Rawpixel.com - stock.adobe.com
Problemas de alineación entre Ciberseguridad y Alta Dirección abren riesgos cibernéticos
El aumento de los ataques impulsados por la IA y los ciclos acelerados de entrega de software hacen que sea más difícil proteger a las organizaciones, pues la seguridad de las aplicaciones sigue siendo un punto ciego.
Las organizaciones están luchando con barreras de comunicación interna que obstaculizan su capacidad para abordar las amenazas de ciberseguridad. Los resultados del reporte “El estado de la seguridad de las aplicaciones en 2024” de Dynatrace revela que, a los CISO, les resulta difícil impulsar la alineación entre los equipos de seguridad y la alta dirección (ejecutivos de dirección y gerencia), lo que deja lagunas en la comprensión de la organización sobre el riesgo cibernético. Como resultado, se encuentran más expuestas a amenazas cibernéticas avanzadas, en un momento en el que los ataques impulsados por la IA van en aumento.
En el informe de este año, Dynatrace explora estas brechas de comunicación para comprender mejor cómo un enfoque unificado de observabilidad y seguridad puede ayudar a los equipos a colaborar de manera más efectiva y reducir la exposición a riesgos.
“Los incidentes de ciberseguridad pueden tener consecuencias devastadoras para las organizaciones y sus clientes, por lo que el problema se ha convertido, con razón, en una preocupación crítica a nivel de la junta directiva,” comentó Bernd Greifeneder, CTO de Dynatrace. “Sin embargo, muchos CISO tienen dificultades para impulsar la alineación entre los equipos de seguridad y la Alta Dirección porque no pueden llevar la conversación de bits y bytes a riesgos del negocio específicos. Los CISO necesitan encontrar urgentemente una manera de superar esta barrera y crear una cultura de responsabilidad compartida en materia de ciberseguridad. Esto será fundamental para mejorar su capacidad de responder eficazmente a incidentes de seguridad y minimizar su exposición al riesgo”.
El mercado mexicano y la ciberseguridad
El reporte destaca que el 50 % de los CISO en México afirma que existe un requisito regular de informar al CEO y a la junta directiva sobre su riesgo de ciberseguridad y su postura de cumplimiento. Pero, en paralelo, el 66 % de los CISO afirma que sus herramientas de seguridad tienen una capacidad limitada para generar información que el CEO y la junta directiva puedan utilizar para comprender los riesgos empresariales y prevenir amenazas.
Los CISO mexicanos clasificaron las principales prioridades de sus organizaciones para la gestión de la ciberseguridad de la siguiente manera:
- Seguridad de la aplicación (es decir, gestión de vulnerabilidades).
- Gestión y respuesta a crisis (es decir, filtración de datos y enfoque en los medios).
- Gestión/supervisión interna de riesgos (es decir, uso de dispositivos móviles).
Los incidentes de seguridad de aplicaciones siguen creciendo, pues 50 % de las organizaciones ha experimentado alguno en los últimos dos años. Sin embargo, 90 % de los CISO dicen que la seguridad de las aplicaciones es un punto ciego a nivel del CEO y de la junta directiva.
Con respecto a DevSecOps, 78 % de los CISO dicen que la automatización de DevSecOps será esencial para su capacidad de mantenerse al tanto de regulaciones emergentes como el mandato de ciberseguridad de la SEC como NIS2 y DORA. Igualmente, 92 % de los CISO dice que la automatización de DevSecOps es aún más importante para gestionar el riesgo de vulnerabilidades introducidas por la IA. No obstante, 64 % de los CISO tienen dificultades para impulsar la automatización de DevSecOps debido a su dependencia de múltiples herramientas de seguridad de aplicaciones, y sólo el 16 % dicen que su organización tiene prácticas maduras de automatización de DevSecOps.
La falta de alineación entre Seguridad y Dirección abre vulnerabilidades
A nivel mundial, el reporte de Dynatrace destaca que la falta de alineación entre los equipos de seguridad y dirección conduce a riesgos cibernéticos, contra la cual están luchando los CISO; el 87% dicen que la seguridad de las aplicaciones es un punto ciego a nivel de CEO y la junta directiva.
A nivel de la Alta Dirección, siete de cada diez ejecutivos entrevistados dicen que los equipos de seguridad hablan en términos demasiado técnicos, sin brindar un contexto de negocios. Sin embargo, el 75 % de los CISO destaca que el problema tiene su origen en herramientas de seguridad que no pueden generar información que los ejecutivos de gerencia y las juntas directivas puedan utilizar para comprender los riesgos comerciales y prevenir amenazas.
Esta situación se enfrenta a la realidad de que la IA está impulsando amenazas cibernéticas más avanzadas, por lo que abordar esta brecha tecnológica y de comunicaciones se está volviendo más crítica. En este contexto, casi tres cuartas partes (72 %) de los CISO dicen que su organización ha experimentado un incidente de seguridad de aplicaciones en los últimos dos años. Estos incidentes conllevan un riesgo significativo, y los CISO destacan las consecuencias comunes que han experimentado, incluyendo el impacto en los ingresos (47 %), las multas regulatorias (36 %) y la pérdida de participación de mercado (28 %).
“El uso cada vez mayor de la IA es un arma de doble filo, ya que genera ganancias de eficiencia tanto para los innovadores digitales como para aquellos que buscan romper sus defensas”, continuó Greifeneder. “Por un lado, existe un mayor riesgo de que los desarrolladores introduzcan vulnerabilidades a través de código generado por IA que no ha sido probado adecuadamente y, por otro, los cibercriminales pueden desarrollar ataques más automatizados y sofisticados para explotarlos. Para colmo de males, las organizaciones también deben cumplir con regulaciones emergentes, como el mandato de la SEC, que les exige identificar e informar sobre el impacto de los ataques en un plazo de cuatro días. Las organizaciones necesitan urgentemente modernizar sus herramientas y prácticas de seguridad para proteger sus aplicaciones y datos de las amenazas cibernéticas modernas y avanzadas. Los enfoques más efectivos se construirán sobre una plataforma unificada que impulse la automatización madura de DevSecOps y aproveche la IA para manejar datos distribuidos a cualquier escala. Estas plataformas proporcionarán los hallazgos que toda la empresa puede respaldar y utilizar para demostrar el cumplimiento de regulaciones estrictas”, concluyó.
El reporte, encargado por Dynatrace y realizado por Coleman Parkes entre marzo y abril de 2024, se basa en una encuesta global realizada a 1.300 CISO y diez entrevistas con CEO y CFO de empresas con más de mil empleados en EE. UU., Medio Oriente, Reino Unido, Francia, Alemania, Italia, España, Australia, Japón, Suecia, Benelux, India, Brasil y México.
Investigue más sobre Gestión de la seguridad
-
La explosión de datos producida por la nube supera la capacidad humana de gestionarlos
-
Automatizar DevOps es un imperativo estratégico, pero pocos tienen una estrategia para implementarla
-
El desarrollo manual sigue dejando vulnerabilidades
-
Dynatrace presenta nuevas soluciones para los retos multinube