¿La complejidad de tu ciberestrategia es tu mayor riesgo?

Los Creadores de Seguridad son más propensos a decir que su enfoque de la ciberseguridad también está ligado a una mejor adaptabilidad a medida que cambian las amenazas (45 % reportan un impacto positivo). Por otro lado, solo 34 % de las Empresas Propensas dijeron lo mismo mientras que 36 % reportan que su enfoque tiene un impacto negativo en su adaptabilidad. Si bien la misma tecnología emergente empodera a las organizaciones, los líderes cibernéticos deben asegurarse de tener una estrategia de tecnología de ciberseguridad que brinde seguridad a través de la simplificación. Los líderes cibernéticos deben:

• Simplificar y racionalizar las tecnologías de ciberseguridad existentes para reducir el costo total de propiedad y establecer la plataforma para operaciones fluidas a gran velocidad.
• Revisar sistemas heredados que sean duplicativos o mal integrados como parte de la modernización tecnológica.
• Adoptar procesos de ciberseguridad simplificados y automatizados, en lugar de múltiples configuraciones independientes.
• Adoptar capacidades emergentes más rápido sin introducir nuevos riesgos ni complicar el entorno tecnológico general.
• Considerar enfoques basados en la automatización, incluidos DevSecOps y SOAR.
• Perseguir el co-sourcing y un enfoque de servicios administrados que simplifique la infraestructura y aumente la visibilidad al tiempo que genere eficiencias de costos.

“Demasiadas superficies de ataque” fue el desafío interno más citado para el enfoque de ciberseguridad de las organizaciones. Dentro de la organización, la transición a cloud computing a escala y el Internet de las Cosas (IoT) han aumentado las aperturas para las infracciones cibernéticas. Además, un enfoque de negocios liderado por ecosistemas en la actualidad, al tiempo que ayuda a generar valor, también presenta un importante desafío de ciberseguridad. Dicho todo, el 53 % de los líderes cibernéticos coinciden en que no existe un perímetro seguro en el ecosistema digital actual. Lo más peligroso de todo son las cadenas de suministros, responsables del 62 % de los incidentes de intrusión del sistema en 2021.³

Reducción de riesgos para la implementación de IoT y la nube

Tres de cada cuatro encuestados clasifican la nube y el IoT como los mayores riesgos tecnológicos en los próximos cinco años. A través de la adopción de la nube, las superficies de ataque han aumentado exponencialmente. El ritmo del cambio sigue acelerándose, y las empresas están tratando de mantenerse al día. Estos rápidos cambios tienen el potencial de exponer a las organizaciones a la pérdida de datos, brechas y disrupciones cuando las organizaciones están a bordo de la nube y el IoT sin un diseño y una planificación suficientes en torno a las interfaces y el entorno de la nube. Para superar esta complejidad, las organizaciones necesitan aprovechar la automatización. Por ejemplo, la mitad de los CISO de las organizaciones que son Creadoras de Seguridad informan que su organización utiliza actualmente o se encuentra en las últimas etapas de implementar la orquestación y automatización de la nube en su enfoque de la ciberseguridad.

Además, las empresas no pueden asumir que todos sus riesgos cibernéticos están siendo manejados por el proveedor de la nube. “La seguridad en la nube es una responsabilidad compartida especialmente cuando se trata de identidad y acceso”, dice Carolyn Schreiber, Partner, Cybersecurity Consulting, Ernst & Young LLP “A menudo vemos configuraciones erróneas y aconsejamos que se requiere más configuración que solo “levantar y cambiar” a la nube. Las áreas clave a considerar incluyen la gestión de acceso privilegiado para evitar la escalada privilegiada, la gestión de secretos y la evitación del movimiento lateral. Desde nuestros clientes, estamos viendo a las organizaciones más seguras leyendo la letra pequeña del contrato e inclinándose, requiriendo que sus proveedores de servicios en la nube (CSP, por sus siglas en inglés) soporten los mismos estándares de seguridad que exigen sus organizaciones. Conseguir que tanto los equipos internos como los CSP rindan cuentas es una forma de hacer la transición sin aumentar los controles de seguridad de riesgo en sus plataformas y contenedores en la nube”.

La cuantificación del riesgo cibernético es un área emergente donde la automatización y el análisis de datos pueden agregar información y ayudar a la priorización de riesgos. Los comités ejecutivos y las juntas directivas están haciendo más preguntas sobre el riesgo cibernético y digital. El liderazgo cibernético debe aspirar a tener un diálogo comercial con los stakeholders y explicar el riesgo cibernético en términos de valor en dólares es mucho más poderoso y permite una mejor toma de decisiones, que las actualizaciones técnicas que los CISO han proporcionado tradicionalmente.  

Cadenas de suministros: participa temprano y monitorea continuamente

Todas las organizaciones están ahora inextricablemente y digitalmente vinculadas con los negocios de su cadena de suministros. En su búsqueda de los eslabones más débiles, los ciberatacantes utilizan una estrategia de "uno a muchos", accediendo a miles de organizaciones. “Hemos visto actores de amenazas realmente apuntar a las cadenas de suministros en los últimos cinco años. Si pueden comprometer a un actor clave de la cadena de suministros de software que es crítico para 30.000 organizaciones, entonces están dentro de esas 30,000”, dice Richard Bergman, EY Global Cybersecurity Transformation Leader.

Sin embargo, a pesar del peligro, las Empresas Propensas están más enfocadas en el riesgo financiero (52 % frente al 41 % de los Creadores de Seguridad) mientras que los Creadores de Seguridad tienen casi el doble de probabilidades de estar muy preocupados por los riesgos que plantea la cadena de suministros (38 % vs. 20 %) y riesgos relacionados como la protección de la propiedad intelectual (38 % vs. 24 %). Si bien la conciencia es el primer paso, los CISO deben tratar de agilizar las cadenas de suministros de su organización para obtener visibilidad de la resiliencia de los proveedores de manera continua, no solo como una sola vez. La asociación profunda con los directores de operaciones (COO, por sus siglas en inglés) y otros líderes operativos es fundamental para garantizar la visibilidad en todas las superficies de ataque en la cadena de suministros. En las organizaciones más maduras, las funciones de seguridad están involucradas en las decisiones de selección de proveedores, y se ponen en marcha y administran continuamente niveles más altos de garantía. Los COO y los CISO pueden encontrarse en conflicto, con los COO frenados ante las oportunidades de crecimiento por preocupaciones de ciberseguridad, por ejemplo, y los CISO sintiéndose poco valorados como protectores de la organización. Pero sólo trabajando juntos se puede lograr una verdadera resiliencia.⁴

Los Creadores de Seguridad construyen puentes en toda la organización. En tres niveles distintos de la organización — la C-suite, el equipo de ciberseguridad y la fuerza laboral en general — sobresalen en comunicarse con diferentes stakeholders y reconocer explícitamente el “factor humano” en la ciberseguridad.

Hablar con la C-suite

Si bien el rol de CISO alguna vez fue principalmente operativo y técnico, en organizaciones más maduras, la ciberseguridad opera como un departamento y funciona en sí mismo y tiene un asiento en la mesa de la alta dirección. Nuestra encuesta revela que, gracias a su rol cada vez más prominente, los CISO han logrado, en términos generales, asegurar los recursos necesarios en el entorno de alto riesgo actual. El presupuesto, una vez un desafío interno superior, solo ocupó el sexto lugar de ocho en una lista de obstáculos en la encuesta de este año. La ciberseguridad es cada vez más reconocida como un problema fundamental de resiliencia empresarial, reputación y cumplimiento normativo y está equipada con un amplio soporte.

Si bien los presupuestos son un componente crítico, la ciberseguridad necesita estar integrada en toda la organización. Esto requiere la participación de los líderes senior, cerrar las brechas de conocimiento y una estrecha comunicación entre los CISO y la C-suite. Sin embargo, nuestra encuesta revela que estos grupos no siempre están en la misma página. En comparación con la C-suite, es menos probable que los CISO estén satisfechos con la eficacia del enfoque general de su organización respecto a cuestiones relacionadas con ciber (36 % frente al 48 % de la C-suite) y con su capacidad para hacer frente a las amenazas del mañana (38 % frente al 54 % de la C-suite).

Las brechas de percepción entre el CISO y la C-suite son mucho más pequeñas para los Creadores de Seguridad, que están más satisfechos con la integración C-suite de la ciberseguridad en las decisiones clave de negocio, lo que sugiere una comunicación más efectiva con los líderes senior crea una comprensión compartida del riesgo y mejora el rendimiento de la ciberseguridad. Las percepciones alineadas del desempeño son un marcador de empresas más seguras. Las organizaciones que tienen operaciones de ciberseguridad integradas con las principales prioridades y estrategias de negocio tienen mayores probabilidades de experimentar menos incidentes. Los CISO más eficaces traducen la narrativa en un argumento que resuena en términos de reducción de riesgos, impacto empresarial y creación de valor.

Apoyo efectivo a la fuerza laboral

La prioridad de integración más amplia es la fuerza laboral más amplia. El error humano sigue siendo un importante habilitador de ciberataques, y el cumplimiento débil de las mejores prácticas más allá del departamento de IT fue el tercer mayor desafío interno en nuestra encuesta.

Solo la mitad de los líderes en ciberseguridad dicen que su capacitación cibernética es efectiva y solo el 36 % está satisfecho con la adopción de las mejores prácticas que no son de IT, lo que plantea preguntas sobre cuán efectiva es realmente esta capacitación. Sin embargo, los Creadores de Seguridad están más satisfechos con la adopción de las mejores prácticas de ciberseguridad que las Empresas Propensas (47 % frente a 27 %). Ser brillante en lo básico debería ser el foco. Las organizaciones deben simplificar las buenas prácticas que se piden a los trabajadores y crear mecanismos de control en sus procesos para limitar los riesgos en lugar de depender del cumplimiento de las normas. Las organizaciones más maduras tienen capacitación regular incremental y aprovechan las últimas herramientas de automatización y prevención. Hacer de la ciberseguridad una segunda naturaleza integrándola en la psique de cada persona de la organización ayudará a garantizar una formación y una adhesión más eficaces.

Talento: pensar fuera del organigrama

Dentro de la fuerza laboral del sector ciber, el talento es un desafío recurrente, ya que la brecha en la fuerza laboral de la ciberseguridad crece más del doble que la fuerza laboral mundial del sector ciber en el último año.⁵ La ciberseguridad está atrapada en un proceso de recuperación de competencias, y la mejora de las mismas es el principal objetivo de la mayoría de las organizaciones de nuestro estudio.Pero los Creadores de Seguridad se están acercando a este desafío de manera más creativa. Por ejemplo, tienen el doble de probabilidades de priorizar de forma significativa la contratación o la recualificación de trabajadores que no trabajan actualmente en el campo de la ciberseguridad (28 % frente al 14 % de las Empresas Propensas). Las contrataciones no tradicionales pueden surgir de una variedad de orígenes, incluso provenientes de otras áreas funcionales donde la automatización ha reducido significativamente las cargas de trabajo, como las finanzas y IT en general, y de entornos no tradicionales, incluidos los aprendizajes.

Los líderes piensan de manera más flexible sobre cómo dar forma al modelo operativo de su función de ciberseguridad externalizando más de sus operaciones de seguridad (una mediana de 25 % vs. 15 %) y siendo más propensos a externalizar funciones y capacidades adicionales a terceros especialistas en el futuro (46 % vs. 31 %). La externalización puede simplificar las funciones internas de ciberseguridad al permitir que terceros especializados se centren en funciones específicas de ciberseguridad que su fuerza laboral interna puede no estar equipada para manejar. Los Creadores de Seguridad también dan prioridad a la estandarización y automatización de los procesos de seguridad para reducir las necesidades de contratación de personal (35 % frente a 26 %), simplificando aún más su estructura organizativa.

Si bien las empresas se inclinan cada vez más a externalizar los aspectos de “personas y procesos” del trabajo de ciberseguridad, son más circunspectas con respecto a la tecnología en sí misma. En lugar de una solución de tecnología multi-tenanted alojada por un outsourcer, las organizaciones generalmente quieren poseer la tecnología en su nube, configurada para sus necesidades específicas y apetito de riesgo, mientras se benefician de la capacidad que brinda el outsourcing o el co-sourcing en términos de habilidades y personas. También pueden beneficiarse del acceso a la propiedad intelectual del tercero subcontratado.

Otra estrategia de capacidad creativa consiste en formular roles individuales para coordinar los equipos empresariales y cibernéticos. Una capacidad de “consultoría” actúa como enlace entre los equipos cibernéticos y el negocio en general, al comprender los requisitos e incorporar consideraciones cibernéticas en el negocio. Algunas empresas están experimentando con un enfoque “pod” en el que un equipo de consultores cibernéticos gestiona un proceso de “levantar y cambiar” a la organización durante un período de seis o nueve meses donde podrían ejecutar un ciclo de desarrollo seguro, capacitando al personal relevante y luego seguir adelante. Esto puede infundir nuevas habilidades y permitir que el equipo interno aprenda haciendo.

La ciberseguridad no se trata solo de protección de activos. Si se hace bien, también puede apoyar y acelerar la innovación y la creación de valor en toda la empresa. De nuestros clientes, hemos visto que las mejores organizaciones tienen a la cibernética entretejida en la estructura de la empresa. Hacer que la cibernética sea integral en cada parte de la organización y el modelo operativo cambia la función de un inhibidor a un impulsor de valor.

Los Creadores de Seguridad son mucho más propensos a decir que su enfoque cibernético impacta positivamente el ritmo de transformación e innovación de la organización (56 % frente al 25 % de los CISO de las Empresas Propensas), la capacidad de responder rápidamente a las oportunidades del mercado (58 % frente al 29 %) y la capacidad de enfocarse en crear valor en lugar de proteger el valor (63 % frente al 42 %). La creación de valor puede tomar muchas formas. Las organizaciones ciberseguras ganan una mayor confianza de los clientes y proveedores que tendrán más confianza al realizar transacciones con ellos. Rediseñar arquitecturas tecnológicas puede mejorar la comunicación, la colaboración y la productividad de la fuerza laboral y mejorar la eficiencia del gasto.

Por ejemplo, los mayores riesgos de seguridad llevaron a un gigante retailer a perseguir una iniciativa de reforma cibernética que mejoraba el valor más allá de la vulnerabilidad reducida, aunque eso es importante. Esto incluyó un gasto tecnológico más eficiente, la eliminación de herramientas obsoletas y redundantes, una mano de obra optimizada y funciones y responsabilidades refinadas, una colaboración más eficiente y una mayor confianza en su base de clientes de más de mil millones.  

Nuestro estudio muestra que las Empresas Propensas tienen más probabilidades de luchar por equilibrar la seguridad y la velocidad requerida para innovar (55 % frente al 42 % de los Creadores de Seguridad), revelando un ejemplo más de cómo la ciberefectividad es una plataforma de valor e innovación y su ausencia, un obstáculo. Los ecosistemas se han convertido en una estrategia de negocio fundamental para crear valor, ya sea a través de múltiples marcas, subsidiarias de propiedad total o mayoritaria, asociaciones o empresas conjuntas. Para aprovechar plenamente los beneficios de los ecosistemas, la ciberseguridad necesita estar integrada desde el principio. Los CISO deben garantizar que los criterios de ciberseguridad se incluyan al evaluar a los socios potenciales mediante la estandarización de los protocolos de integración tecnológica. También necesitan comunicarse de manera efectiva con los tomadores de decisiones empresariales para gestionar adecuadamente el riesgo que conlleva la expansión. Una adquisición, por ejemplo, puede conllevar riesgos cibernéticos, pero si las cifras se ven reducidas por la oportunidad, se convierte en una decisión de riesgo empresarial como cualquier otra y no tiene por qué significar necesariamente el abandono de un pursuit. Las empresas necesitan vivir con un nivel de riesgo “razonable”.

Acciones para una estrategia de ciberseguridad más efectiva e impulsada por el valor

El EY 2023 Global Cybersecurity Leadership Insights Study arrojó hallazgos aleccionadores, con líderes de la C-suite lidiando con una variedad de amenazas actuales y anticipadas. Pero también ofrece la tranquilidad de que las organizaciones experimentan resultados muy diferentes en parte como resultado de su estrategia de ciberseguridad. Al aprender de los mejores, las empresas pueden fortalecer su ciberseguridad enfatizando la simplicidad, el pensamiento holístico y la integración de consideraciones de ciberseguridad en toda la organización. Ninguno de estos está fuera del alcance de las Empresas Propensas. Los puntos clave de acción que emergen de la encuesta incluyen:

1. Simplificar la pila de tecnología cibernética para reducir el riesgo y mejorar la visibilidad. La automatización y la orquestación pueden reducir el desorden en el entorno tecnológico, lo que le permite detectar señales más rápido y responder de manera más efectiva.
2. Utilizar la estandarización y la automatización para reducir los puntos de entrada de la cadena de suministros para los piratas informáticos, mejorar la vigilancia cibernética y monitorear continuamente el rendimiento sin agregar burocracia indebida. Esto también garantiza que los equipos de seguridad participen temprano en la selección de proveedores.
3. Traducir tu narrativa en una historia que resuene con el negocio en términos de compra de riesgo, impacto en el negocio y creación de valor.
4. Combinar la capacitación incremental y bien diseñada con herramientas de automatización y prevención para hacer que la fuerza laboral sea cibersegura por diseño.
5. Incorporar la ciberseguridad en la estructura de tu organización, no verla como un inhibidor. Impulsar valor, infunde la confianza necesaria para innovar y abre nuevos ingresos y oportunidades de mercado. 

Con un agradecimiento especial a AnnMarie Pino, Mike Wheelock, Bhavnik Mittal — EY Research Institute; Aino Tan — Business Insights; y Vanessa Lobo — Global Technology Consulting, por sus contribuciones a este artículo.