Tu presupuesto de ciberseguridad no es el problema

El gasto en ciberseguridad sigue aumentando en todos los sectores. Los analistas predicen que el gasto mundial en ciberseguridad alcanzará los 200,000 millones de dólares (mdd) este año. Sin embargo, muchas organizaciones aún tienen dificultades para responder a una pregunta fundamental: ¿Esa inversión las ha hecho significativamente más seguras?

Parte del problema radica en que el gasto en seguridad suele incrementarse en respuesta a nuevas amenazas sin abordar cómo los equipos deben priorizar el riesgo. Los consejos directivos aprueban presupuestos más elevados. Los equipos de seguridad implementan herramientas adicionales. Se contratan más analistas para hacer frente al creciente volumen de trabajo. Estas inversiones pueden ser útiles, pero no resuelven el problema de fondo: priorizar el trabajo basándose en información incompleta solo agravará los procesos ineficientes. Los equipos necesitan un enfoque mejor si quieren mantener la seguridad.

Esto crea una situación difícil para los líderes empresariales. La ciberseguridad es esencial para proteger las operaciones, los clientes y la propiedad intelectual. Al mismo tiempo, los ejecutivos necesitan tener la certeza de que los recursos destinados a la seguridad están generando resultados medibles. Es fundamental que los líderes empresariales y tecnológicos se tomen el tiempo necesario para reconsiderar su inversión en seguridad y, tal vez, reorientar sus esfuerzos para maximizar sus inversiones y, a la vez, crear entornos más seguros.

Un mayor gasto no significa un menor riesgo

Las vulnerabilidades se divulgan a un ritmo que dificulta la aplicación de las estrategias de remediación tradicionales. Este año, se han notificado casi 20,000 nuevas vulnerabilidades y exposiciones comunes (CVE), lo que confirma el fuerte aumento de las divulgaciones de vulnerabilidades de los últimos años y obliga a los equipos de seguridad a priorizar decenas de miles de amenazas potenciales que requieren atención inmediata. En la práctica, pocas organizaciones tienen la capacidad de remediar ese volumen de vulnerabilidades con rapidez y, al mismo tiempo, mantener la estabilidad operativa.

La inteligencia artificial (IA) está intensificando esta presión en ambos lados de la ecuación de seguridad. Los atacantes asistidos por IA pueden generar nuevas variantes de exploits con mayor rapidez, mientras que las herramientas de seguridad con IA generan aún más alertas para que los defensores las analicen. El resultado es un aumento repentino de datos que los analistas humanos simplemente no pueden procesar a gran escala.

Los ingenieros de seguridad dedican demasiado tiempo a analizar problemas que los controles existentes ya solucionan. Los equipos de gestión de parches se ven presionados a aplicar actualizaciones que quizás no modifiquen sustancialmente la exposición de la organización. Los analistas priorizan alertas y tickets que no contribuyen significativamente a mejorar la preparación defensiva. Es un ciclo operativo con el que muchos equipos de seguridad están familiarizados.

Ante el creciente volumen de vulnerabilidades y métodos de ataque, los equipos intensifican sus esfuerzos de parcheo y solicitan recursos adicionales. Los responsables de seguridad presionan para obtener más presupuesto y se implementan nuevas herramientas para mejorar la visibilidad y la detección. Sin embargo, la acumulación de vulnerabilidades sin parchear sigue aumentando, al igual que el riesgo. El problema no radica en que las organizaciones inviertan demasiado en seguridad, sino en que muchos programas carecen de una forma fiable de medir qué vulnerabilidades y rutas de ataque representan un riesgo real.

Tomar decisiones de ciberseguridad basadas en evidencia

La validación de seguridad, que consiste en la prueba y verificación continua de la capacidad de los controles de seguridad de una organización para defenderse eficazmente de amenazas reales, ofrece una señal más fiable. Al simular de forma segura técnicas de ataque reales contra las defensas de producción, las organizaciones pueden medir el rendimiento de sus controles frente a las amenazas que están diseñados para detener. Históricamente, este tipo de pruebas se realizaba periódicamente mediante ejercicios manuales o evaluaciones programadas.

Los avances en IA permiten ahora un enfoque más continuo para la validación de la seguridad. Las plataformas de validación basadas en IA pueden simular de forma automática y repetida el comportamiento de los atacantes, lo que permite a las organizaciones probar sus defensas las 24 horas del día, en lugar de depender de evaluaciones puntuales. Los equipos de seguridad obtienen una visión más clara de su exposición real y dejan de malgastar tiempo y recursos respondiendo a la interminable avalancha de alertas de seguridad. Operan con información sobre qué vulnerabilidades pueden explotarse en sus entornos específicos y cuáles ya están mitigadas por las defensas existentes.

Este enfoque, denominado validación de exposición de agentes, garantiza pruebas continuas y automatizadas que proporcionan evidencia del rendimiento de las defensas frente a técnicas de ataque reales en cualquier momento. De esta forma, las organizaciones pueden concentrar sus esfuerzos de remediación en las vulnerabilidades que los atacantes podrían explotar de manera realista, al tiempo que permiten a los equipos abordar los problemas de menor riesgo de forma más mesurada. Esta claridad modifica la forma en que se asignan los recursos.

Para los líderes empresariales, la ventaja reside en la visibilidad de los resultados. Las inversiones en seguridad pueden evaluarse en función del rendimiento de las defensas frente a escenarios de ataque reales y de la eficacia con la que la organización reduce la vulnerabilidad a lo largo del tiempo.

Cómo aprovechar las inversiones en ciberseguridad existentes

Los ejecutivos no necesitan convertirse en expertos técnicos para fortalecer la gestión de riesgos cibernéticos de sus organizaciones. Pueden apoyarse en la orientación de los líderes en ciberseguridad y, al mismo tiempo, formular las preguntas adecuadas sobre cómo se determinan las prioridades de seguridad.

Aquí hay cuatro pasos prácticos para ayudar a las organizaciones a aprovechar mejor sus inversiones en seguridad existentes:

1. Valida los controles de seguridad periódicamente

A menudo se da por sentado que las tecnologías de seguridad funcionan según lo previsto una vez implementadas. En realidad, las configuraciones varían y las reglas de detección quedan obsoletas a medida que cambian los entornos. La validación continua, impulsada por pruebas basadas en IA y sistemas de seguridad basados ​​en agentes, permite a las organizaciones simular automáticamente técnicas de ataque y confirmar que las defensas siguen siendo efectivas con el tiempo.

2. Centra la remediación en la exposición explotable

No todas las vulnerabilidades representan un riesgo inmediato. Las organizaciones deben evaluar si una vulnerabilidad puede ser explotada dentro de su entorno antes de destinar recursos significativos a su corrección. Deben basarse en la validación de agentes para determinar qué vulnerabilidades podrían ser aprovechadas por los atacantes.

3. Prioriza los activos que impulsan las operaciones comerciales

Una vulnerabilidad que afecte a un sistema crítico puede suponer un mayor riesgo para la empresa que una vulnerabilidad de mayor gravedad en un activo de bajo impacto. Los programas de seguridad deben priorizar las acciones en función de los sistemas que generan ingresos, gestionan las operaciones y protegen los datos confidenciales.

4. Mide los resultados, no la actividad

Las métricas como el número de vulnerabilidades o el volumen de parches rara vez reflejan una reducción real del riesgo. Los directivos deberían preguntar a los responsables de seguridad cómo se miden a lo largo del tiempo las mejoras en la detección, la eficacia de los controles y la reducción de las rutas de ataque. La validación mediante IA y las pruebas autónomas pueden proporcionar evidencia continua del rendimiento de las defensas frente a escenarios de ataque reales.

Reflexiones finales sobre ciberseguridad

El número de vulnerabilidades y técnicas de ataque seguirá aumentando. Ninguna organización puede eliminar el riesgo por completo, y ningún presupuesto puede crecer indefinidamente al ritmo del panorama de amenazas. Lo que sí pueden hacer las organizaciones es mejorar la forma en que identifican y priorizan las vulnerabilidades más importantes.

Los líderes que centren sus programas de seguridad en riesgos validados sacarán un mejor provecho de sus inversiones en seguridad y ofrecerán a sus equipos una vía más clara para reducir la exposición real.