Inicio General 3 factores prioritarios en seguridad para el CISO

3 factores prioritarios en seguridad para el CISO

En 2019, los CISO dan mayor prioridad a la consolidación de proveedores, colaboración entre los equipos de redes y seguridad y ejercicios de concientización sobre la seguridad

Seguridad
Seguridad

Cisco publicó su quinto estudio CISO Benchmark 2019, una revisión anual del estado del Chief Information Security Officer (CISO).

Los resultados de este año muestran que los profesionales de la seguridad de la información están asignando una mayor prioridad a la consolidación de proveedores, la colaboración entre los equipos de redes y seguridad y los ejercicios de concientización sobre la seguridad, para fortalecer la seguridad de las organizaciones y reducir el riesgo de violaciones.

El estudio también revela que muchos CISO confían cada vez más en que la migración a la nube para mejorar los esfuerzos de protección, mientras que aparentemente disminuye la dependencia de tecnologías menos probadas, como la inteligencia artificial (IA).

Los entornos de seguridad complejos formados por soluciones de 10 o más proveedores de seguridad, podrían obstaculizar la visibilidad de los profesionales de la seguridad en sus entornos.

Al 65% de los encuestados no les resulta fácil determinar el alcance de un posible ataque, contenerlo y remediarlo. Las amenazas desconocidas que existen fuera de la empresa en forma de usuarios, datos, dispositivos y aplicaciones, también son una preocupación importante para los CISO.

Según el estudio, el 44% de los encuestados ha aumentado la inversión en tecnologías de defensa de seguridad, mientras que el 39% realiza entrenamientos de conocimiento de seguridad entre los empleados, y el 39% se enfocó en la implementación de técnicas de mitigación de riesgos.

Los consultados también notaron el alto impacto financiero incesante de los ataques: 45% de ellos informó que el impacto financiero de una violación a su organización fue de más de 500,000 dólares.

Afortunadamente, más del 50% de los encuestados están manejando costos de infracciones por debajo de medio millón de dólares, pero persiste un tenaz 8% que reclama un costo de riesgo de más de 5 millones de dólares por incidente, por su incumplimiento más significativo del año pasado.

 

Principales hallazgos

Continúa la tendencia de los productos puntuales a la consolidación de proveedores.

  • En 2017, el 54% de los encuestados citó a 10 o menos proveedores en su entorno. Este número ha aumentado a 63%.
  • En muchos entornos, las soluciones de múltiples proveedores no están integradas y, por lo tanto, no comparten la clasificación y priorización de alertas. El estudio demostró que incluso aquellos CISO con menos puntos de solución podrían administrar mejor sus alertas, a través de un enfoque de arquitectura empresarial.
  • En México, el 51% utiliza de 1 a 5 proveedores.

Los equipos más colaborativos pierden menos dinero. La eliminación de silos muestra un alza financiera tangible:

  • El 95% de los profesionales de seguridad informaron que sus equipos de redes y seguridad eran muy o extremadamente colaborativos.
  • El 59% de los que declararon que sus equipos de redes y seguridad eran muy o extremadamente colaborativos, también afirmaron que el impacto financiero de su incumplimiento más grave fue inferior a 100,000 dólares, la categoría más baja de costo de incumplimiento en la encuesta.

Hay más confianza en la seguridad de la nube y en asegurar la nube.

  • El 93% de los CISO informaron que la migración a la nube incrementó la eficiencia y la eficacia de sus equipos.
  • La percepción de la dificultad de proteger la infraestructura de la nube ha disminuido: 52% en 2019, en comparación con 55% en 2017.

El uso de la evaluación de riesgos y las métricas de riesgo que abarcan todo el negocio, en parte impulsadas por las compras de seguros cibernéticos, desempeña un papel cada vez más importante en la selección de tecnología y ha ayudado a los CISO a centrarse en sus prácticas operativas.

  • El 40% de los encuestados está utilizando un seguro cibernético, al menos en parte, para establecer sus presupuestos.
  • La ‘Fatiga cibernética‘, definido como renunciar virtualmente a mantenerse por delante de las amenazas maliciosas y los malos actores, ha bajado del 46% en 2018 al 30% en 2019.
  • En México, el 81% señaló que no, aún se sigue luchando contra los ataques.

Pero la batalla está lejos de terminar: los siguientes hallazgos muestran los desafíos de CISO y las oportunidades de mejora: 

  • La Inteligencia Artificial (IA) y el Machine Learning (ML), utilizados correctamente, son esenciales para las etapas iniciales de priorización y gestión de alertas. Sin embargo, la confianza en estas tecnologías ha disminuido a medida que los encuestados posiblemente perciben que las herramientas aún están en formación y no están listas para el horario estelar:
  • La dependencia de ML se ha reducido a 67%, en 2019 en comparación con 77% en 2018.
  • IA se redujo a 66%, en comparación con 74% en 2018.
  • La automatización ha bajado a 75%, en comparación con 83% en 2018.

Los empleados/usuarios continúan siendo uno de los mayores desafíos de protección para muchos CISO, ya que es esencial contar con un proceso organizativo que comience con la capacitación en conciencia de seguridad desde el primer día.

  • Solo el 51% se califican a sí mismos con un excelente trabajo de administración de la seguridad de los empleados a través de la integración y los procesos integrales de transferencias y salidas.

La seguridad del correo electrónico sigue siendo el vector de amenaza número uno. 

  • La suplantación de identidad y el comportamiento riesgoso de los usuarios (por ejemplo, hacer clic en enlaces maliciosos en correos electrónicos o sitios web) sigue siendo alto y es la principal preocupación de los CISO. La percepción de este riesgo se ha mantenido constante durante los últimos tres años entre el 56 y el 57 % de los encuestados, junto con los bajos niveles de programas de concientización de los empleados relacionados con la seguridad, esto representa una posible brecha importante que la industria de la seguridad puede ayudar a resolver.

La gestión y remediación de alertas sigue siendo un reto. Una caída reportada en la remediación de alertas legítimas, 50.5% en 2018 a 42.7% este año, es preocupante dado que muchos de los encuestados están avanzando hacia la remediación como un indicador clave de la efectividad de la seguridad. 

  • Las medidas de seguridad están cambiando. El número de encuestados que utilizan el tiempo medio para la detección como una métrica para la eficacia de la seguridad disminuyó del 61% en 2018 al 51% en 2019 en promedio. El tiempo para parches también se redujo de 57% en 2018 a 40% en 2019. El tiempo para remediar ha aumentado como una métrica de éxito: el 48% de los encuestados mencionó esto en comparación con el 30% en 2018.

 

Recomendaciones para los CISO

  • Establecer el presupuesto de seguridad basándose en los resultados de seguridad medidos con estrategias prácticas combinadas con ciberseguros y evaluaciones de riesgos, para guiar sus decisiones de compras, estrategia y administración.
  • Existen procesos comprobados que las empresas pueden emplear para reducir su exposición y el alcance de los ataques. Prepararse de la mejor manera; emplear métodos de investigación rigurosos y conocer los métodos de recuperación más convenientes.
  • La única forma de comprender las necesidades de seguridad subyacentes de un caso de negocio es colaborar a través de los silos, entre los grupos de IT, redes, seguridad y riesgo/cumplimiento.
  • Organizar la respuesta a incidentes a través de diferentes herramientas, para pasar de la detección a la respuesta más rápido y con menos coordinación manual.
  • Combinar la detección de amenazas con la protección de acceso, para abordar las amenazas internas y alinee con un programa como Zero Trust.
  • Abordar el vector de amenaza número uno con entrenamiento de phishing, autenticación multifactor, filtrado avanzado de spam y DMARC para defenderse contra los riesgos del correo electrónico comercial.