Dos tendencias clave para el futuro de tu equipo de seguridad en 2022 y 2023
En 2020, el mundo cambió con la llegada del coronavirus, que generó gran incertidumbre sobre el futuro en las organizaciones. En esas circunstancias, es posible que los líderes en seguridad se preguntaran si sus enfoques, procesos y herramientas de negocio tradicionales podrían sobrellevar los cambios surgidos a raíz de la pandemia. Hoy podemos afirmar que sí, por lo menos en parte. Si bien es cierto que han ayudado a las organizaciones a mantenerse a flote, es imprescindible estar siempre al día en un mundo en constante evolución.
Según el informe de investigaciones sobre vulneraciones de datos (DBIR) de 2022 de Verizon, las aplicaciones web vulnerables fueron el vector de ataque principal en 2021. Sufrieron alrededor del 70 % de los incidentes de seguridad, lo que representa un aumento considerable con respecto al 39 % de 2020. Normalmente, los ataques a aplicaciones web están relacionados con el aprovechamiento de vulnerabilidades, la fuerza bruta, los virus de puerta trasera o C2 o la exploración de datos, entre otros. Sin embargo, destaca el uso de credenciales robadas, que comprende más del 80 % del total de estos ataques. Como resume el autor de Rapid7, Jesse Mack, en este artículo, este elevado porcentaje confirma «la importancia de sensibilizar a los usuarios e implementar protocolos sólidos de autenticación en los terminales».
Como líderes en seguridad, hemos observado un aumento en los ataques a aplicaciones web y sabemos que está directamente relacionado con las dificultades a las que ha tenido que enfrentarse el sector. Si bien es cierto que esta situación ha generado incertidumbre y que debemos adaptarnos a ella, también ha permitido a los responsables de seguridad hacer una pausa y reflexionar sobre el impacto que tiene en las organizaciones e identificar los cambios necesarios para seguir avanzando.
Tras varias conversaciones con otros líderes del sector y con nuestro equipo de seguridad en Fastly, he detectado dos tendencias clave a las que tenemos que prestar atención. Por un lado, es necesario iniciar la transición a un enfoque basado en riesgos para la seguridad y, por otro, debemos centrarnos en la escalabilidad general. En este artículo compartiré mis reflexiones sobre cómo estas dos tendencias definirán el futuro de la seguridad durante el año próximo.
El camino de la ciberseguridad
A menudo, los responsables de ciberseguridad nos planteamos cuál es la mejor manera de cuantificar los programas de seguridad y de informar sobre ello. Muchos usamos el NIST Cybersecurity Framework (CSF), examinamos cada función y asignamos una puntuación mediante una interpretación simple de 0 a 5 derivada del modelo de madurez de capacidades (CMM). Si tenemos en cuenta que antes no seguíamos ninguna metodología para cuantificar los programas, empezar a usar CSF fue un paso adelante en el camino del diseño de programas de ciberseguridad.
En un primer momento, debido a la falta de sensibilización y capacidad en las empresas, ni siquiera se tenía en cuenta la seguridad. Desde entonces, la mayoría de las organizaciones han avanzado hacia el enfoque basado en riesgos desde el enfoque basado en la madurez que he mencionado antes. El enfoque basado en la madurez anterior proponía desarrollar capacidades de forma gradual hasta lograr un nivel de madurez determinado. Aunque todavía se usa y es la norma en algunas empresas, ese modelo no será suficiente de cara al futuro porque los líderes en seguridad se centran únicamente en alcanzar esa puntuación de madurez sin tener en cuenta los riesgos.
Según un informe de McKinsey & Company, «las instituciones más sofisticadas están pasando de un enfoque basado en la madurez a un enfoque basado en riesgos para gestionar los riesgos cibernéticos». Si bien el enfoque basado en la madurez puede funcionar sobre todo si se construye todo desde cero, en algunos casos pueden surgir inconvenientes. Por ejemplo, los siguientes:
Crecimiento desmesurado del control y la supervisión: las organizaciones que crecen de forma orgánica empezarán a notar que sus analistas se ven superados por el volumen de aplicaciones, lo que dará lugar a un descontrol en la supervisión.
Gasto ineficiente: las organizaciones que intenten llevar un seguimiento de todo no dispondrán de la información necesaria para decidir cómo asignar los gastos correctamente.
Sobrecarga que impide la implementación: cuando hay una sobrecarga de trabajo en los equipos, hay que prestar atención a demasiadas cosas a la vez y los proyectos nunca se terminan de implementar.
Por eso, creo que el siguiente paso en este camino es adoptar un enfoque basado en riesgos, que es mucho más estratégico y esencial para gestionar riesgos de manera efectiva y eficiente. Este enfoque pretende integrar una seguridad resiliente en la toma de decisiones, y para ello es necesario considerar los riesgos.
Tendencia n.º 1: Asumir riesgos
En el ámbito de la seguridad, los riesgos son algo de sobra conocido y a menudo se habla de ellos. Poco a poco empezamos a ver que los equipos de seguridad toman decisiones basándose en ellos.
Pero ¿qué es el riesgo exactamente? El diccionario de la Real Academia define el riesgo como la «contingencia o proximidad de un daño». Como líder en seguridad, esta definición hace que me plantee todas las formas que puede adoptar el riesgo en nuestro sector. La lista de los diez principales riesgos de seguridad según OWASP es mi referencia principal, ya que precisamente intenta sensibilizar sobre los riesgos más graves en relación con las aplicaciones web. En 2021, por ejemplo, la pérdida de control de acceso escaló varias posiciones y la falsificación de peticiones del lado del servidor entró por primera vez en la lista. Los riesgos no siempre serán los mismos, pero podemos prepararnos para gestionarlos mejor.
Que los equipos de seguridad estén asumiendo riesgos es una consecuencia natural de su propia evolución como departamento. Los profesionales en seguridad ya han iniciado la transición de «la filosofía del no» de la vieja escuela al enfoque del «sí, pero», pero eso no es suficiente. A menudo, los líderes y equipos de seguridad tenemos que justificar el presupuesto y explicar por qué son necesarios ciertos controles. Eso es lo que nos ha llevado a doblar la apuesta por el enfoque basado en riesgos.
Un enfoque basado en riesgos ayuda a resolver dos problemas a los que se enfrentan los equipos de seguridad: establecer prioridades y dar explicaciones. Con este punto de vista, es más sencillo ordenar las prioridades para que los equipos puedan decidir cuál es la tarea más importante. Nuestros equipos también deben ser capaces de explicar a nuestros colaboradores por qué es más probable que algo salga mal con un enfoque en concreto y no con otro. La lista de OWASP proporciona ejemplos precisos de dónde se producen esas vulnerabilidades, y es muy útil citarlos para orientar a los demás equipos con los que trabajamos. Por ejemplo, hace años, casi nadie prestaba atención a la falsificación de peticiones del lado del servidor, y ahora es una de las vulnerabilidades sobre las que alertan los equipos de seguridad del producto al personal de ingeniería.
Si queremos ser eficientes y trabajar bien, es fundamental evaluar el riesgo a la hora de establecer prioridades. Cuando hay que resolver más de 30 problemas de seguridad diferentes, el riesgo nos ayuda a entender cuál debemos solucionar primero. Esto es válido no solo para los equipos de seguridad, sino también para los demás equipos con los que trabajamos, como el de ingeniería. Todos podemos y debemos considerar los riesgos de seguridad al justificar nuestras tareas. Es cierto que el enfoque basado en riesgos para la ciberseguridad puede ser complejo, pero están surgiendo muchas propuestas para ponerlo en práctica de forma satisfactoria.
Tendencia n.º 2: Entender el poder de la escalabilidad
La segunda tendencia que he observado en cuanto al futuro de la seguridad tiene que ver con la escalabilidad general. En este contexto, pienso en cómo va aumentando la capacidad de los equipos para satisfacer las necesidades de una empresa en crecimiento. Hoy en día, no es tarea fácil para los responsables de seguridad escalar las funciones y capacidades (relacionadas o no con la seguridad) en las empresas. En este sentido, los equipos de seguridad se enfrentan a problemas de escalabilidad como los siguientes:
encontrar y retener talento;
contratar a personal solo para desempeñar procesos manuales; y
estar al día en cuanto a la demanda.
La escalabilidad general ayuda a alcanzar dos metas en las organizaciones de seguridad: (1) de cara al exterior, seguir el ritmo de crecimiento de la empresa y (2) de cara al interior, escalar las funciones del equipo de seguridad. Analicemos cada objetivo en profundidad.
De cara al exterior
Para seguir el ritmo de la empresa y mantener un buen perfil de riesgo, los equipos deben ir adaptando los recursos de forma adecuada, por lo que es necesario contar con expertos en la materia. Sin embargo, contratando a personal para tareas manuales que se pueden automatizar lograríamos justo el efecto contrario porque los equipos no serían sostenibles.
Puede ser útil que tu equipo se centre en desarrollar directrices repetibles que otros puedan seguir con facilidad. Con estas guías a mano, tendrás a otros equipos desarrollando con seguridad desde el principio. Eso les permitirá mantener el ritmo de trabajo y minimizar posibles problemas o fallos de seguridad. Dotar a los equipos de este tipo de herramientas les ayuda a trabajar con agilidad, lo que permite a las empresas seguir protegidas a medida que van creciendo.
De cara al interior
Hemos hablado sobre la escalabilidad general de la empresa, pero ahora vamos a echar un vistazo hacia el interior de los equipos de seguridad. Para que sean lo más productivos posible, debemos crear procesos eficientes y reducir el esfuerzo innecesario. Así, conforme vayamos creciendo, optimizaremos nuestro trabajo. Si ponemos la escalabilidad en primer plano evitaremos el agotamiento del personal. Para ello es necesario garantizar que:
lleven todas sus tareas al día y que la carga de trabajo sea realista;
no tengan largas jornadas de trabajo; y
sean conscientes de que su trabajo ayuda a lograr los objetivos generales de la empresa.
Velocidad frente a riesgo
De cara al futuro de la seguridad, es importante saber que los equipos pueden cambiar con rapidez y seguridad si entienden la relación entre velocidad y riesgo.
En Fastly, procuramos que todos los equipos de nuestra empresa aspiren siempre a lograr más rapidez con el menor riesgo posible. Para ello, proporcionamos directrices claras y reutilizamos conceptos con el objetivo de simplificar el trabajo, y nos aseguramos de que cada persona entienda sus responsabilidades y asuma los riesgos asociados.
En general, nos esforzamos por seguir las siguientes pautas en cuanto a la gobernanza de datos y el reconocimiento de los riesgos. Te animamos a que las tengas en cuenta al evaluar las prácticas de tu empresa y tus equipos de seguridad:
Gobernanza de datos: los programas de gobernanza de datos son clave al evaluar riesgos ya que permiten tomar decisiones fundamentadas con respecto a la tolerancia al riesgo.
Adopción de riesgos: asumir claramente los riesgos de seguridad y tener unos niveles de tolerancia definidos permiten tomar decisiones de forma equilibrada y fundamentada.
Comenzar a prepararse para el futuro hoy
A veces, prepararse para el futuro puede causar incertidumbre y dudas. Sin embargo, entender la relación entre riesgo y velocidad te puede ayudar a planificar tus equipos de seguridad para los próximos años.
Espero que mis reflexiones y mi experiencia en el sector y como CISO de Fastly os ayuden a ti y a tus equipos de seguridad en el camino que os queda por recorrer en la ciberseguridad.
No olvides que los equipos que adopten un enfoque de seguridad basado en riesgos y escalabilidad general llevarán la voz cantante en materia de seguridad en 2022, 2023 y en el futuro. Junto con las soluciones actuales, tus equipos de seguridad contarán con todo lo necesario para garantizar la seguridad y prevenir posibles ataques.