La hora de escuchar y buscar alternativas ante la creciente preocupación por la seguridad global

En alguna ocasión se critica a la comunidad de proveedores de soluciones de seguridad por exagerar la amenaza cibernética para las organizaciones con el fin de vender más productos y servicios, aunque no hay una base real que sustente estas acusaciones, pues, como norma, no hay mala praxis en la industria. Partiendo de esta base, llama la atención el último informe del Foro Económico Mundial (FEM) publicado en enero de 2023, donde se dibuja un panorama de amenazas aún más alarmante. Casi todos los líderes de ciberseguridad (93%) y la mayoría de los líderes empresariales (86%) encuestados para el informe creen que la inestabilidad geopolítica mundial conducirá "moderadamente o muy probablemente" a un "evento cibernético catastrófico" en los próximos dos años.

Detrás de los titulares, que ya de por si son suficientemente gráficos, analizando el detalle del informe hay otros temas muy preocupantes: la creciente escasez de personal cualificado, la propensión a realizar inversiones tecnológicas precipitadas y la falta de entendimiento mutuo entre las personas al frente del área de TI y ciberseguridad y la junta directiva, pues no siempre tecnología y ciberseguridad están alineadas con el negocio. En este contexto, la seguridad basada en plataformas, no siendo la panacea, puede ayudar a solventar y minimizar muchas de estas lagunas.

Lo que el FEM ha encontrado

El informe Perspectivas Mundiales de Ciberseguridad 2023 se elaboró rigurosamente a partir de múltiples rondas de entrevistas con líderes empresariales y de ciberseguridad de algunas de las organizaciones más importantes del mundo, junto con los resultados de los talleres del Foro y los datos de otros informes del FEM y de terceros. Nos presenta un panorama completo de la situación actual y de las mayores preocupaciones de las empresas.

Entre las principales conclusiones se encuentran:

· La interrupción de la actividad empresarial y el daño a la reputación son las dos principales preocupaciones de los encuestados.

· El 43% de los encuestados cree que un ciberataque "afectará materialmente" a su organización. Esto ha supuesto una mayor inversión en "defensas para el día a día" en lugar de en compras estratégicas.

· Los directivos de las empresas se están dando cuenta de que la seguridad de la cadena de suministro influye en el perfil de riesgo cibernético de su propia organización.

· Los grandes proyectos de transformación digital construidos sobre bases y entornos heredados pueden añadir complejidad y, por tanto, ciberriesgo.

· Los responsables empresariales y de ciberseguridad están empezando a reconocer las regulaciones y leyes como un motor eficaz para reducir el riesgo cibernético.

· El 56% de los responsables de seguridad ahora se reúnen mensualmente o más a menudo con su junta directiva, pero aún queda mucho por hacer para cerrar la brecha de comunicación.

· Mientras que los líderes cibernéticos deben mejorar en el idioma de los negocios, los ejecutivos c-level necesitan aceptar más responsabilidad sobre los requisitos de ciberseguridad operativa, para mejorar la postura general de seguridad.

· La contratación y retención de talento en ciberseguridad sigue siendo un reto importante. Un tercio de los encuestados afirma que existen lagunas de formación y competencias, y menos de la mitad afirma tener competencias suficientes.

Es hora de escuchar

Todo esto puede parecer de sentido común. Pero son mensajes importantes, sobre todo si proceden de una fuente autorizada como el FEM. Una cuestión que se destaca en profundidad en el informe es la que realmente afecta al núcleo del reto al que se enfrenta el sector de la ciberseguridad. Según la introducción del informe.

"Oír no es lo mismo que escuchar. La importancia del riesgo cibernético se ha oído sin duda en los consejos de administración. Si los responsables de TI y seguridad y los líderes empresariales se entienden lo suficientemente bien como para hacer frente a este desafío es, por otro lado, una cuestión abierta".

Si realmente escucharan en lugar de oír, los directivos entenderían que los responsables de la seguridad necesitan una tecnología diseñada para sacar el máximo partido de sus equipos. Tecnología diseñada para mitigar el riesgo de interrupción de la actividad empresarial y el daño a la reputación, y el derivado de la transformación digital y las cadenas de suministro, como se destaca en el informe. También reconocerían que las inversiones en seguridad deben ser siempre estratégicas, no tácticas y poco sistemáticas.

Aquí es donde un enfoque de la seguridad basado en plataformas ofrece una visión de futuro. Al consolidarse en una plataforma única de seguridad, las organizaciones pueden eliminar las lagunas de seguridad y el gasto reactivo y despilfarrador que caracteriza a las soluciones puntuales, optimizando así las inversiones. Pueden sacar el máximo partido de sus equipos de TI y seguridad, dándoles menos interfaces y herramientas que gestionar, haciendo más eficiente la operación de sus equipos. Y pueden utilizar la automatización y la inteligencia para detectar, priorizar y mitigar continuamente el riesgo en toda la creciente superficie de ataque, obteniendo una visibilidad ampliada, sin olvidarnos de la detección y respuesta unificada. Esto se traduce en la reducción del tiempo empleado en detectar y responder ante un incidente, el tiempo además de ser una unidad de medida crítica en una situación de crisis, es la diferencia entre una respuesta eficiente y el caos más absoluto. A medida que los líderes empresariales y de seguridad sigan convergiendo en su comprensión del riesgo cibernético, estarán cada vez más de acuerdo en que las plataformas de seguridad unificada ofrecen la mejor forma de gestionar ese riesgo, y poder descubrir, comprender y mitigar de manera más rápida y eficaz.

En un año de incertidumbre y de amenazas crecientes como indica el informe del FEM, debemos rentabilizar las inversiones y hacer más eficientes las operaciones.