Al crear e implementar programas de seguridad cibernética, los líderes de seguridad deben repensar cómo equilibran sus inversiones para priorizar la llamada seguridad centrada en el ser humano en línea con las tendencias de la industria, según los analistas de Gartner.
Para abordar el riesgo y mantener un programa de seguridad eficaz, Gartner dijo que los responsables de la toma de decisiones deben centrarse en tres dominios clave: el papel esencial de las personas para el éxito y la sostenibilidad del programa; capacidades técnicas que brindan mayor visibilidad y capacidad de respuesta; y reestructurar cómo operan las funciones de seguridad para priorizar respuestas más ágiles, sin comprometer la seguridad real.
Estableció nueve tendencias clave que cree que personificarán estos dominios en el futuro, de los cuales el diseño de seguridad centrado en el ser humano es el más importante.
“Un enfoque de la seguridad cibernética centrado en el ser humano es esencial para reducir las fallas de seguridad”, dijo Richard Addiscott, director analista senior de Gartner. “Centrarse en las personas en el diseño y la implementación del control, así como a través de las comunicaciones comerciales y la gestión del talento en seguridad cibernética, ayudará a mejorar las decisiones de riesgo comercial y la retención del personal de seguridad cibernética”.
El diseño de seguridad centrado en el ser humano prioriza la experiencia de los empleados en todo el ciclo de vida de la gestión del control de seguridad, minimizando la fricción inducida por la seguridad y maximizando la adopción de controles y procesos adecuados. Actualmente, una minoría de grandes empresas ha adoptado dicho diseño y Gartner no cree que alcancemos la marca del 50 % hasta al menos 2027.
“Los programas tradicionales de concientización sobre seguridad no han logrado reducir el comportamiento inseguro de los empleados”, dijo Addiscott. “Los CISO deben revisar los incidentes de seguridad cibernética anteriores para identificar las principales fuentes de fricción inducida por la seguridad cibernética y determinar dónde pueden aliviar la carga de los empleados a través de controles más centrados en el ser humano, o retirar los controles que agregan fricción sin reducir significativamente el riesgo”.
Junto con los programas centrados en el ser humano presentados a todos en la empresa, la segunda tendencia en la lista de Gartner se centra en la necesidad de que los líderes de seguridad mejoren la forma en que se ejecutan los equipos de seguridad para garantizar que los programas resultantes sean sostenibles.
Hasta ahora, esto no ha sido bien priorizado, con los líderes de seguridad tradicionalmente más enfocados en mejorar la tecnología y los procesos. Pero adoptar un enfoque de gestión del talento centrado en el ser humano para atraer y retener talento traerá mejoras en la madurez funcional y técnica y la resiliencia, dijo Gartner.
“Los líderes empresariales ahora aceptan ampliamente que el riesgo de seguridad cibernética es un riesgo comercial importante para administrar, no un problema tecnológico para resolver. Apoyar y acelerar los resultados comerciales es una prioridad central de seguridad cibernética, pero sigue siendo un desafío principal”
Richard Addiscott, Gartner
Afirmó que para 2026, el 60% de las organizaciones habrán pasado de la contratación externa a la contratación interna “silenciosa” para abordar los desafíos sistémicos cibernéticos y de contratación.
Con la tecnología moviéndose de funciones centralizadas hacia líneas de negocios, funciones corporativas, equipos de fusión y empleados individuales, y más del 40% de los empleados ahora realizan algún tipo de trabajo tecnológico, la tercera tendencia en la lista de Gartner se centra en la necesidad de modificar los modelos operativos de seguridad cibernética. para dar cuenta de esto.
Entre otras cosas, los empleados ahora necesitan cada vez más saber cómo equilibrar los riesgos, incluidos los de seguridad, financieros, reputacionales, competitivos y legales, y como tal, la función de seguridad ahora también debe comenzar a conectarse con el valor comercial midiendo e informando el éxito contra la empresa. prioridades y resultados deseados.
“Los líderes empresariales ahora aceptan ampliamente que el riesgo de seguridad cibernética es un riesgo comercial importante para administrar, no un problema tecnológico para resolver”, dijo Addiscott. “Apoyar y acelerar los resultados comerciales es una prioridad central de seguridad cibernética, pero sigue siendo un desafío principal”.
Prioridades tecnológicas
Sin embargo, el cambio hacia enfoques de seguridad centrados en el ser humano no descarta la utilidad real de la tecnología, como demuestran el resto de las tendencias establecidas por Gartner.
En cuarto lugar en la lista está la necesidad de implementar programas continuos de gestión de exposición a amenazas para abordar la superficie de ataque compleja de la mayoría de las empresas modernas, mientras que en quinto lugar está la necesidad de abordar la frágil infraestructura de identidad causada por elementos incompletos, mal configurados o vulnerables en el tejido de identidad.
La sexta tendencia identificada en el pronóstico es la necesidad de validación de seguridad cibernética, reuniendo las técnicas, procesos y herramientas utilizadas para validar cómo los actores de amenazas explotan las exposiciones identificadas. Esta necesidad incorporará elementos más automatizados y repetibles para establecer puntos de referencia informativos.
Las tres tendencias restantes identificadas en el informe son la consolidación de la plataforma de seguridad cibernética, la seguridad componible para empresas componibles y la expansión de la competencia de la sala de juntas en la supervisión general de la seguridad.
