Cómo la gestión de la exposición transformará la ciberseguridad
Cinco cambios de paradigma para orientar su estrategia
1.
El concepto de «superficie de ataque» se ampliará significativamente.
2.
Las organizaciones avanzarán hacia una visión integral del riesgo de ciberseguridad.
3.
La evaluación del riesgo de ciberseguridad pasará de ser subjetiva a objetiva.
4.
Los directivos de la alta dirección priorizarán decisiones informadas de gestión de la ciberseguridad.
5.
La estrategia de ciberseguridad guiará las inversiones operativas.
El concepto de gestión de la exposición está emergiendo como una fuerza transformadora en la ciberseguridad. A diferencia de los métodos convencionales, que suelen considerar el riesgo de forma aislada, la gestión de la exposición fomenta una comprensión contextual de las amenazas, situándolas dentro de un marco más amplio de objetivos empresariales. Este cambio no es solo un cambio de perspectiva; supone replantear de base cómo abordan las empresas la seguridad.
Las amenazas a las que se enfrentan las organizaciones hoy en día no harán sino aumentar en número y complejidad, lo que exige una evolución equivalente en la forma en que las organizaciones conciben el riesgo cibernético. La seguridad ya no puede quedar aislada dentro del departamento de TI. Debe ser una responsabilidad compartida, en la que cada área del negocio desempeñe un papel en la identificación, mitigación y gestión del riesgo. Este enfoque colaborativo mejora la resiliencia de la organización y contribuye a fomentar la innovación e impulsar la ventaja competitiva.
La evolución continua de la gestión de la exposición tiene el potencial de transformar de forma fundamental el ámbito de la ciberseguridad y la manera en que se percibe a nivel empresarial. Creemos que las cinco proyecciones siguientes no solo son posibles, sino resultados probables de esa evolución.
01
El concepto de «superficie de ataque» se ampliará significativamente.
La superficie de ataque de su organización dista mucho de ser estática. Cambia rápidamente, y los parámetros tradicionales que antes la definían —software y hardware— no abarcan una serie de consideraciones clave para cualquier estrategia de seguridad moderna.
A medida que la tecnología que impulsa las empresas actuales está cada vez más interconectada, la superficie de ataque de una empresa se expande con ella. Elementos dinámicos como los entornos en la nube y los proveedores externos introducen vulnerabilidades únicas que las organizaciones no pueden permitirse ignorar.
Estos son algunos elementos de la superficie de ataque que quizá esté pasando por alto.
Analice su superficie de ataque con una perspectiva más amplia
Use nuestra lista de comprobación editable para analizar con más detalle las categorías de activos anteriores y otras, así como las herramientas que puede utilizar para realizar su seguimiento.
02
Las organizaciones avanzarán hacia una visión integral del riesgo de ciberseguridad.
Hoy en día, la gestión de riesgos recae en gran medida, si no por completo, en su equipo de TI. Es una disciplina aislada, de modo que sus implicaciones para el negocio principal no están debidamente alineadas con la forma en que se trata a nivel organizativo.
Además, a menudo gira en torno a productos puntuales: soluciones diseñadas para abordar amenazas de seguridad específicas a medida que surgen, lo que crea un círculo de especialización dispar en lugar de una visión holística del riesgo cibernético. Como los productos puntuales suelen no integrarse correctamente entre sí, las carencias en su cooperación pueden generar brechas en su cobertura de seguridad.
Para abandonar esa metodología deficiente, es necesario consolidar sus datos de riesgo y buscar una visión completa y contextual del riesgo de ciberseguridad.
Estos son algunos pasos prácticos que puede dar hacia una gestión de riesgos holística.
Recopilación de datos
Cree un inventario completo de todas las herramientas y plataformas de ciberseguridad que se utilizan en la organización. Consulte nuestra Lista de comprobación de preparación para la gestión de la exposición para ver ejemplos y obtener ayuda para identificar las brechas de visibilidad que debe cerrar.
Gestión integrada de riesgos
Implemente una plataforma centralizada, como una plataforma de evaluación de la exposición (EAP) o una herramienta de gestión de vulnerabilidades basada en riesgos (RBVM) que pueda utilizar los datos agregados de activos y exposición de esas herramientas para determinar el riesgo, lo que permite una visión unificada de su postura de riesgo.
Alineación estratégica
Desarrolle informes para la dirección que proporcionen una visión concisa de la postura de riesgo de la organización en relación con su apetito de riesgo, lo que ayuda a convertir la ciberseguridad en una parte esencial de la planificación empresarial.
Evalúe su preparación para la gestión de la exposición
Use nuestra lista de comprobación para ver el estado actual de sus capacidades y las brechas que debe cubrir.
03
La evaluación del riesgo de ciberseguridad pasará de ser subjetiva a objetiva.
Las métricas que utilizan hoy los equipos de operaciones de seguridad no se traducen eficazmente en planificación estratégica, debido a la falta de estándares aceptados universalmente. Aunque los marcos y estándares de seguridad ofrecen cierta orientación, suelen centrarse más en qué debe hacerse que en cómo hacerlo.
La gestión de la exposición conducirá a una medición más rigurosa de los datos para la toma de decisiones, al tiempo que simplificará el resultado que llega a la dirección: información práctica y objetiva que puede guiar a las organizaciones hacia la postura de seguridad deseada.
Estos son los pasos que puede seguir para lograrlo.
01
Identificar los activos incluidos en el alcance
Identificar los activos cuya vulneración causaría el mayor impacto empresarial —por ejemplo, información confidencial o procesos de negocio críticos—, así como los activos de TI de los que dependen, centra su evaluación de riesgos en las áreas más importantes para su organización.
02
Asignar valor a los activos
Para gestionar eficazmente los riesgos asociados a sus activos, empiece por asignar valor a cada activo. Como parte de ese análisis, utilice información específica de su organización —como datos internos, apetito de riesgo y vulnerabilidades únicas— en lugar de tendencias generales del mercado.
03
Identificar vulnerabilidades y amenazas
Identificar las amenazas y vulnerabilidades de mayor prioridad le muestra las rutas más probables por las que sus activos críticos podrían verse comprometidos; esa información se superpondrá al valor de los activos para cuantificar los riesgos para su negocio.
04
Calcular los riesgos
A continuación, evalúe la probabilidad de que se produzca un evento de amenaza potencial y su impacto en sus activos para obtener una evaluación basada en datos de su nivel de riesgo.
05
Realizar un análisis coste-beneficio
Por último, utilice su evaluación de riesgos para realizar un análisis coste-beneficio de la mitigación frente a la aceptación, en línea con la tolerancia al riesgo de su organización. La evolución continua del aprendizaje automático ayudará a impulsar esta transición, poniendo a disposición de las organizaciones evaluaciones de riesgos precisas y en tiempo real cuando tomen decisiones.
Evalúe el riesgo de forma objetiva
Cómo aplicar la cuantificación del riesgo
Lea nuestro blog para obtener una explicación más detallada de cómo utilizar las evaluaciones cuantitativas de riesgos.
Guía de evaluación de riesgos basada en datos
Para consultar un recurso detallado sobre cómo realizar una evaluación de riesgos basada en datos, lea nuestra guía.
Introducción a las métricas de gestión de la exposición
Para familiarizarse con las métricas clave de la gestión de la exposición, consulte nuestra guía breve.
04
Los directivos de la alta dirección priorizarán decisiones informadas de gestión de la ciberseguridad.
Sin métricas compartidas y comprensibles, el riesgo de ciberseguridad no puede comunicarse adecuadamente a los directivos encargados de tomar decisiones. La alta dirección se ve obligada, en la práctica, a hacer conjeturas sobre la estrategia de seguridad de la organización sin poder medir objetivamente los resultados.
Actualmente no existen procesos fiables que aporten objetividad y una conexión directa con decisiones basadas en datos. Integrar la ciberseguridad en la estrategia empresarial se vuelve así difícil, si no imposible, lo que dificulta o impide una evaluación sólida del apetito de riesgo de la organización.
La gestión de la exposición permitirá a los directivos de la alta dirección desarrollar una competencia esencial para tomar decisiones de gestión del riesgo de ciberseguridad informadas, coherentes y explicables. Equipados con datos sólidos y analítica avanzada, los líderes podrán situar el riesgo en términos empresariales, lo que facilitará una mejor comunicación y colaboración en toda la organización.
Lograrlo requiere no solo nuevas capacidades por parte de los proveedores, sino también un cambio en la cultura corporativa y la voluntad de revisar los procesos de toma de decisiones.
Esto es lo que debe ocurrir y algunas ideas sobre cómo abordarlo.
Establecer
Implementar
Fomentar
Comunicar
Revisar
Establecer un marco de apetito de riesgo
Defina el apetito de riesgo de la organización y cómo se alinea con sus objetivos empresariales, creando un marco que guíe la toma de decisiones y garantice la coherencia. Familiarícese con los fundamentos del apetito de riesgo y use nuestra Plantilla de declaración de apetito de riesgo cuando esté listo para empezar.
Implementar analítica avanzada
Mida su progreso con información basada en datos para identificar dónde se sitúa su postura de riesgo en relación con su apetito de riesgo. Las herramientas de RBVM y las EAP pueden ayudar a identificar tendencias y predecir amenazas con una visión holística del panorama de riesgos.
Fomentar la colaboración interfuncional
Elimine los silos y fomente la colaboración entre los equipos de seguridad, TI y negocio, estableciendo reuniones y talleres periódicos para alinear los esfuerzos.
Comunicar el riesgo en términos empresariales
Apoye esa colaboración con un lenguaje común y métricas comprensibles. Al traducir el riesgo cibernético en un posible impacto empresarial, como la pérdida de ingresos prevista causada por una filtración de datos, permite que una variedad de partes interesadas participe mejor.
Revisar y adaptar periódicamente
Convierta la toma de decisiones informada en un proceso continuo. Revise de forma constante los riesgos, controles y supuestos para adaptarse a un panorama de amenazas en evolución. Con una alta dirección informada e implicada, el riesgo de ciberseguridad puede asumir el papel más relevante que merece en la toma de decisiones a nivel empresarial, gran parte de la cual puede basarse en los datos que hemos tratado anteriormente.
Infórmese sobre el apetito de riesgo
Comprender el apetito de riesgo
Lea nuestro blog para ponerse al día sobre los fundamentos del apetito de riesgo.
Plantilla de declaración de apetito de riesgo
Use nuestra plantilla editable para crear su propia declaración de apetito de riesgo y ponerla en práctica.
05
La estrategia de ciberseguridad guiará las inversiones operativas.
Hoy en día, la ciberseguridad la gestionan principalmente especialistas técnicos que a menudo tienen dificultades para comunicar eficazmente sus necesidades a la alta dirección. Al mismo tiempo, aunque los directivos son plenamente conscientes de la importancia crítica de la ciberseguridad y de los riesgos asociados a descuidarla, no siempre están preparados para salvar la brecha de conocimiento que existe entre ellos y sus equipos de TI/seguridad.
Esta desconexión dificulta que cualquier organización defina qué constituye un presupuesto o una estrategia de ciberseguridad «buena» y «razonable». Como resultado, las decisiones se toman con demasiada frecuencia sobre la base del miedo o de las tendencias del sector, en lugar de un criterio informado. Ese enfoque introduce prioridades desalineadas, una asignación ineficiente de recursos y falta de responsabilidad. En conjunto, incluso una organización que cree estar dando los pasos adecuados para protegerse puede no conseguirlo.
Para afrontar estos retos, las organizaciones deben implementar un enfoque estratégico de la ciberseguridad, midiendo las prioridades operativas frente a los datos de rendimiento.
Alinee su estrategia de ciberseguridad
Diapositivas explicativas sobre la gestión de la exposición
Use nuestra presentación editable para introducir a las partes interesadas en los conceptos clave de la gestión de la exposición.
Plantilla de informe de evaluación de riesgos
Use nuestra plantilla de diapositivas editable para informar sobre los hallazgos y recomendaciones de la evaluación de riesgos.
Transforme su estrategia de seguridad
A medida que la gestión de la exposición continúa consolidándose, los cinco cambios de paradigma enumerados anteriormente tienen amplias implicaciones para la ciberseguridad como mercado, como ámbito de práctica y como objetivo estratégico de negocio.
Prepárese para estos cambios con la solución de gestión de la exposición de Ivanti, que combina capacidades de gestión de la superficie de ataque externa, gestión de vulnerabilidades basada en riesgos y remediación de la exposición para ayudarle a proteger su entorno de forma proactiva.