La consultora tecnológica Gartner aborda cuatro mitos populares que oscurecen el valor total que brinda la ciberseguridad e inhiben la eficacia de los programas de seguridad de las organizaciones.
La firma de análisis e investigación Gartner ha avanzado cuatro mitos que empañan el valor total de la seguridad cibernética para las empresas e inhiben la eficacia final de los programas de seguridad implantados. En este sentido, la consultora tecnológica ha asegurado que los CISO deben adoptar una mentalidad de “mínima eficacia” para maximizar el impacto de la seguridad cibernética para el negocio. “Muchos CISO están agotados y sienten que tienen poco control sobre factores estresantes o sobre el equilibrio entre el trabajo y la vida personal”, defiende Henrique Teixeira, analista sénior del sello. “Los líderes de ciberseguridad y sus equipos están poniendo el máximo esfuerzo, pero no están teniendo el máximo impacto”.
Una mentalidad mínimamente efectiva es un concepto que se corresponde, detalla Leigh McMullen, vicepresidenta analista de Gartner, con un “enfoque deliberado, impulsado por el ROI, para liderar la ciberseguridad en el futuro”. Si bien la idea de mínimo puede parecer “incómoda”, se refiere “a las entradas, no a los resultados”. Este enfoque, insisten los expertos, “permitirá que las funciones de ciberseguridad vayan más allá de simplemente ‘defender el fuerte’ para desbloquear su verdadero potencial para crear valor tangible”. Así, durante la Cumbre de Gestión de Riesgos y Seguridad, Teixeira y McMullen han desmentido cuatro mitos comunes sobre seguridad y explicaron cómo los líderes de seguridad pueden crear valor nuevo a través del compromiso comercial, la tecnología y el talento.
Se cree comúnmente que la mejor manera de impulsar la acción de los tomadores de decisiones ejecutivas sobre iniciativas de seguridad cibernética es a través de un análisis de datos sofisticado, como el cálculo de la probabilidad de que ocurra un evento cibernético. Sin embargo, no es práctico cuantificar el riesgo de esta manera. Además, este enfoque no brinda responsabilidad compartida entre la seguridad cibernética y alta dirección para reducir materialmente el riesgo comercial. La investigación de Gartner ha encontrado que solo un tercio de los CISO informan que el éxito impulsa la acción a través de la cuantificación del riesgo cibernético.
“En lugar de continuar buscando más datos y más análisis, los CISO inteligentes se involucran en un enfoque de información mínima efectiva”, apuntó Teixeira. «Determine la cantidad mínima de información necesaria para trazar una línea recta entre la financiación de la seguridad cibernética de la empresa y la cantidad de vulnerabilidad que aborda la financiación«. Los CISO deben utilizar un enfoque de métricas basadas en resultados (ODM) para la acción Información mínima efectiva. Los ODM vinculan las métricas operativas de seguridad y riesgo con los resultados comerciales que respaldan al explicar los niveles de protección actualmente implementados y los niveles de protección alternativos disponibles en función del gasto.
Se prevé que el gasto mundial en productos y servicios de gestión de riesgos y seguridad de la información crezca un 12,7% hasta arañar los 190.000 millones de dólares en 2023. Sin embargo, aunque las organizaciones gastan más en herramientas y tecnologías de ciberseguridad, los líderes en seguridad siguen sintiendo que no están debidamente protegidos. “La seguridad cibernética a menudo se atasca en una mentalidad de adquisición de equipos, creyendo que a la vuelta de la esquina debe haber algo mejor”, dijo McMullen. “En cambio, los CISO deben adoptar un conjunto mínimo de herramientas efectivas: la menor cantidad de tecnologías necesarias para observar, defender y responder a las exposiciones. Esto permitirá que la ciberseguridad sea dueña de su arquitectura, reduciendo la complejidad y la falta de interoperabilidad que dificultan la generación de valor a partir de las inversiones en tecnología”.
Las organizaciones pueden comenzar el viaje hacia un conjunto de herramientas efectivo mínimo adoptando una perspectiva de costes humanos; es decir, manteniendo los gastos generales de los ciberprofesionales que administran las herramientas de ciberseguridad por debajo del beneficio de la herramienta para mitigar los riesgos. Paralelamente, adopte una vista arquitectónica para medir si una herramienta determinada se suma o se sustrae a la capacidad de proteger a la empresa. Los principios de la arquitectura de malla de ciberseguridad (CSMA) también pueden respaldar la seguridad en el diseño de la simplicidad, la composición y la interoperabilidad.
“La demanda de talento en ciberseguridad ha superado la oferta hasta el punto de que los CISO no pueden ponerse al día”, asegura McMullen. “La seguridad es un cuello de botella masivo para la transformación digital, y mucho de eso se debe al mito de que solo los profesionales de ciberseguridad pueden hacer un trabajo cibernético serio. La solución es democratizar la experiencia en seguridad cibernética, en lugar de intentar contratar para salir de la brecha de talento”.
En este contexto, la consultora predice que para 2027, el 75% de los empleados adquirirá, modificará o creará tecnología fuera de la visibilidad de TI, frente al 41% en 2022. Los CISO pueden reducir la carga de sus equipos al ayudar a estos tecnólogos comerciales a desarrollar la experiencia mínima efectiva o el juicio cibernético. Una encuesta reciente de Gartner asevera que los tecnólogos de negocios con alto juicio cibernético tienen 2.5 veces más probabilidades de considerar los riesgos de seguridad cibernética al desarrollar capacidades analíticas o tecnológicas.
Según se desprende de una encuesta reciente de la firma de análisis, el 69% de los empleados han pasado por alto la guía de seguridad cibernética de su organización en los últimos 12 meses, y el 74% de los empleados estarían dispuestos a pasar por alto la guía de seguridad cibernética si les ayudara a ellos o a su equipo a lograr un objetivo comercial. “Las organizaciones de ciberseguridad son muy conscientes del comportamiento no seguro generalizado de la fuerza laboral, pero la respuesta típica de agregar más controles es contraproducente”, dijo Teixeira. “Los empleados reportan una gran cantidad de fricciones relacionadas con el comportamiento seguro, lo que genera un comportamiento inseguro. Los controles que se eluden son peores que ningún control”.
Así, la fricción efectiva mínima reequilibra la evaluación de ciberseguridad del desempeño de los controles de seguridad para priorizar la experiencia del usuario en lugar de la funcionalidad técnica únicamente. Gartner predice que para 2027, el 50 % de los CISO de grandes empresas habrán adoptado prácticas de diseño de seguridad centradas en el ser humano para minimizar la fricción inducida por la ciberseguridad y maximizar la adopción del control.
Fuente: https://cso.computerworld.es/tendencias/cuatro-mitos-que-empanan-el-valor-total-de-la-ciberseguridad
Cookie | Duración | Descripción |
---|---|---|
__cf_bm | 1 hour | This cookie, set by Cloudflare, is used to support Cloudflare Bot Management. |
_GRECAPTCHA | 6 months | Google Recaptcha service sets this cookie to identify bots to protect the website against malicious spam attacks. |
cookielawinfo-checkbox-advertisement | 1 year | Set by the GDPR Cookie Consent plugin, this cookie records the user consent for the cookies in the "Advertisement" category. |
cookielawinfo-checkbox-analytics | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics". |
cookielawinfo-checkbox-functional | 11 months | The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional". |
cookielawinfo-checkbox-necessary | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary". |
cookielawinfo-checkbox-others | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other. |
cookielawinfo-checkbox-performance | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance". |
CookieLawInfoConsent | 1 year | CookieYes sets this cookie to record the default button state of the corresponding category and the status of CCPA. It works only in coordination with the primary cookie. |
csrftoken | 1 year | This cookie is associated with Django web development platform for python. Used to help protect the website against Cross-Site Request Forgery attacks |
opt_out | 1 year | This cookie is used for preventing the installation of third party advertiser or other cookies on the browser. |
PHPSESSID | 24 minutes | This cookie is native to PHP applications. The cookie stores and identifies a user's unique session ID to manage user sessions on the website. The cookie is a session cookie and will be deleted when all the browser windows are closed. |
rc::a | never | This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks. |
rc::b | session | This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks. |
rc::c | session | This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks. |
rc::f | never | This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks. |
ts | 1 year 1 month | PayPal sets this cookie to enable secure transactions through PayPal. |
usprivacy | 1 year 1 month | This is a consent cookie set by Dailymotion to store the CCPA consent string (mandatory information about an end-user being or not being a California consumer and exercising or not exercising its statutory right). |
viewed_cookie_policy | 11 months | The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data. |
wordpress_test_cookie | session | WordPress sets this cookie to determine whether cookies are enabled on the users' browsers. |
Cookie | Duración | Descripción |
---|---|---|
cX_G | 1 year 1 month | Cxense sets this cookie for storing the global ID, mapping different ids together into one ID. |
v1st | 1 year 1 month | The v1st cookie is set by TripAdvisor to collect details about how visitors use the website, by displaying user reviews, awards and information received on the TripAdvisor community. |
yt-player-headers-readable | never | The yt-player-headers-readable cookie is used by YouTube to store user preferences related to video playback and interface, enhancing the user's viewing experience. |
yt-remote-cast-available | session | The yt-remote-cast-available cookie is used to store the user's preferences regarding whether casting is available on their YouTube video player. |
yt-remote-cast-installed | session | The yt-remote-cast-installed cookie is used to store the user's video player preferences using embedded YouTube video. |
yt-remote-connected-devices | never | YouTube sets this cookie to store the user's video preferences using embedded YouTube videos. |
yt-remote-device-id | never | YouTube sets this cookie to store the user's video preferences using embedded YouTube videos. |
yt-remote-fast-check-period | session | The yt-remote-fast-check-period cookie is used by YouTube to store the user's video player preferences for embedded YouTube videos. |
yt-remote-session-app | session | The yt-remote-session-app cookie is used by YouTube to store user preferences and information about the interface of the embedded YouTube video player. |
yt-remote-session-name | session | The yt-remote-session-name cookie is used by YouTube to store the user's video player preferences using embedded YouTube video. |
ytidb::LAST_RESULT_ENTRY_KEY | never | The cookie ytidb::LAST_RESULT_ENTRY_KEY is used by YouTube to store the last search result entry that was clicked by the user. This information is used to improve the user experience by providing more relevant search results in the future. |
Cookie | Duración | Descripción |
---|---|---|
_gat | 1 minute | Google Universal Analytics sets this cookie to restrain request rate and thus limit data collection on high-traffic sites. |
dmvk | session | The dmvk cookie is set by Dailymotion to record data of visitor behaviour on the website. |
Cookie | Duración | Descripción |
---|---|---|
_fbp | 3 months | Facebook sets this cookie to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising after visiting the website. |
_ga | 1 year 1 month 4 days | Google Analytics sets this cookie to calculate visitor, session and campaign data and track site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognise unique visitors. |
_gid | 1 day | Google Analytics sets this cookie to store information on how visitors use a website while also creating an analytics report of the website's performance. Some of the collected data includes the number of visitors, their source, and the pages they visit anonymously. |
cX_P | 1 year 1 month | Cxense sets this cookie for site-specific user sessions - across sessions. |
Cookie | Duración | Descripción |
---|---|---|
guest_id | 1 year 1 month | Twitter sets this cookie to identify and track the website visitor. It registers if a user is signed in to the Twitter platform and collects information about ad preferences. |
test_cookie | 15 minutes | doubleclick.net sets this cookie to determine if the user's browser supports cookies. |
VISITOR_INFO1_LIVE | 6 months | YouTube sets this cookie to measure bandwidth, determining whether the user gets the new or old player interface. |
VISITOR_PRIVACY_METADATA | 6 months | YouTube sets this cookie to store the user's cookie consent state for the current domain. |
YSC | session | Youtube sets this cookie to track the views of embedded videos on Youtube pages. |
yt.innertube::nextId | never | YouTube sets this cookie to register a unique ID to store data on what videos from YouTube the user has seen. |
yt.innertube::requests | never | YouTube sets this cookie to register a unique ID to store data on what videos from YouTube the user has seen. |
Cookie | Duración | Descripción |
---|---|---|
__cflb | 1 day | This cookie is used by Cloudflare for load balancing. |
_awl | 1 year 1 month | No description available. |
_pcid | 1 year 1 month | Description is currently not available. |
_pctx | 1 year 1 month | Description is currently not available. |
gckp | 1 year | This cookie is set by the provider Cxense. This cookie is used for building user profile information across all sites in the Cxense network. |
itsec-hb-login-27e4caa2b0fb20a2dee118de04e9de77 | 1 hour | Description is currently not available. |
ntvSession | session | Description is currently not available. |