Un diseño centrado en el ser humano y otras tendencias de seguridad para 2023
Gartner cree que un enfoque que tenga más en cuenta a las personas será “esencial” a partir de ahora para reducir los fallos.
Con la proliferación de dispositivos conectados, la popularización del teletrabajo y la sofisticación de la tecnología en las oficinas, las compañías incrementan sus necesidades de protección. Un año más la seguridad se cuela en las agendas empresariales.
Este año, Gartner cree que los líderes en gestión de riesgos tenderán hacia “un diseño de seguridad centrado en el ser humano”. Esto es, que tendrán en cuenta la experiencia del empleado.
Y es que “un enfoque de ciberseguridad centrado en el ser humano es esencial para reducir los fallos de seguridad”, según Richard Addiscott, analista director sénior de esta consultora, que considera que esta es la primera gran tendencia que marcará el panorama de la seguridad empresarial en 2023.
“Los programas tradicionales de concienciación sobre seguridad no han logrado reducir el comportamiento inseguro de los empleados”, explica Addiscott.
En su opinión, los directores de seguridad de la información (CISO) “deben revisar incidentes de ciberseguridad pasados para identificar las principales fuentes de fricción inducida por la seguridad cibernética y determinar dónde pueden aliviar la carga de los empleados a través de controles más centrados en el ser humano”. Otra opción es “retirar controles que añaden fricción sin reducir significativamente el riesgo”.
En esta misma línea, mejorarán “la gestión de las personas” y no sólo la tecnología para garantizar “la sostenibilidad del programa de seguridad”.
Esto debería ayudar a las organizaciones a retener el talento, especialmente cotizado en el entorno tech. Y, a la vez, las conducirá hacia una mayor madurez funcional y técnica.
“Transformar el modelo operativo de ciberseguridad para respaldar la creación de valor” es la tercera tendencia que plantea Gartner, teniendo en cuenta que muchos empleados ya asumen alguna tarea de corte tecnológico, incluidos aquellos que están enfocados a negocio.
“Los líderes empresariales ahora aceptan ampliamente que el riesgo de seguridad cibernética es un riesgo de negocio importante que hay que gestionar, no un problema tecnológico que resolver”, señala al respecto Richard Addiscott, que añade que “apoyar y acelerar los resultados comerciales es una prioridad central de ciberseguridad, pero sigue siendo un gran desafío”.
El nuevo modelo operativo de seguridad necesita integrar la forma en la que se trabaja, con los riesgos de protección mezclándose con los financieros, reputacionales, competitivos y legales.
Como la superficie de ataque se ha ampliado, se recomienda implementar programas para la “gestión de la exposición a amenazas” continua. Y, así, “evaluar algo más que sólo las vulnerabilidades tecnológicas” y reducir el número de infracciones. También está en auge el principio de “inmunidad del tejido de identidades”, pensado para evitar nuevos ataques y su impacto financiero.
En sexto lugar figuran las plataformas para ejecutar una “validación de la ciberseguridad”, lo que implica reunir técnicas, herramientas y procesos con los que comprobar cómo explotan los atacantes la exposición a una amenaza. La idea es automatizar aspectos repetibles o predecibles de las evaluaciones.
Gartner observa que los proveedores están “consolidando plataformas” de ciberseguridad en torno a uno o más dominios importantes. Aquí es importante realizar inventarios y eliminar redundancias.
Este año se nota también que “las empresas componibles necesitan seguridad componible”. En vez de depender de sistemas monolíticos, apuestan por diferentes componentes en las aplicaciones para adaptarse con mayor facilidad al cambio y esto requiere un enfoque renovado de ciberseguridad. Esta seguridad componible implica que los controles se integran en patrones arquitectónicos para aplicarlos después a nivel modular en implementaciones tecnológicas.
“La creación de aplicaciones con componentes componibles introduce dependencias sin descubrir”, apunta Addiscott.
“Para los CISO, esta es una oportunidad importante para integrar la privacidad y la seguridad por diseño creando objetos de control de seguridad reutilizables y basados en componentes”, detalla.
Por último, ya es una realidad que “las Juntas amplían su competencia en supervisión de ciberseguridad”, algo que viene motivado por la rendición de cuentas de nivel explícito. Los responsables de seguridad entregan informes a los consejos de administración que muestran el impacto de sus programas en los objetivos de la compañía y brindan asesoramiento para la asignación de presupuestos.