A pesar de lo agitado que ha sido el 2020, la ciberseguridad ha conseguido mantenerse en los titulares. Sólo en octubre, la Agencia de Ciberseguridad y Seguridad de las Infraestructuras del Gobierno de EE.UU. emitió el equivalente a una alerta diaria para industrias y empresas, y el director de la Comisión de Valores advirtió que las empresas debían aumentar la vigilancia ante una posible oleada de ataques.
La buena noticia es que muchas empresas están prestando atención. La concienciación sobre la ciberseguridad ha crecido a pasos agigantados, y según una encuesta reciente casi el 80% de las empresas sitúan la ciberseguridad entre sus cinco principales preocupaciones, frente a poco más del 60% en 2017.
Al mismo tiempo, la confianza de las empresas en que pueden hacer frente a la ciberseguridad en la práctica está disminuyendo. Es fácil entender por qué; las nuevas tendencias y tecnologías equivalen a un flujo constante de nuevas amenazas, lo que obliga a las empresas a ajustar constantemente sus capacidades para mantenerse al día.
La confianza en las medidas de ciberresistencia bajó de 2017 a 2019
El mayor cambio de los últimos años es, con mucho, la naturaleza de los sistemas que las empresas intentan proteger. La conectividad omnipresente ha hecho que los sistemas sean más fáciles de controlar y ha abierto más puntos de entrada para los malos actores. El aumento del trabajo desde casa y de la actividad en línea impulsado por la pandemia ha puesto de manifiesto los inconvenientes de la conectividad, así como sus ventajas. Una encuesta reciente entre ejecutivos de tecnología de Estados Unidos, por ejemplo, reveló que el 89% de las organizaciones habían sido objeto de malware relacionado con COVID-19.
Es más, la pandemia ha cambiado el comportamiento de una manera que tiene implicaciones negativas para la seguridad. "Para mucha gente, la única manera de socializar ahora es digitalmente", dice Harinee Muralinath, Capability Lead de Thoughtworks. "La gente se conecta más a menudo, se socializa más en las plataformas digitales y está asustada por la situación actual, por lo que definitivamente hay una mayor proporción de aciertos en el clickbait. Ha habido un aumento de la suplantación de identidad inteligente dirigida al miedo humano en torno a la pandemia".
Dado que es poco probable que el ritmo de las amenazas disminuya, la única respuesta eficaz es hacer que la seguridad sea igualmente dinámica. La seguridad debe ampliarse a medida que cambian los límites de la empresa y el panorama de las amenazas, una capacidad de la que carecen los marcos de seguridad tradicionales y las soluciones estándar.
"Mientras la seguridad sea una mera casilla que hay que marcar, no va a conseguir los resultados necesarios", afirma Jim Gumbley, director de ciberseguridad de Thoughtworks. "Se requiere un cambio de cultura". Pero, ¿por dónde deben empezar las organizaciones?
"Mientras la seguridad sea sólo una casilla que hay que marcar, no va a impulsar los resultados necesarios. Requiere un cambio de cultura".
Jim Gumbley
Cyber Security Principal, Thoughtworks
Conoce tus puntos débiles
El primer paso es reconocer cómo ha cambiado la naturaleza de las amenazas y afrontar las nuevas realidades de seguridad creadas por la proliferación de la conectividad, los datos y los modelos informáticos basados en la nube.
Cloud Computing
La migración masiva de los servidores internos a la arquitectura basada en la nube conlleva algunas ventajas de seguridad inherentes. Dado que es fundamental para su modelo de negocio, los principales proveedores de servicios en la nube invierten y dan prioridad a la seguridad de una manera que pocas empresas pueden igualar, por lo que cualquier sistema alojado en la nube tiene un sólido nivel de defensa de base.
"Definitivamente, pasar a la nube tiene la ventaja de que uno se beneficia de las capacidades casi siempre superiores de los principales proveedores de la nube para proteger su hardware y sus redes", afirma Robin Doherty, arquitecto jefe de seguridad de Thoughtworks.
El problema es que algunas empresas asumen que confiar sus activos a un proveedor de la nube significa que la seguridad está efectivamente cubierta. Un estudio reciente de empresas de cuatro grandes mercados de Asia-Pacífico reveló que más de la mitad creía que todos los requisitos de infraestructura de seguridad eran gestionados por su proveedor de servicios en la nube, y sólo el 40% entendía que la seguridad era una responsabilidad compartida. Y ello a pesar de que, como señala Doherty, la mayoría de los proveedores de servicios en la nube son explícitos sobre dónde terminan sus obligaciones, y "dan a sus clientes mucho margen" para introducir vulnerabilidades.
Concepto erróneo de responsabilidad
También hay un punto técnico básico sobre la nube que la hace más arriesgada en algunos aspectos. "Si tienes una red local y no la configuras correctamente, no cualquiera puede acceder y un problema no puede llegar más lejos, porque hay un grado de separación física", explica Gumbley. "La nube está diseñada para conectarse a Internet, así que incluso los pequeños errores pueden tener un enorme radio de explosión".
La nube significa que cualquier sistema es efectivamente tan fuerte como su eslabón más débil. Y como señala Neelu Tripathy, responsable de la práctica de seguridad en Thoughtworks, a veces esos eslabones son muy débiles.
"Como todo está tan distribuido, si se mira desde la perspectiva del atacante, se ha vuelto mucho más difícil ir tras los sistemas de fondo", dice. "Los ataques se están trasladando al exterior, a los individuos. La ingeniería social, el phishing y similares están siendo de gran ayuda para que los atacantes consigan dar el primer paso hacia la organización."
La conectividad en la nube es también un arma de doble filo, ya que pone a disposición de los malos actores muchas de las capacidades y recursos que pueden ayudar a las empresas.
"Con el auge del código abierto, los sistemas en la nube con gran capacidad de procesamiento y los lenguajes que facilitan la creación de scripts, no hace falta ser un gran programador para escribir un bot que husmee para comprobar lo vulnerable que es un sistema", dice Muralinath. "Y si utilizas plataformas subyacentes o contenedores que has sacado de Internet, hay mucha gente que ya ha hecho lo mismo, lo que significa que esas herramientas vienen con vulnerabilidades conocidas. Se ha abierto un mayor repositorio de conocimiento para que los atacantes lo utilicen también".
"Como todo está tan distribuido, los ataques se están trasladando al exterior, a los individuos. La ingeniería social, el phishing y similares están siendo de gran ayuda para que los atacantes pongan ese primer pie en la organización."
Neelu Tripathy
Security Practice Lead, Thoughtworks
Data
Junto con el ascenso de las plataformas en la nube, se ha producido un cambio radical en la forma en que los consumidores ven sus datos que ha obligado a las empresas a tener en cuenta la seguridad de los mismos.
"Las empresas conceden cada vez más importancia a la privacidad, no necesariamente porque se preocupen mucho más por sus clientes que hace 10 años, sino porque las actitudes de la sociedad, los gobiernos y las jurisdicciones han cambiado", afirma Doherty.
Cada vez son menos las organizaciones que adoptan hábitos potencialmente peligrosos, como el uso de la información de los clientes en entornos de prueba o el intercambio de datos sensibles en memorias USB, señala Doherty. En consecuencia, en muchas empresas, la protección de datos se está reforzando. Pero eso no cambia el hecho de que el crecimiento exponencial del volumen de datos, y el uso de los mismos para la inteligencia empresarial, significa que es un objetivo mucho más grande y tentador.
La aplicación de herramientas basadas en datos como la IA y el aprendizaje automático para impulsar las decisiones empresariales también puede introducir nuevas dimensiones de riesgo, según Gumbley.
"Tener sistemas de IA que puedan explicar por qué han tomado una decisión concreta es muy difícil", afirma. "Si alguien es capaz de jugar con ese sistema, puede que ni siquiera seas capaz de detectarlo porque no has entendido por qué ha tomado una decisión en primer lugar. Para asegurar cualquier sistema, hay que entenderlo, y eso puede ser un reto dada la forma en que se despliegan ciertos sistemas de apoyo a la toma de decisiones."
"Para asegurar cualquier sistema, hay que entenderlo, y eso puede ser un reto dada la forma en que se despliegan ciertos sistemas de apoyo a la decisión".
Jim Gumbley
Cyber Security Principal, Thoughtworks
El IoT
La mayor adopción del Internet de las Cosas (IoT) ha permitido a las empresas automatizar muchas funciones críticas, incluyendo en algunos casos la propia seguridad. Pero a medida que se despliegan más dispositivos conectados en puntos críticos del proceso de producción, o entran en contacto más estrecho con empleados y clientes, la superficie de ataque de la empresa se amplía.
"Incluso he oído hablar de dispositivos como los termómetros que han sido pirateados", dice Muralinath. "Sólo eso puede ser suficiente para que alguien entre en una red y pueda acceder a otros dispositivos y datos. El hecho de que estemos tan conectados es algo que también ha aumentado el panorama de las amenazas."
Especialmente cuando forma parte de los sistemas que gobiernan los activos críticos, como las instalaciones sanitarias o las infraestructuras, la seguridad del IoT "se vuelve crítica, porque el impacto es directo y es físico", dice Tripathy.
Desgraciadamente, "muchos productos de la IO tienen una seguridad deficiente", dice Doherty, y se envían con configuraciones por defecto problemáticas o con contraseñas que pueden no estar nunca optimizadas o actualizadas.
Esto es especialmente preocupante cuando cada vez hay más personas que trabajan a distancia y cuando las fronteras entre los dispositivos personales y los de trabajo se han difuminado. Un nuevo estudio de la Alianza Nacional de Ciberseguridad de EE.UU., por ejemplo, mostró que alrededor de un tercio de los usuarios de dispositivos conectados no siempre se molestan en cambiar las contraseñas por defecto y que la mitad accede regularmente a redes WiFi no seguras.
Encuestados que cambian la configuración de la contraseña del dispositivo conectado con respecto a la configuración predeterminada del fabricante
Por ello, las empresas deben trabajar para crear una arquitectura de "confianza cero", lo que significa que "no se confía en los dispositivos sólo porque están en la red, y no se confía en todo lo que hace un sistema sólo porque se ha creado ese sistema", explica Doherty.
Cadenas de suministro complejas
Otra vulnerabilidad común es la tendencia de las empresas a concentrarse en sus propias prácticas, descuidando o subestimando los riesgos que plantean las redes de proveedores, producción y cadena de suministro, cada vez más enmarañadas.
En muchos casos, los empleados pueden no ser conscientes de todas las diferentes organizaciones que están detrás de los sistemas que utilizan. En todo el amplio espectro de proveedores de servicios de software, proveedores y socios de distribución, dice Gumbley, "sólo tiene que haber un eslabón débil en la cadena, uno que no tenga buenas normas de seguridad del software", para que surja un problema.
Desgraciadamente, no hay atajos reales para abordar esta cuestión; se requiere un profundo examen de los acuerdos de servicio y de las normas que mantienen los socios para detectar posibles carencias.
"Asegurarse de que se cumplen las normas en toda la cadena de suministro puede ser como ver cómo se seca la pintura, pero puede tener un gran impacto", afirma Gumbley.
De las políticas de seguridad a la cultura de seguridad
La tecnología, las arquitecturas de confianza cero y la formación pueden ayudar a las empresas a gestionar los nuevos retos en materia de seguridad, pero según los expertos de Thoughtworks, incluso los equipos más capaces sólo pueden esperar construir una red de seguridad parcial, y los fallos ocasionales son prácticamente inevitables.
En lugar de centrarse en el objetivo poco realista de hacer que la organización sea inexpugnable, los líderes empresariales deberían dar prioridad a cambiar la forma en que se percibe la seguridad. "El mayor problema de la seguridad es la mentalidad", dice Muralinath.
La primera percepción que hay que abordar es que la seguridad es responsabilidad exclusiva de un equipo independiente. "Ya no se puede tener un equipo de seguridad central que actúe como guardián, decidiendo lo que puede ir a producción, siguiendo una lista de control, revisando lo que se despliega cada seis meses y diciendo a los equipos de entrega lo que tienen que hacer", dice Doherty. "La gente está desplegando todo el tiempo ahora, y el viejo estilo de controles ya no funciona".
"Ya no se puede tener un equipo de seguridad central que actúe como guardián, revisando todo lo que se despliega cada seis meses. La gente está desplegando todo el tiempo ahora, y el viejo estilo de controles ya no funciona".
Robin Doherty
Lead Security Architect, Thoughtworks
"La seguridad en silos, basada en el cumplimiento de las normas y centrada en el hardware y los cortafuegos -la seguridad en un rincón, podríamos llamarla- es casi un poco de teatro o una hoja de parra para mostrar a la gente que se está haciendo algo", coincide Gumbley. "Deja a las empresas vulnerables a ser arrastradas por todo el riesgo que hay".
El enfoque más seguro para el futuro es situar la seguridad como un esfuerzo colectivo, en el que cada función, al tener algo que perder, también tiene un papel y una opinión. "La seguridad tiene que basarse en diferentes perspectivas", explica Gumbley. "Puede que los tecnólogos no entiendan el valor particular de un determinado conjunto de datos, pero otro equipo sí lo hará porque lo vive y lo respira. El departamento legal, el de recursos humanos u otras partes de la empresa suelen tener una mejor idea de lo que está en juego y de lo que puede salir mal en realidad que alguien que sabe configurar un cortafuegos."
"Las empresas pueden fomentar una cultura de seguridad más colaborativa desplegando a miembros del equipo de seguridad para que actúen como consultores internos", afirma Doherty. Hacer que la seguridad trabaje dentro de los equipos de proyecto incorpora mecanismos de defensa a lo largo de todo el proceso de desarrollo y evita el "sándwich de seguridad", en el que las comprobaciones se aplican sólo al principio y al final de un proyecto con resultados potencialmente dolorosos.
Sandwich de Seguridad
"Añadir una persona de seguridad a un equipo multifuncional significa que se está haciendo un mejor trabajo para reducir el riesgo a medida que se avanza", explica. "No acabas en una situación en la que el proyecto o los requisitos cambian con el tiempo, y cuando el equipo de seguridad vuelve hacia el final, identifica un montón de problemas. Y entonces tienes que tener una horrible conversación sobre si tienes que posponer la puesta en marcha".
Hacer que la seguridad sea más democrática puede implicar delicados cambios organizativos que reconfiguren el equilibrio de control y responsabilidad, dice Muralinath. Eso aboga por que el proceso vaya acompañado del apoyo de la alta dirección y de un cierto grado de alcance a todos los niveles de la empresa.
"Las personas más cercanas, como los propietarios de los productos, pueden no entender que la responsabilidad de la seguridad está ahora también en sus manos", dice Muralinath. "Hay muchas veces que pueden seguir posponiendo las cosas, diciendo 'construyamos primero una función, saquémosla adelante y ya nos preocuparemos de la seguridad después'. Hay que educar mucho a ese nivel medio de gestión".
"Es importante educar y crear una buena cantidad de conciencia en torno a las técnicas de seguridad", coincide Tripathy. "Explicar a los empleados qué es exactamente lo que es crítico para la organización, cuáles son los activos de la empresa, qué datos pueden y no pueden divulgarse públicamente. Cuando la nueva normalidad es virtual y social, tenemos que desarrollar el pensamiento crítico en los empleados en general, no sólo cuando están codificando, sino cuando participan en las actividades cotidianas."
Afrontando el déficit de talento
Una de las principales ventajas de crear capacidades de seguridad de forma colectiva es que puede ayudar a la empresa a hacer frente a la escasez real y acuciante de talento en ciberseguridad.
Según la asociación mundial de gobernanza de TI ISACA, más del 60% de las organizaciones creen que sus equipos de ciberseguridad carecen de personal suficiente, y el 66% tienen dificultades para retener al personal de ciberseguridad, principalmente porque se les contrata regularmente.
Estado de la ciberseguridad 2020
Aunque los expertos en ciberseguridad siempre tendrán su lugar, "hay un problema cuando se piensa en la seguridad de forma aislada", señala Muralinath. "Hay que desarrollar el talento en los equipos existentes para que entiendan las cosas adicionales que deben hacer para poner en práctica la seguridad. No es el número de especialistas en seguridad lo que hay que aumentar, sino el número de desarrolladores u otras personas que también se ocupan de la seguridad como parte de un grupo, de modo que se aumenta el espacio de seguridad de forma orgánica."
"Hay un problema cuando se piensa en la seguridad de forma aislada. Hay que desarrollar el talento en los equipos existentes para que comprendan las cosas adicionales que deben hacer para poner en práctica la seguridad."
Harinee Muralinath
Capability Lead, Thoughtworks
"Ciertamente, nuestra experiencia en Thoughtworks es que hay un buen número de personas que pueden no tener funciones de seguridad, pero que se preocupan profundamente por la seguridad y quieren hacer crecer sus capacidades de seguridad", coincide Doherty. "Si puedes identificar quiénes son esas personas y darles un papel que desempeñar en esa transformación, es enormemente beneficioso".
"Si no puedes contratar a toda la gente buena que necesitas, hazla crecer", dice Gumbley. "Al igual que DevOps en el pasado, ahora hay una comunidad masiva en torno a la seguridad, con todo tipo de recursos y oportunidades para colaborar y aprender. Es más diversa, emocionante e innovadora de lo que ha sido en cualquier momento de mi vida. La seguridad ya no es aburrida".
"Ahora hay una gran comunidad en torno a la seguridad, con oportunidades para colaborar y aprender. Es más diversa, emocionante e innovadora. La seguridad ya no es aburrida".
Jim Gumbley
Cyber Security Principal, Thoughtworks
Nuevas medidas de performance
Según Doherty, los edictos o controles impuestos desde arriba no cultivarán el sentido compartido de la seguridad que las empresas deberían perseguir. Para que esto funcione, no es especialmente útil que el nivel C diga "estas son las reglas", dice. "Tienen que crear un espacio, y tienen que ajustar los incentivos".
En concreto, los incentivos tienen que cambiar de forma que muestren que el objetivo final de la seguridad no es diferente al de otras funciones de la organización: aportar valor. "A menudo escucho a los propietarios de los productos hablar de la necesidad de entregar valor al usuario, no del trabajo de seguridad", explica Doherty. "Pero la seguridad protege el valor del usuario, y la reducción del riesgo es un aumento del valor esperado".
En muchas organizaciones, las mediciones del rendimiento de la seguridad reflejan la percepción de que es un mecanismo de control o un parche, en lugar de contribuir al valor. "Los KPI de seguridad tienden a estar muy mal diseñados", dice Doherty. "Si le pides a la gente que reduzca el número de incidentes, hay una forma fácil de hacerlo: simplemente no te cuentan lo que está pasando. Eso significa que nunca se mejora con el tiempo".
"A menudo oigo a los propietarios de productos hablar de la necesidad de ofrecer valor al usuario, no de la labor de seguridad. Pero la seguridad protege el valor del usuario, y la reducción del riesgo es un aumento del valor esperado".
Robin Doherty
Lead Security Architect, Thoughtworks
Del mismo modo, si los equipos de seguridad están incentivados únicamente para reducir los riesgos, a menudo se encontrarán en desacuerdo con el resto de la organización, especialmente con los equipos de entrega, que suelen estar motivados para que las cosas se publiquen lo antes posible.
La respuesta, según Gumbley, vuelve a ser que el riesgo sea algo con lo que todos se midan. "Las mejores prácticas establecidas en torno a la gestión de riesgos son la solución al problema", afirma. "Podría tratarse de un registro de riesgos: un conjunto de riesgos prioritarios en torno a los cuales se está alineado como empresa. Lo importante es que el conjunto de riesgos sea propiedad de la empresa, no del equipo de seguridad".
Mientras tanto, Muralinath cree que deberían construirse más métricas en torno a dónde y cuándo se detectan las vulnerabilidades. "¿En qué momento se encontró el defecto: durante el desarrollo temprano o en producción? Tu pipeline debería estar configurado de tal manera que tu construcción no proceda a un determinado entorno si ciertos tipos de pruebas fallan", dice. "Lo que realmente estás midiendo es la eficacia de esos programas, así como el conocimiento y la conciencia de tus equipos".
Cuando ocurre lo inevitable
Independientemente de cómo se evalúe y fomente la seguridad, es casi seguro que todas las empresas tendrán que enfrentarse en algún momento a un incidente o una brecha. Sin embargo, no es necesario que eso equivalga a un desastre si la empresa se ha ocupado de lo que Gumbley llama "el paso cero: planificación, práctica y preparación".
"Si no te has preparado no tienes ninguna posibilidad", dice. "Merece la pena asumir que vas a sufrir una brecha y pensar a quién vas a llamar en ese tipo de situación, ya sea para apoyo legal, protección de datos o una respuesta técnica".
En caso de incidente, la prioridad inmediata debe ser identificar y solucionar la vulnerabilidad, dice Tripathy. "Si se trata de una versión antigua de software que ha sido explotada, hay que actualizarla; o si se trata de una base de datos expuesta en el backend, hay que cerrar la frontera de la red". Pero justo después viene "salir e informar a tus clientes, y ser transparente al respecto".
"Si la información de sus clientes se ha visto afectada, lo mejor es divulgarlo con precisión y dar soluciones concretas, de modo que no sólo se esté concienciando a los clientes, sino que se genere confianza al mismo tiempo".
Harinee Muralinath
Capability Lead, Thoughtworks
"Si la información de tus clientes se ha visto afectada, lo mejor es salir a la luz y revelarlo", coincide Muralinath. "Es importante que entiendas la profundidad (de la brecha) lo suficiente como para ser capaz de revelarla con precisión, y dar pasos concretos sobre lo que sigue. Hay que presentar soluciones junto con la información sobre el problema, de modo que no sólo se conciencie a los clientes, sino que se genere confianza al mismo tiempo".
Una vez que el polvo se ha asentado, la autopsia puede convertir un incidente en una oportunidad para aprender, pero no debe convertirse en un juego de culpas. Como señala Tripathy, la mayoría de los incidentes "no se deben sólo a la violación de una capa; generalmente se trata de una mala configuración de varias capas". Eso hace que sea difícil señalar con el dedo a una sola persona o punto de fallo.
"Hay que hacer algún tipo de retrospectiva, incluso para los casi-fallos", coincide Gumbley. "Pero, al fin y al cabo, culpar a alguien no va a ayudar a prevenir el siguiente incidente. Las infracciones son tan complejas que siempre hay múltiples causas, y con muchos sistemas que ahora son un mosaico de diferentes organizaciones y marcos laborales, puede ser un verdadero campo de minas."
El ciclo de seguridad Lean
"La gran prioridad debe ser aprender de los pequeños incidentes", dice Doherty. "Existe la tentación, cuando se persigue el progreso, de seguir adelante, pero es importante resistirse a ello. Hay que reconocer que se ha cometido un error y que, por suerte, esta vez no se ha acabado en la primera página de las noticias, pero con algunas variaciones se podría haber hecho. Cuando se distribuye la responsabilidad de la seguridad, todo el mundo tiene que estar al tanto de estas novedades. Hay que compartir no sólo la información, sino la historia de cómo sucedió, haciéndola relatable para que la gente pueda ver cómo podría meterse en la misma situación."
Conclusión: Planificando para lo desconocido
Este año ha sido un buen recordatorio de que ninguna empresa puede predecir qué riesgos o amenazas a la seguridad pueden acechar a la vuelta de la esquina, pero según Gumbley, mientras las empresas planifican para 2021, eso no es razón para no intentarlo.
"Hay que escudriñar constantemente, hacer una lluvia de ideas y tratar de detectar las amenazas potenciales, medir el impacto o el riesgo que pueden suponer y, si son lo suficientemente importantes, actuar", afirma. "(El ataque de ransomware) WannaCry fue un ejemplo perfecto: hubo un periodo de gracia de seis meses en el que las organizaciones podrían haberlo visto venir y haber parcheado algunos de sus servidores. ¿Siempre se ve perfectamente lo que viene? No es posible. ¿Pero se puede hacer algo mejor que esperar pasivamente? Absolutamente".
"¿Siempre verás perfectamente lo que viene? No es posible. ¿Pero puedes hacerlo mejor que esperar pasivamente? Absolutamente".
Jim Gumbley
Cyber Security Principal, Thoughtworks
La automatización, especialmente en forma de infraestructura como código, y en áreas como las pruebas, la detección de amenazas y las alertas, tiene un importante potencial para ayudar a las empresas a mejorar la seguridad acelerando los procesos y reduciendo los casos de error humano.
Pero los expertos de Thoughtworks advierten que no hay que apresurarse a invertir en las últimas soluciones de seguridad basadas en la IA. "Es muy fácil dejarse llevar por la idea de que se necesita la IA para resolver un problema porque parece que va a ser una bala de plata", dice Doherty. "Pero no lo es, y en la mayoría de los casos hay mucho más que las empresas pueden estar haciendo para entender lo que está pasando en sus sistemas antes de empezar a preocuparse por ello".
"Cuando se tienen parámetros definidos en un sistema que se puede identificar y medir, se puede aprovechar la IA, pero depende de lo que esté en juego", dice Tripathy. "Siempre hay cosas que es mejor hacer manualmente. Un principio básico en la seguridad es que el coste de los controles que estás poniendo no puede ser mayor que el valor del activo empresarial que estás tratando de proteger."
"Un principio básico en materia de seguridad es que el coste de los controles que se ponen no puede ser mayor que el valor del activo empresarial que se intenta proteger".
Neelu Tripathy
Security Practice Lead, Thoughtworks
Aunque los riesgos siguen aumentando, los expertos también ven mucho espacio para la esperanza sobre el futuro de la seguridad empresarial, a medida que más organizaciones experimentan con medidas proactivas, incluso inventivas.
"Definitivamente, veo que la gente invierte más en seguridad, y si no hay nada más, la alta dirección está realmente preocupada, lo que significa que si estás consultando sobre seguridad, te escucharán", dice Muralinath.
Tripathy señala los programas de "bug bounty", en los que las empresas recompensan a terceros por descubrir problemas o vulnerabilidades, como un ejemplo prometedor de cómo las prácticas de seguridad están empezando a ir más allá.
"Las organizaciones están empezando a comprender que quizá no tengan los recursos necesarios para percibir todos los ataques que se introducen o los problemas latentes en sus aplicaciones", afirma. "Hay muchas suposiciones en tu forma de pensar cuando estás dentro, por lo que los puntos de vista externos pueden mostrarte algo muy diferente. Definitivamente hay que hacerlo con cuidado, pero es una forma muy inteligente de ver la seguridad, y me hace ser optimista sobre lo que está por venir."
Tendencias como éstas subrayan la teoría de que, cuando se trata de reforzar las defensas contra las amenazas emergentes, las empresas pueden beneficiarse más de los esfuerzos por ampliar las perspectivas.
"Los controles están muy bien, pero todavía hay mucha gente que no piensa en la seguridad en sus procesos de toma de decisiones", explica Doherty. "Es importante desarrollar la capacidad de evaluar el riesgo en general, no sólo el de seguridad. Es algo difícil porque el alcance de lo que hay que preocuparse como humano o tecnólogo ha crecido; cada vez hay más cosas que cada uno de nosotros debe interiorizar y asumir un poco de responsabilidad. Pero no se puede exagerar el poder de esa comprensión".
"Es importante crear la capacidad de evaluar el riesgo en general, no sólo el riesgo de seguridad. Es algo difícil porque el alcance de lo que hay que preocuparse como humano o tecnólogo ha crecido. Pero no se puede exagerar el poder de esa comprensión".
Robin Doherty
Lead Security Architect, Thoughtworks
By JoJo Swords
Perspectives en tu bandeja de entrada
Perspectivas empresariales y del sector para los líderes digitales.
La suscripción a Perspectives ofrece los mejores podcasts, artículos, vídeos y eventos de nuestros expertos para ampliar nuestra popular publicación Perspectives.