Contar con más datos, más tecnología, más controles y más profesionales en los equipos no significa una mayor protección, a juicio de Gartner.
En este sentido, la consultora considera que son creencias que hay que erradicar para que los esfuerzos en ciberseguridad tengan un mayor impacto, adoptando un enfoque de «eficacia mínima» más efectivo.
Por su parte, el experto de Gartner Henrique Teixera, muchos CISO están agotados y sienten que tienen poco control sobre los factores que les estresan o el equilibrio entre el trabajo y su vida personal. En su día a día, sus equipos se esfuerzan al máximo, pero no consiguen un máximo impacto. La razón, a juicio de la consultora, es que hay cuatro mitos en torno a la ciberseguridad, que impiden alcanzar ese nivel de impacto superior. Las concepciones erróneas de las que se parten son los siguientes:
1º Mito: Más datos equivalen a una mejor protección
Es habitual pensar que la mejor manera de impulsar la acción de los decisores sobre iniciativas de ciberseguridad es mediante un análisis de datos sofisticado. Gartner advierte de que no es práctico cuantificar el riesgo de esta manera y es negativo a la hora de conseguir que la responsabilidad sobre este ámbito sea compartida entre el área de seguridad y la dirección.
En lugar de buscar más datos, la consultora recomienda a los CISO que adopten un enfoque de información mínima efectiva, justo la necesaria para correlacionar la financiación del programa de ciberseguridad y la cantidad de vulnerabilidad que se está abordando con ese dinero. Para ello, deben utilizar mediciones basadas en resultados, que vinculan las métricas operativas de seguridad y el riesgo con los resultados comerciales.
2º Mito: Más tecnología se traduce en mejor protección
Aunque las organizaciones gastan más en herramientas y tecnologías de ciberseguridad, los líderes en seguridad siguen sintiendo que no están debidamente protegidos. Por ello, el planteamiento debería ser adoptar un conjunto mínimo de herramientas efectivas: la menor cantidad de tecnologías necesarias para observar, defender y responder a las exposiciones.
Asimismo, es conveniente calcular el coste humano, manteniendo los gastos generales de los profesionales de ciberseguridad que administran las herramientas por debajo del beneficio de la solución en cuestión y, en paralelo, tener una visión de la arquitectura para medir si una herramienta determinada se suma o se sustrae a la capacidad de proteger a la empresa. En esto pueden ayudar os principios de la arquitectura de malla de ciberseguridad (CSMA).
3º Mito: Más profesionales garantizan una mayor protección
En tercer lugar, para Gartner, el déficit de talento en ciberseguridad es muy difícil de superar, y la seguridad puede convertirse en un cuello de botella masivo para la transformación digital, en gran parte por el mito de que solo los profesionales de ciberseguridad pueden hacer un trabajo cibernético serio.
La propuesta de la consultora es desarrollar en las organizaciones lo que denomina la experiencia mínima efectiva, porque así los empleados tendrán en consideración los riesgos cibernéticos. Esto es importante porque, para 2027, el 75% de los empleados adquirirá, modificará o creará tecnología fuera de la visibilidad de TI, frente al 41% en 2022.
4º Mito: Más controles implican una mejor protección
Por último, destacan que los equipos de seguridad son muy conscientes del comportamiento no seguro generalizado de la fuerza laboral, «pero la respuesta típica de agregar más controles es contraproducente», señala Henrique Teixeira.
En este sentido, el consejo es adoptar una mentalidad de fricción mínima efectiva que priorice la experiencia de usuario, en lugar de pensar solamente en funcionalidad técnica. Gartner predice que para 2027, el 50 % de los CISO de grandes empresas habrán adoptado prácticas de diseño de seguridad centradas en el ser humano para minimizar la fricción inducida por la ciberseguridad y maximizar la adopción del control.
Fuente: IT User
