la seguridad con los resultados empresariales
  5. Cómo incorporar resultados empresariales a la seguridad

Ciberseguridad basada en resultados versus seguridad reactiva

Las organizaciones invierten en ciberseguridad de forma reactiva y fragmentada - Seguridad | Imagen 1 Newsmatic

Según Forrester, la ciberseguridad basada en resultados respalda los objetivos empresariales en lugar de simplemente reaccionar ante vulnerabilidades percibidas. Permite a los líderes empresariales simplificar la ciberseguridad al "cultivar solo aquellas capacidades que ofrecen de manera medible los resultados deseados en lugar de los métodos tradicionales basados en amenazas, actividades o retorno de inversión", según el informe de WithSecure.

El informe señaló que un enfoque más integral de la ciberseguridad debe enfocarse en resultados relacionados con la gestión de riesgos, la experiencia del cliente, la resiliencia y la visibilidad de la superficie de amenazas y los riesgos. Los resultados también deben referirse a las habilidades, los recursos y la velocidad y agilidad de respuesta (Figura A).

Figura A

Las organizaciones invierten en ciberseguridad de forma reactiva y fragmentada - Seguridad | Imagen 2 Newsmatic

Paul Brucciani, asesor de ciberseguridad y jefe de marketing de productos para soluciones en WithSecure, dijo que el concepto de ciberseguridad basada en resultados constituye tanto una forma de hacer que las ejecuciones de ciberseguridad se alineen con los objetivos empresariales, como de reducir el desorden y la redundancia de las soluciones y tácticas de seguridad. Esfuerzo similar al de Marie Kondo de tirar objetos al suelo y descartar las capas de control que no respaldan estratégicamente los objetivos comerciales.

"La seguridad basada en resultados es una forma de tomar decisiones sobre lo que necesita proteger y cómo. Pero es una disciplina: es muy fácil comprar e implementar una nueva herramienta, mucho más difícil apagar los sistemas heredados. Apagar las cosas [que no son útiles]", dijo Brucciani.

Aunque el 83% de los encuestados dijeron estar interesados en, planear adoptar o expandir su adopción de soluciones y servicios de ciberseguridad basados en resultados, el 60% dijo que sus organizaciones son reactivas, no proactivas; responden a problemas individuales de ciberseguridad a medida que surgen.

Una quinta parte de las empresas alinean la ciberseguridad con las prioridades empresariales

El estudio, que buscaba comprender las prioridades de ciberseguridad organizativa y los objetivos empresariales, encontró:

  • Solo el 20% de los encuestados dijo que su organización tiene una alineación completa entre las prioridades de ciberseguridad y los resultados empresariales.
  • El 75% de los encuestados dijo que la gestión del riesgo cibernético está recibiendo una mayor atención por parte de la junta directiva de sus organizaciones.
  • El 60% de las empresas están dispuestas a gastar el 6% o más de sus beneficios operativos para alcanzar los beneficios que ven en la adopción de un enfoque basado en resultados para las inversiones en ciberseguridad.
  • El 50% de las empresas tienen dificultades para medir el valor de la ciberseguridad y tienen problemas para articular la contribución de la seguridad a los resultados empresariales.

El paradigma del "mercado de limones" complica las inversiones en seguridad

Los presupuestos de ciberseguridad están aumentando, pero ¿podría el tamaño y alcance del mercado de servicios de ciberseguridad llevar a los compradores de TI a asignar presupuestos de manera desordenada?

Brucciani dijo que esto probablemente sea el caso, ya que el mercado actual de Software como Servicio de ciberseguridad en sí mismo constituye un "mercado de limones", un término acuñado por el economista George Akerlof para describir una circunstancia en la que el mercado está plagado de productos buenos y malos y el comprador está impedido por la incapacidad de discernir cuál es cuál.

"La ciberseguridad es un negocio masivo; dependiendo de cómo se defina el mercado, hay 10 000 empresas de ciberseguridad en el mundo, lo que crea un mercado ruidoso, y muchas de esas empresas están respaldadas por capital de riesgo, por lo que su trabajo es llegar al mercado lo más rápido posible. Como consecuencia, se crea un mercado difícil de navegar, con el desafío adicional de medir la calidad: los compradores no tienen forma de evaluar la calidad de lo que se les vende", dijo Brucciani.

Lo que las empresas buscan en herramientas y servicios de ciberseguridad

Los encuestados citaron algunos de los mayores desafíos de seguridad: visibilidad en los riesgos cibernéticos, encontrar las habilidades y recursos necesarios y responder de manera rápida y efectiva (Figura B).

Figura B

Las organizaciones invierten en ciberseguridad de forma reactiva y fragmentada - Seguridad | Imagen 3 Newsmatic

Entre los resultados que los encuestados dijeron buscar a través de los esfuerzos de ciberseguridad se incluyen:

  • El 44% de los encuestados quiere reducir el riesgo.
  • El 40% quiere que la seguridad mejore la experiencia del cliente.
  • El 34% quiere que la seguridad respalde el crecimiento de los ingresos.
  • El 33% quiere aumentar la resiliencia operativa.
  • El 32% quiere que la seguridad se oriente a la gobernanza y el cumplimiento.

Otro desafío es obtener métricas significativas que vinculen la seguridad con los resultados empresariales

Los ejecutivos encuestados por Forrester enumeraron los desafíos para extraer métricas útiles que vinculen las prioridades de seguridad con los resultados empresariales:

  • El 37% expresó dificultades para medir el valor de la ciberseguridad.
  • El 36% dijo que no podía capturar datos consistentes y significativos.
  • El 28% encontró desafíos para superar una paradoja: la inversión en seguridad efectiva resulta en menos oportunidades para demostrar valor.
  • El 23% encontró dificultades para transformar las métricas de ciberseguridad en algo significativo para la junta directiva.

Además, el 42% dijo que tenía una comprensión insuficiente del estado actual y futuro de madurez con respecto al cual se debería evaluar el valor de la seguridad. Brucciani explicó que el estado futuro, en el contexto de seguridad, es una expresión de los objetivos de seguridad de una empresa y depende de factores como:

  • Impacto de un ataque de ciberseguridad en la empresa.
  • Tolerancia al riesgo: el impacto que una empresa puede absorver y funcionar.
  • Voluntad de asumir riesgos de seguridad.
  • Seguridad que los reguladores y clientes esperan.

"En general, las empresas desean un nivel más alto de seguridad del que tienen actualmente", dijo Brucciani. "La pregunta es, ¿cuánta seguridad es suficiente? Su estrategia de riesgo cibernético, si es coherente, se basará en estos factores". Añadió que NIST ofrece un marco útil para respaldar la toma de decisiones de seguridad.

Cómo incorporar resultados empresariales a la seguridad

El estudio incluyó recomendaciones sobre cómo alinear las inversiones en ciberseguridad con los objetivos empresariales de manera estratégica:

  • Los resultados empresariales deben acordarse con las partes interesadas y ser mapeados en sus inversiones en seguridad, modelo de amenazas y controles de seguridad.
  • Los resultados de seguridad deben incluir beneficios empresariales (por ejemplo, la autenticación basada en riesgos en el comercio electrónico mejora la experiencia del cliente al eliminar pasos y fricciones adicionales en transacciones de bajo riesgo).
  • Las prioridades de seguridad deben correlacionarse con los resultados empresariales, evitando inversiones innecesarias en seguridad que no sean requeridas por los resultados empresariales.
  • Los equipos de adquisiciones y legales deben estar preparados para la compra de seguridad basada en resultados.

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a Las organizaciones invierten en ciberseguridad de forma reactiva y fragmentada , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.