Las organizaciones empresariales gastan colectivamente miles de millones de dólares cada año en herramientas y sistemas de seguridad para protegerlas de un panorama de amenazas en evolución. Sin embargo, a pesar de la enorme inversión anual, el número de filtraciones de datos sigue aumentando. Durante la última década, los presupuestos de seguridad de TI se han considerado una partida intocable en el presupuesto y han estado en gran medida protegidos de los recortes impuestos a otros departamentos debido a la amenaza existencial que representa una violación de datos importante. Sin embargo, el miedo y la incertidumbre de una recesión global inminente están obligando a los líderes empresariales a analizar detenidamente cada partida de su presupuesto operativo. Los CISO empresariales ya no pueden asumir que sus presupuestos estarán exentos de medidas de reducción de costos. En cambio, deben estar preparados para responder preguntas puntuales sobre la rentabilidad general de su programa de seguridad. Para decirlo de otra manera, si bien la empresa comprende la necesidad de invertir en herramientas de seguridad sólidas y profesionales expertos, la pregunta ahora es: ¿cuánto es suficiente? ¿Cómo podrían ajustarse sus gastos en seguridad para mantener un nivel aceptable de exposición al riesgo? Evento VB The AI Impact Tour – Nueva York Estaremos en Nueva York el 29 de febrero en asociación con Microsoft para discutir cómo equilibrar los riesgos y las recompensas de las aplicaciones de IA. Solicite una invitación al evento exclusivo a continuación. Solicite una invitación Si los líderes de seguridad quieren tener alguna posibilidad de defender o aumentar su presupuesto en los próximos años, necesitarán armarse con datos empíricos y ser capaces de comunicar claramente el valor comercial de su inversión en seguridad a quienes tienen el poder. hilos del bolsillo corporativo. Cuantificando el cálculo de seguridad Hace más de dos décadas, el renombrado experto en tecnología Bruce Schneier acuñó la frase «Teatro de Seguridad» para describir la práctica de implementar medidas de seguridad que brindan la sensación de una seguridad mejorada mientras que en realidad hacen poco para lograrla. Hoy en día, muchas juntas ejecutivas están empezando a preguntarse si la acumulación de todas estas herramientas y sistemas de seguridad está generando un beneficio económico proporcional a su inversión, o si es simplemente una especie de teatro Kabuki diseñado para hacerles sentir que sus valiosos activos corporativos están siendo destruidos. estar adecuadamente protegido. Los CISO también se enfrentan al desafío de que no existe un enfoque estandarizado para medir la eficacia de la seguridad de la información. ¿Qué deberían medir exactamente los líderes de seguridad? ¿Cómo se cuantifica el riesgo en términos de métricas que la empresa realmente comprende? ¿Tener más herramientas en realidad nos mantiene mejor protegidos o simplemente crea más dolores de cabeza de administración y complejidad? Estas son sólo algunas de las preguntas que los CISO deben poder responder al presentar y racionalizar su presupuesto operativo a la junta ejecutiva. Estrategias clave para justificar su presupuesto de seguridad Al aprovechar el acceso a los datos sobre incidentes de seguridad pasados, la inteligencia sobre amenazas y el impacto potencial de una violación de seguridad, los CISO empresariales pueden tomar decisiones más informadas sobre los recursos necesarios para defenderse eficazmente contra un posible ataque. Considere estas cuatro estrategias basadas en datos como punto de partida para definir y comunicar el valor de la ciberseguridad a los líderes empresariales: 1: Definir métricas significativas Las métricas de seguridad son notoriamente difíciles de capturar y comunicar de manera consistente con otras métricas comerciales y KPI aceptados. Si bien el ROI es bastante sencillo de calcular para un producto o servicio que genera ingresos directamente, se vuelve más confuso cuando se intenta cuantificar el ROI de las herramientas de seguridad, que se centran principalmente en prevenir pérdidas financieras. Si bien el ROI es una métrica que el resto de la empresa comprende fácilmente, puede que no sea la más significativa para comunicar el valor de la seguridad de TI. Del mismo modo, informar sobre métricas relacionadas con la cantidad de ataques detectados y prevenidos puede parecer impresionante; sin embargo, está desconectado de lo que realmente les importa a los líderes empresariales. Lo que en última instancia es significativo es la capacidad de alinear métricas con funciones y prioridades comerciales clave; de modo que, si, por ejemplo, el objetivo principal de una organización es reducir el impacto de posibles interrupciones en sus operaciones, esto se puede rastrear y monitorear a lo largo del tiempo. 2: Cuantificar el riesgo operativo Para mostrar el valor que el equipo de seguridad proporciona a la organización, es necesario comenzar cuantificando el riesgo y luego demostrar cómo se mitiga ese riesgo mediante controles de seguridad eficaces. Determinar la tolerancia al riesgo de una organización mediante la definición de umbrales claros para niveles de riesgo aceptables puede ayudar a garantizar que cualquier riesgo identificado se aborde de manera oportuna antes de que se vuelva demasiado grande o inmanejable. Algunas otras formas prácticas de medir y cuantificar el riesgo operativo podrían incluir: Probabilidad: la probabilidad de que ocurra un riesgo de seguridad particular que se puede medir utilizando datos históricos, así como opiniones de expertos e investigaciones de terceros, como los datos anuales de Verizon. Informe de incidentes de infracción (DBIR). Impacto: Las posibles consecuencias de una violación de la seguridad, incluidas pérdidas financieras, daños a la reputación y responsabilidades legales/de cumplimiento. Controles: Identificar qué medidas existen para prevenir, detectar o minimizar el riesgo. Esto puede incluir controles técnicos (como firewalls o software antivirus), así como controles organizacionales (como políticas y procedimientos). 3: Consolidar herramientas y proveedores En la última década, los equipos de seguridad empresarial se han lanzado a comprar herramientas de seguridad. Un estudio de Ponemon encontró que la empresa típica ha implementado un promedio de 45 herramientas de ciberseguridad para proteger sus redes y garantizar la resiliencia. Uno de los principales impulsores de la adopción de nuevas herramientas es el propio panorama de amenazas en constante evolución, que a su vez ha generado una industria artesanal de empresas emergentes que abordan vectores de ataque específicos. Esto ha llevado a que las organizaciones adquieran una variedad de soluciones específicas para abordar y cerrar brechas. No sólo existen consideraciones de costos al otorgar licencias para estas docenas de herramientas interconectadas y superpuestas, sino que también existe un costo auxiliar asociado a su gestión. Al adoptar un enfoque de plataforma con un plano de control y datos compartidos, los CISO pueden consolidar herramientas de seguridad, optimizar las operaciones y reducir las brechas y vulnerabilidades entre silos heredados. 4: Priorice la visibilidad No se puede gestionar eficazmente lo que no se puede ver. Por eso es esencial priorizar la inversión en herramientas y procesos que proporcionen una amplia visibilidad de la red para saber qué hay en un entorno y dónde se encuentran los mayores riesgos. Otras formas de mejorar las posturas de seguridad: No utilizar agentes: esto puede facilitar la cobertura de las cargas de trabajo en la nube. No es necesario obtener los permisos correctos, simplemente ingrese las credenciales de AWS, configure la API y se podrá escanear un entorno en menos de una hora. Visibilidad de los terminales: debido a que la mayoría de los ataques comienzan en dispositivos terminales individuales y brindan a los atacantes una ruta fácil para escalar privilegios, la visibilidad es crucial, especialmente cuando los trabajadores continúan iniciando sesión desde ubicaciones remotas. Durante la última década, los líderes de seguridad han luchado duramente para ganar un asiento en la mesa de la sala de juntas. Si quieren conservar ese puesto, necesitarán construir una cultura de responsabilidad basada en datos empíricos para que puedan comunicar y racionalizar el valor total de la ciberseguridad. Kevin Durkin es director financiero de Uptycs. DataDecisionMakers ¡Bienvenido a la comunidad VentureBeat! DataDecisionMakers es el lugar donde los expertos, incluidos los técnicos que trabajan con datos, pueden compartir conocimientos e innovación relacionados con los datos. Si desea leer sobre ideas de vanguardia e información actualizada, mejores prácticas y el futuro de los datos y la tecnología de datos, únase a nosotros en DataDecisionMakers. ¡Incluso podrías considerar contribuir con un artículo propio! Leer más de DataDecisionMakers
Source link
Deja una respuesta