3 puntos de referencia esenciales para la seguridad de las organizaciones

22 de febrero de 2021

3 puntos de referencia esenciales para la seguridad de las organizaciones

Los responsables de seguridad y tecnología necesitan medir el éxito, pero con demasiada frecuencia el ejercicio se centra más en la ausencia de fracaso que en la presencia de éxito, y la seguridad se define por lo que no es: no está siendo violada, no está siendo multada o no está cumpliendo las normas, no es "vulnerable" (con un sano debate sobre lo que eso significa exactamente). Una lista de cosas que no hay que hacer es un pobre sustituto de un mapa y una brújula.

Afortunadamente, cuando se trata de una estrategia de seguridad exitosa, no tiene por qué enmarcarse negativamente como la ausencia de fracaso; una estrategia de seguridad exitosa puede enmarcarse positivamente con indicadores de que se está en el camino correcto, siempre y cuando estemos dispuestos a alinear su vocabulario de seguridad con su vocabulario de riesgo.

Después de todo, el riesgo es un concepto interorganizativo que impulsa los resultados empresariales. La propia seguridad es un ámbito de riesgo, y la mejor forma de describir las inversiones en seguridad es como un impacto en la mitigación del riesgo, es decir, en la reducción de la probabilidad y el impacto de las pérdidas previstas. Cuando la alineación vertical en torno a los resultados del riesgo se produce explícitamente en una organización entre las funciones de seguridad tácticas y operativas y el nivel de liderazgo estratégico, tenemos una línea de visión clara entre las inversiones en seguridad, el rendimiento de esas inversiones y hasta qué punto mueven la aguja en el viaje de la seguridad.

Teniendo en cuenta lo anterior, he aquí algunos objetivos razonables: entender los frentes en los que se está luchando, definir correctamente lo que significa ganar y medir el éxito de forma que se traduzca en resultados empresariales.

Planificación estratégica de los frentes de seguridad de las organizaciones

En primer lugar, el riesgo organizativo debe reconocer y planificar explícitamente los frentes en los que se va a librar esta guerra.

Entre las distintas formas de dividir lo que inevitablemente es un espacio interconectado, una manera de hacerlo es considerar los frentes interno, externo y tecnológico:

El frente interno son las cosas bajo nuestro control directo, como nuestro personal y nuestros procesos, que influyen en nuestro riesgo. El éxito en este frente alinea los incentivos culturales de riesgo y los resultados de riesgo.
El Frente Exterior es aquel en el que actores y actividades fuera de nuestro control influyen en nuestro riesgo. El éxito aquí va desde la planificación para catástrofes naturales, por un lado, hasta adversarios motivados y persistentes, por otro.
El frente tecnológico es la base de la empresa moderna, y donde a menudo se desarrolla la interacción entre factores internos y externos. La tecnología nunca es estática, por lo que la gestión del éxito en este frente consiste en reconocer dónde se está, dónde se necesita estar y los pasos incrementales a lo largo del viaje, incluso cuando se ve perturbado por fuerzas internas y externas.

Si no se planifican y tienen en cuenta todos estos frentes, aumentan las probabilidades de que algo salga mal, de la manera que uno desearía que no saliera.

Definir el éxito mediante la resistencia en la seguridad de las organizaciones

En segundo lugar, en lugar de definir negativamente el éxito como la prevención de ataques, las organizaciones deben definir positivamente el éxito como la promoción de la resiliencia.

¿Y qué es la resiliencia? Es el estado en el que las cosas que van mal se gestionan antes de que tengan un impacto material.

Una organización segura es aquella en la que se identifican las amenazas, se minimizan las interrupciones, la recuperación es rápida y las pérdidas son irrelevantes. Cada uno de estos elementos entra en un cálculo más amplio de mitigación de riesgos, y las inversiones son proporcionales a su impacto, desde los controles de protección, en gran medida generalizados, hasta los objetivos específicos de resiliencia de una organización en materia de detección, respuesta y recuperación.

Los fracasos históricos en este sentido se producen cuando las organizaciones se centran erróneamente en prevenir todas las amenazas o en contentarse estrictamente con mantener el cumplimiento. Ambas son importantes por derecho propio, pero la primera crea una cultura obsesionada con un objetivo inalcanzable (y francamente, menos importante), mientras que la segunda crea un techo a partir de lo que puede que ni siquiera sirva de suelo.

Cuantificación de los riesgos de seguridad: Una práctica necesaria

En tercer lugar, en casi todos los ámbitos empresariales, el riesgo es cuantificable como expectativa de pérdida comunicada en dimensiones de probabilidad e impacto (expresadas en la moneda que se elija): ¿por qué debería ser la seguridad la excepción?

Este último objetivo permite a los responsables de la toma de decisiones estratégicas comparar los riesgos de seguridad con otros riesgos a los que se enfrenta la empresa y asignar capital y recursos para optimizar los resultados empresariales y comprender la rentabilidad que obtendrán de su estrategia de riesgos.

Cincuenta servidores "amarillos" con vulnerabilidades "críticas" o un centro de datos en riesgo de interrupción por huracanes estacionales. ¿Cuál es peor? ¿Y cómo debe priorizar una organización sus limitados recursos en un plan de acción? ¿Usuarios con privilegios excesivos y en situación de riesgo con acceso a datos confidenciales o el incumplimiento de los objetivos de tiempo de comercialización de un nuevo producto? ¿Y qué hay de unos cuantos servidores web de cara al público en entornos de ejecución al final de su vida útil? ¿Qué lugar ocupan en las prioridades de la organización? Sin un lenguaje común de comparación, resulta excepcionalmente difícil establecer prioridades óptimas. Para una empresa, ese lenguaje se produce en última instancia en el contexto de la esperanza de pérdidas y el rendimiento de la inversión.

Y ahí lo tienen, objetivos prácticos para progresar en la seguridad de una organización: comprender dónde y cómo se corre el riesgo, entender que el éxito consiste en el impacto y no en la prevención, y luego comunicar ese conocimiento de una manera que resuene con las partes interesadas de alto nivel de la empresa.

Si ya estás apuntando a estos objetivos, estás bien encaminado hacia donde quieres estar. Y si no es así, es hora de dejar de centrarse en la ausencia de éxito y sacar el mapa y la brújula de seguridad. Si desea hablar con un consultor de seguridad, programe una demostración.

¿Quiere saber más?

Vectra® es el líder en detección y respuesta a amenazas cloud híbrida basadas en IA de seguridad. La plataforma y los servicios de Vectra cubren la cloud pública, las aplicaciones SaaS, los sistemas de identidad y la infraestructura de red, tanto en las instalaciones como cloud. Organizaciones de todo el mundo confían en la plataforma y los servicios de Vectra para resistir el ransomware, el compromiso de la cadena de suministro, la apropiación de identidades y otros ciberataques que afectan a su organización.

Si quiere saber más, póngase en contacto con nosotros y le mostraremos exactamente cómo lo hacemos y qué puede hacer para proteger sus datos. También podemos ponerle en contacto con uno de nuestros clientes para que nos cuente directamente su experiencia con nuestra solución.

Contáctenos

Preguntas frecuentes

¿Cuáles son los principales frentes de la seguridad organizativa?

Los principales frentes son el interno, el externo y el tecnológico, cada uno de los cuales requiere estrategias y planificación específicas.

¿Cuál es el papel de la resiliencia en la seguridad?

La resiliencia implica minimizar las interrupciones, recuperarse rápidamente y mantener las operaciones a pesar de los incidentes de seguridad.

¿Por qué es importante la cuantificación del riesgo en seguridad?

La cuantificación de los riesgos de seguridad permite a las organizaciones priorizar los recursos y comparar los riesgos de seguridad con otros riesgos empresariales.

¿Cuáles son las ventajas de una estrategia de seguridad positiva?

Una estrategia positiva se centra en la resistencia y las medidas proactivas, fomentando una cultura de preparación y respuesta rápida.

¿Cuál es la importancia de alinear la seguridad con el vocabulario de riesgos?

Alinear la seguridad con el vocabulario de riesgos garantiza una comunicación clara y el establecimiento de prioridades en toda la organización.

¿Cómo pueden las organizaciones planificar los riesgos de seguridad?

Las organizaciones pueden planificar identificando las amenazas potenciales, alineando los incentivos de riesgo y desarrollando estrategias integrales.

¿Cómo deben definir las organizaciones el éxito en materia de seguridad?

El éxito de la seguridad debe definirse por la capacidad de la organización para detectar, responder y recuperarse de las amenazas.

¿Cómo alinear la seguridad con los resultados empresariales?

La seguridad debe integrarse con los objetivos empresariales para garantizar que las inversiones proporcionen un rendimiento claro en la mitigación de riesgos.

¿Cuáles son las ventajas de una estrategia de seguridad positiva?

Las organizaciones pueden medir el impacto a través de métricas que vinculen las inversiones en seguridad con la reducción de riesgos y los resultados empresariales.

¿Cómo mejora Vectra AI la seguridad de las organizaciones?

Vectra AI mejora la seguridad mediante la supervisión continua, la detección avanzada de amenazas y la alineación con los objetivos empresariales.