La evolución de la gestión de la exposición
La mayoría de los equipos de seguridad tienen un buen sentido de lo que es crítico en su entorno. Lo que es más difícil de precisar es lo que crítico de negocios. Estos son los activos que respaldan los procesos sin el que no puede funcionar la empresa. No siempre son los más fuertes o más expuestos. Son los que están vinculados a los ingresos, las operaciones y la entrega. Si uno cae, es más que un problema de seguridad: es un problema comercial.
Durante el año pasado desde que publicamos nuestro enfoque de 4 pasos para mapear y asegurar activos críticos de negocios, mi equipo y yo hemos tenido la oportunidad de involucrarnos profundamente con docenas de talleres de clientes en múltiples verticales de la industria, incluidas las finanzas, la fabricación, la energía y más. Estas sesiones han revelado ideas valiosas sobre cómo las organizaciones están evolucionando su postura de seguridad.
Este artículo analiza ese enfoque, incorporando lo que hemos aprendido en el camino, ayudando a las organizaciones a alinear la estrategia de gestión de exposición con las prioridades comerciales. Lo que comenzó como un enfoque teórico de 4 pasos ha madurado en una metodología probada con resultados medibles. Las organizaciones que implementan este marco han reportado avances de eficiencia notables, algunos reduciendo los esfuerzos de remediación en hasta un 96% al tiempo que fortalecen su postura de seguridad al mismo tiempo donde más importa.
Nuestro compromiso con CISO, directores de seguridad y cada vez más, CFO y ejecutivos de negocios han revelado patrones consistentes en todas las industrias. Los equipos de seguridad no luchan por identificar las vulnerabilidades, sino con la determinación de cuáles representan un riesgo comercial genuino. Mientras tanto, los líderes empresariales quieren garantizar que las inversiones de seguridad protejan lo que más importa, pero a menudo carecen de un marco para comunicar estas prioridades de manera efectiva a los equipos técnicos.
La metodología que hemos refinado une esta brecha, creando un lenguaje común entre los profesionales de la seguridad y las partes interesadas comerciales. Las lecciones que siguen a Distill lo que hemos aprendido a través de la implementación de este enfoque en diversos contextos organizacionales. Representan no solo las mejores prácticas teóricas, sino las ideas prácticas obtenidas a través de aplicaciones exitosas del mundo real.
Lección 1: No todos los activos son creados iguales
Lo que descubrimos: La mayoría de los equipos de seguridad pueden identificar lo que es técnicamente crítico, pero lucha por determinar qué es crítico para el negocio. La diferencia es significativa: los activos críticos de negocios admiten directamente la generación de ingresos, las operaciones y la prestación de servicios.
Takeaway clave: Concentre sus recursos de seguridad en sistemas que, si se vean comprometidos, crearían una interrupción comercial real en lugar de solo problemas técnicos. Las organizaciones que implementaron este enfoque dirigido redujeron los esfuerzos de remediación hasta en un 96%.
Lección 2: El contexto comercial lo cambia todo
Lo que descubrimos: Los equipos de seguridad se están ahogando en señales: escaneos de vulnerabilidad, puntajes CVSS y alertas de toda la pila de tecnología. Sin contexto comercial, estas señales carecen de significado. Una vulnerabilidad «crítica» en un sistema no utilizado es menos importante que una «moderada» en una plataforma de generación de ingresos.
Takeaway clave: Integre el contexto comercial en su priorización de seguridad. Cuando sabe qué sistemas admiten funciones comerciales centrales, puede tomar decisiones basadas en el impacto real en lugar de la gravedad técnica sola.
Lección 3: El método de cuatro pasos funciona
Lo que descubrimos: Las organizaciones necesitan un enfoque estructurado para conectar los esfuerzos de seguridad con las prioridades comerciales. Nuestra metodología de cuatro pasos ha demostrado ser efectiva en diversas industrias:
- Identificar procesos comerciales críticos
- Procesos de mapa a la tecnología
- Priorizar según el riesgo comercial
- Actuar donde importa
Takeaway: Comience con la forma en que su empresa gana y gasta dinero. No necesita mapear todo, solo los procesos que causarían una interrupción significativa si se interrumpen.
Para llevar: determine qué sistemas, bases de datos, credenciales e infraestructura admiten esos procesos críticos. El mapeo perfecto no es necesario: apunte a «lo suficientemente bueno» para guiar las decisiones.
Para llevar: Centrarse en los puntos de estrangulamiento: los atacantes de sistemas probablemente pasarían para alcanzar los activos críticos de los negocios. Estas no siempre son las vulnerabilidades más severas, pero arreglarlas ofrece el mayor retorno del esfuerzo.
Takeaway: remediar las exposiciones que crean caminos a los sistemas críticos de negocios primero. Este enfoque dirigido hace que el trabajo de seguridad sea más eficiente y más fácil de justificar para el liderazgo.
Lección 4: los CFO se están convirtiendo en partes interesadas de seguridad
Lo que descubrimos: Los líderes financieros están cada vez más involucrados en las decisiones de ciberseguridad. Como nos dijo un director de ciberseguridad, «nuestro CFO quiere saber cómo vemos los riesgos de ciberseguridad desde una perspectiva comercial».
Takeaway clave: Enmarcar la seguridad en términos de gestión de riesgos comerciales para obtener apoyo del liderazgo financiero. Este enfoque ha demostrado ser esencial para promover iniciativas y asegurar los presupuestos necesarios.
Lección 5: La claridad triunfa sobre el volumen de datos
Lo que descubrimos: Los equipos de seguridad no necesitan más información: necesitan un mejor contexto para dar sentido a lo que ya tienen.
Takeaway clave: Cuando puede conectar el trabajo de seguridad con los resultados comerciales, las conversaciones con el liderazgo cambian fundamentalmente. Ya no se trata de métricas técnicas sino de protección comercial y continuidad.
Lección 6: La efectividad proviene del enfoque
Lo que descubrimos: Las organizaciones que implementan nuestro enfoque alineado por el negocio informaron mejoras de eficiencia dramática, y algunos reducen los esfuerzos de remediación en hasta un 96%.
Takeaway clave: La excelencia en la seguridad no se trata de hacer más, se trata de hacer lo que importa. Al centrarse en los activos que impulsan su negocio, puede lograr mejores resultados de seguridad con menos recursos y demostrar un valor claro para la organización.
Conclusión
El viaje a la seguridad efectiva no se trata de asegurar todo, sino de proteger lo que realmente impulsa su negocio. Al alinear los esfuerzos de seguridad con las prioridades comerciales, las organizaciones pueden lograr una protección más fuerte y operaciones más eficientes, transformando la seguridad de una función técnica en un habilitador comercial estratégico. ¿Quiere obtener más información sobre esta metodología? Echa un vistazo a mi seminario web reciente aquí y aprende cómo comenzar a proteger lo que más importa.
Lista de verificación de bonificación:
Comenzar: cómo asegurar sus activos críticos de su negocio
Paso 1: Identificar procesos comerciales críticos
□ Programe discusiones centradas en los líderes de la unidad de negocios para identificar procesos centrales de generación de ingresos
□ Revise cómo la empresa gana y gasta dinero para superficiales de alto valor operaciones
□ Crear una breve lista de procesos comerciales que causarían una interrupción significativa si se interrumpe
□ Documente estos procesos con descripciones claras de su importancia comercial
Paso 2: Mapa de procesos comerciales a la tecnología
□ Para cada proceso crítico, identifique los sistemas de soporte, bases de datos e infraestructura
□ Documente qué credenciales de administración y puntos de acceso protegen estos sistemas
□ Consulte con los propietarios de sistemas sobre dependencias y requisitos de recuperación
□ Compilar los hallazgos de CMDBS, documentos de arquitectura o entrevistas directas
Paso 3: Priorizar según el riesgo comercial
□ Identificar los puntos de estrangulamiento Los atacantes probablemente pasarían para alcanzar activos críticos
□ Evalúe qué exposiciones crean rutas directas a los sistemas críticos de negocios
□ Determine qué sistemas tienen los SLA o Windows de recuperación más ajustados
□ Crear una lista priorizada de exposiciones basada en el impacto comercial, no solo la gravedad técnica
Paso 4: convierte las ideas en acción
□ Enfoque los esfuerzos de remediación en exposiciones que afectan directamente los sistemas críticos empresariales
□ Desarrolle una comunicación clara sobre por qué estas prioridades son importantes en términos comerciales
□ Rastree el progreso basado en la reducción del riesgo a las funciones comerciales centrales
□ Presente los resultados al liderazgo en términos de protección comercial, no solo métricas técnicas
Pinchar la brecha entre los hallazgos técnicos y el liderazgo ejecutivo, como se destaca en las lecciones 4 y 5, es una de las habilidades más críticas para un CISO moderno. Para ayudarlo a dominar este diálogo esencial, ahora estamos ofreciendo nuestro curso práctico, «Riesgos de informes a la Junta», completamente gratuito. Este programa está diseñado para equiparlo con los marcos y el lenguaje necesarios para transformar sus conversaciones con el tablero y presentar con confianza la seguridad como una función comercial estratégica. Acceda al curso gratuito hoy y comience a construir una relación más fuerte con su equipo de liderazgo.
Nota: Este artículo fue escrito expertamente por Yaron Mazor, asesor principal de clientes en XM Cyber.
