En 2022, el panorama de la seguridad cibernética continuó evolucionando y se volvió cada vez más desafiante para las empresas y los gobiernos.
Una nueva normalidad posterior a Covid ha estado en plena vigencia este año, con empresas que adoptan acuerdos de trabajo híbrido y remoto, mientras mantienen (o se preparan para) violaciones de datos a gran escala y ataques destructivos de ransomware. La infraestructura del gobierno también ha sido atacada, y la guerra cibernética patrocinada por el estado ha abierto nuevas fronteras en el conflicto entre Rusia y Ucrania.
A lo largo de este caos global, hemos sido testigos de un cambio notable en lo que significa “hacer” seguridad cibernética dentro de las organizaciones, especialmente aquellas que son más maduras cibernéticamente. De una mentalidad de “asegurar todo” para tratar de prevenir ataques, se ha pasado a una aceptación real de la noción de que sufrir un ciberataque no es una cuestión de si, sino de cuándo.
El desarrollo de la resiliencia cibernética se ha convertido en la fuerza impulsora y un objetivo clave de los esfuerzos de seguridad cibernética. Eso significa comprender cómo lidiar con los golpes y cómo continuar operando (o, de hecho, sobrevivir) durante un ataque e, idealmente, volver más fuerte.
Volverse resiliente está en el corazón del triángulo personas-procesos-tecnología y ha habido cambios en los tres aspectos en 2022.
Tecnología: ponerse al día versus seguridad por diseño
Si bien continuó la prisa por consumir numerosas herramientas y tecnologías para proteger a las organizaciones contra las infracciones asegurando el perímetro de la red y sus múltiples puntos finales, existe una clara y creciente desilusión con estos productos y la falsa sensación de seguridad que crean. ¿Cómo, por ejemplo, lo protegerá la compra del último software de inteligencia de amenazas si no tiene forma de implementar la protección contra una nueva amenaza lo suficientemente rápido?
Del mismo modo, existe una comprensión cada vez mayor de que abordar las vulnerabilidades identificadas se ha convertido en un ejercicio inútil de ponerse al día con los actores de amenazas extremadamente sofisticados. Esto se ve reforzado por la comprensión de que el creciente riesgo de amenazas internas no puede ser abordado por una mentalidad de seguridad tradicional.
Los cambios conceptuales necesarios para abordar estos desafíos enfatizan la necesidad de desarrollar resiliencia de abajo hacia arriba desde el inicio de cualquier operación comercial. La implementación de seguridad por diseño, que busca hacer que los sistemas estén tan libres de vulnerabilidades e impermeables a los ataques como sea posible mediante la incorporación de la seguridad en los productos desde su concepción, y la confianza cero, un componente fundamental de la resiliencia, se han colocado por lo tanto en la parte superior de la agenda de las grandes empresas. organizaciones
Personas: equipos de seguridad versus resiliencia en toda la organización
La contratación de personal de seguridad cibernética que coincida estrechamente con las funciones y los requisitos necesarios siguió siendo un desafío importante en 2022 debido a la grave escasez de mano de obra. Esta falta de personal calificado se ha vuelto más evidente durante y después de los grandes ataques, cuando no se pudo satisfacer la necesidad crucial de recuperar los servicios.
Bajo el paradigma de resiliencia, las organizaciones deben estar preparadas para desarrollar expertos en la materia de seguridad cibernética mediante la capacitación de personas con conjuntos de habilidades transferibles. Esto permitirá una contratación más dinámica y equipos interorganizacionales más amplios y resistentes.
Otra tendencia de este año fue el cambio de la capacitación en concientización sobre seguridad cibernética, que ya no es suficiente, a ejercicios esenciales de seguridad cibernética a nivel de directorio y C-suite. Esto se centra en la toma de decisiones, la cadena de mando y la mejora de las habilidades para permitir una gestión, respuesta y recuperación de incidentes cibernéticos fluida y eficaz.
La introducción de “cibernudges” (características de diseño creadas en entornos digitales para fomentar indirectamente buenos hábitos cibernéticos) también puede ser eficaz. Desarrollar la memoria muscular individual y corporativa para mitigar los efectos de un ataque puede evitar que una mala situación empeore, al tiempo que identifica de manera crucial cómo se ve una recuperación o supervivencia efectiva y qué debe estar en su lugar para que esto suceda.
Procesos: negocios como siempre frente a pruebas rigurosas
Una pregunta clave este año ha sido: ¿tiene la organización un desarrollo maduro y un ciclo de vida operativo, se está utilizando realmente y se utiliza de manera efectiva? Con demasiada frecuencia, los ciclos de vida no cerraban el ciclo y la resiliencia no lograba evolucionar. Como resultado, las canalizaciones de integración/desarrollo continuo y DevSecOps mejorados han comenzado a surgir como conceptos que deben adoptarse.
La resiliencia se desarrolla no solo a partir de la comprensión de su entorno y las amenazas, sino también de la codificación de lo que puede salir mal con precisión y cómo responder de manera efectiva cuando lo hace.
Las pruebas rigurosas de los procesos comerciales pueden ayudar a garantizar que, cuando se produce un ataque, se puedan tomar y se tomen las medidas correctas. Desarrollar procesos, ejercitarlos y capacitar a las personas que pueden llevarlos a cabo, en niveles de complejidad variables y crecientes, los valida y ayuda a mejorarlos. Esto permite a la organización mantenerse al día con las últimas amenazas y tendencias de ataques, no solo protegiéndose contra ellas, sino también preparándose para que sucedan.
En general, la lección de seguridad cibernética más importante que aprendimos en 2022 es que la resiliencia cibernética es más importante que un enfoque de seguridad limitado en la preparación de las organizaciones y los gobiernos para los ataques. Eso no significa que ahora deba descartarse el valor de la seguridad y que deba haber un enfoque exclusivo en la resiliencia. Más bien, las organizaciones que cambian su mentalidad de intentar prevenir los ataques cibernéticos a volverse más resistentes a ellos, son las que tienen más probabilidades de sobrevivir e incluso prosperar potencialmente cuando los ataques inevitablemente ocurren.
Sharon Shochat es una seguridad cibernética experto en PA Consulting. Graduada de la Universidad de Tel Aviv, tiene un doctorado en gobierno de la LSE. Se unió a PA Consulting en 2022 desde CYE, un proveedor de servicios de plataforma de optimización cibernética.