.jpg)
Los equipos de seguridad no carecen de herramientas de gestión de la exposición. Existen inventarios de activos, escáneres de vulnerabilidades, EDR, plataformas cloud , sistemas de gestión de identidades, plataformas de gestión de la superficie de ataque (ASM) y SIEM. Cada una de ellas aporta una perspectiva sobre el entorno.
Y, sin embargo, seguimos haciéndonos la misma pregunta una y otra vez: ¿a qué riesgos estamos expuestos exactamente en este momento?
Entonces, ¿cuál es el problema? Con todas estas herramientas, ¿no deberíamos ser capaces de ver qué hay que reconfigurar o dónde hay que eliminar el acceso? La respuesta no es que falten datos, sino que esos datos no son lo suficientemente claros.
El problema no es la visibilidad, sino la fragmentación
La mayoría de los programas de seguridad se basan en sistemas diseñados para funcionar de forma independiente. Cada herramienta responde a una necesidad distinta. Una herramienta CAASM realiza un seguimiento de los activos. Un escáner de vulnerabilidades detecta las vulnerabilidades. Otra registra la actividad. Otra se encarga de hacer cumplir las políticas. Todas ellas son útiles. Pero ninguna refleja el entorno tal y como funciona realmente ni influye directamente en el nivel de seguridad de una organización.
Cuando se plantean preguntas como estas a los directores de seguridad de la información (CISO) o a los responsables de seguridad:
- ¿Estamos en peligro ahora mismo?
- ¿Qué riesgo es realmente importante?
- ¿Cómo afectará esto al negocio?
Las respuestas no están disponibles de inmediato. Hay que recopilarlas, y a menudo hay que hacerlo manualmente en varios sistemas y bajo presión de tiempo. Esto obliga a los CISO o a los responsables a tomar decisiones de gran importancia sin disponer de pruebas fiables.
Los entornos modernos han acabado con el modelo tradicional
El problema no son las herramientas; es que el entorno en sí ha cambiado.
Hoy en día, las empresas son dinámicas por naturaleza. Los sistemas se activan y desactivan constantemente. El acceso se concede mediante programación. Los datos circulan porcloud, SaaS y sistemas de identidades sin límites claros. Al mismo tiempo, las identidades no humanas (NHI) son muy numerosas. Las cuentas de servicio, las API, las cargas de trabajo y los procesos impulsados por la IA operan ahora en todo el entorno, superando a menudo en número a los seres humanos por un amplio margen.
Los atacantes se han adaptado a esta realidad. Ya no se limitan a explotar una única vulnerabilidad o a traspasar el perímetro de seguridad. Se desplazan por el entorno y crean vías de ataque utilizando accesos legítimos y la escalada de privilegios, camuflándose entre el comportamiento normal y aprovechando las brechas entre los sistemas.
En consecuencia, la exposición ya no es algo estático. Se genera continuamente a través del comportamiento y la interacción de los sistemas.
Los enfoques tradicionales para gestionar los riesgos —como la seguridad de identidades o cloud — no han sabido adaptarse a los nuevos tiempos. Se basan en visiones parciales del entorno, lo que implica que persisten los puntos ciegos, especialmente en lo que respecta a los activos no gestionados, las identidades y cloud . Tratan los riesgos como una mera lista de problemas, en lugar de como algo que se inscribe en un contexto. Además, rara vez reflejan cómo se desarrollan los ataques modernos a través de los sistemas.
Qué hay que cambiar
Debemos pasar de la medición estática a una comprensión continua. Y eso empieza por analizar la exposición desde una perspectiva diferente. En lugar de fijarnos en lo que figura sobre el papel, hay que fijarse en lo que realmente funciona. No solo quién tiene acceso, sino cómo se utiliza ese acceso. No solo dónde se encuentran las vulnerabilidades, sino si pueden ser explotadas en el contexto de la actividad real. Y, más allá de eso, debemos aplicar la validación de la exposición.
Se trata tanto de un cambio de perspectiva como de un avance tecnológico.
Esto implica:
- De las listas de activos a los entornos activos
- De hallazgos aislados a un riesgo interrelacionado
- De las suposiciones a las pruebas
Convertir los datos de exposición en una realidad de exposición
Para hacer frente a los riesgos actuales, los equipos de seguridad necesitan una forma de basar su comprensión en lo que realmente ocurre en toda la superficie de exposición a los ataques. Esto requiere una capa de pruebas, o algo que refleje la comunicación real, el comportamiento real y las interacciones reales entre los sistemas.
Cuando se analiza la exposición desde esa perspectiva, el panorama se aclara. Los equipos pueden ver qué elementos están activos, cuáles no están gestionados, cómo se conectan los sistemas y dónde surgen riesgos de forma significativa. En lugar de ir reuniendo fragmentos de información, podemos obtener una visión continua de la exposición a medida que evoluciona.
¿Cómo se traduce esto en la práctica?
Cuando la gestión de la exposición se ajusta a la realidad, los resultados cambian de manera significativa.
Los responsables de seguridad pueden responder a preguntas cruciales con seguridad, en lugar de basarse en estimaciones. Los equipos dedican menos tiempo a correlacionar datos y más a actuar en lo que realmente importa. Además, las organizaciones pueden empezar a demostrar, con pruebas, que el riesgo cibernético se va reduciendo con el tiempo. Esto es especialmente importante dada la presión a la que se ven sometidos hoy en día los CISO para demostrar que los controles son eficaces y que la postura de seguridad mejora continuamente, incluso fuera del ámbito de una auditoría.
En resumen: cambiemos nuestra forma de abordar la exposición
La gestión de la exposición no está fallando porque a los equipos de seguridad les falte esfuerzo o inversión. Está fallando porque el modelo no se ha adaptado a la forma en que se comportan los entornos y los ataques actuales.
Para solucionarlo, debemos ir más allá de una visión fragmentada y avanzar hacia una comprensión unificada y basada en datos de la exposición.