El 61% de los líderes de seguridad informaron que sufrieron una violación debido a controles fallidos o mal configurados en los últimos 12 meses. Esto a pesar de tener un promedio de 43 herramientas de ciberseguridad en su lugar.
Esta tasa masiva de falla de seguridad claramente no es un problema de inversión de seguridad. Es un problema de configuración. Las organizaciones comienzan a comprender que un control de seguridad instalado o implementado no es necesariamente un control de seguridad configurado para defenderse de las amenazas del mundo real.
El informe reciente de Gartner®, Reduzca la exposición de amenazas con la optimización de controles de seguridad, aborda la brecha entre la intención y el resultado. Sentimos que discute una verdad dura: sin validación y ajuste continuos, las herramientas de seguridad ofrecen una falsa sensación de, bueno, de seguridad.
En este artículo, nos sumergiremos profundamente por qué la efectividad del control debería ser el nuevo punto de referencia para el éxito de la ciberseguridad y cómo las organizaciones pueden hacer este cambio.
El mito de la cobertura de herramientas
Comprar más herramientas se ha considerado durante mucho tiempo la clave para el rendimiento de la ciberseguridad. Sin embargo, los hechos cuentan una historia diferente. Según el informe de Gartner, «la configuración errónea de los controles de seguridad técnica es una causa principal del éxito continuo de los ataques».
Muchas organizaciones tienen inventarios impresionantes de firewalls, soluciones de punto final, herramientas de identidad, SIEM y otros controles. Sin embargo, las violaciones continúan porque estas herramientas a menudo están mal configuradas, mal integradas o desconectadas de los riesgos comerciales reales.
Por ejemplo, en la violación de 2024 en Blue Shield of California, una configuración errónea del sitio web condujo a datos personales de 4.7 millones de miembros que se filtraban a través de Google ADS. Esta falla reveló cómo incluso las herramientas cotidianas, si se implementan o configuran incorrectamente, pueden socavar la seguridad y el cumplimiento de la organización.
Sin embargo, cerrar la brecha entre la presencia de herramientas de seguridad y su eficacia requiere un cambio fundamental en el pensamiento y un cambio aún más fundamental en la práctica.
Hacer el cambio organizacional para controlar la efectividad
Avanzar hacia la verdadera efectividad de control toma más que unos pocos ajustes técnicos. Requiere un cambio real, en la mentalidad, en la práctica diaria y en cómo los equipos en toda la organización trabajan juntos. El éxito depende de asociaciones más fuertes entre equipos de seguridad, propietarios de activos, operaciones de TI y líderes empresariales. Los propietarios de activos, en particular, aportan conocimiento crítico a la tabla: cómo se construyen sus sistemas, donde viven los datos confidenciales y qué procesos son demasiado importantes para fallar.
Apoyar esta colaboración también significa repensar cómo entrenamos a los equipos. Los profesionales de la seguridad necesitan más que habilidades técnicas: necesitan una comprensión más profunda de los activos que están protegiendo, los objetivos comerciales que apoyan esos activos y las amenazas del mundo real que podrían afectarlos.
Y no se trata solo de un mejor trabajo en equipo o mejor entrenamiento. Las organizaciones también necesitan mejores formas de medir si sus controles realmente están haciendo el trabajo. Ahí es donde entran las métricas impulsadas por los resultados (ODM) y los acuerdos de nivel de protección (PLA). Los ODM muestran cuán rápido se arreglan las configuraciones erróneas y cuán confiablemente verdaderas amenazas se detectan. Las PLA establecen expectativas claras sobre cómo las defensas deberían funcionar con riesgos específicos.
Juntos, estas mediciones mueven la seguridad de una cuestión de confianza a una cuestión de prueba. Ayudan a las organizaciones a desarrollar la resiliencia que puedan medir, administrar y mejorar con el tiempo.
La optimización continua es la nueva normalidad
Medir la efectividad de la seguridad es un primer paso crítico, pero mantenerlo es donde comienza el verdadero desafío. Los controles de seguridad no son estáticos. Necesitan un ajuste regular para mantenerse efectivos a medida que evolucionan las amenazas y las empresas cambian. Como dice Gartner, «la configuración óptima de los controles de seguridad técnica es un objetivo móvil, no una configuración o una configuración predeterminada».
Los equipos que tratan la configuración como un proyecto único se están configurando para quedarse atrás. Surgen nuevas vulnerabilidades, los atacantes cambian sus tácticas y los entornos en la nube evolucionan más rápido de lo que cualquier auditoría anual puede mantenerse al día. En este entorno, parchear sistemas una vez por trimestre o revisar la configuración una vez al año simplemente no es suficiente. La optimización continua debe formar parte del día a día.
Eso significa que sea un hábito retroceder y hacer las preguntas difíciles: ¿nuestros controles siguen protegiendo lo que más importa? ¿Están nuestras reglas de detección sintonizadas con las amenazas que enfrentamos hoy? ¿Nuestras medidas compensatorias siguen cerrando los huecos correctos, o se han alejado de sincronización?
Mantener las defensas agudas no se trata solo de aplicar actualizaciones técnicas. Se trata de integrar la inteligencia de amenazas del mundo real, reevaluar las prioridades de riesgo y asegurar que los procesos operativos fortalezcan la seguridad, no introduciendo nuevas debilidades. La efectividad de la seguridad no es una casilla que verifica una vez. Es algo que construyes, prueba y refina, una y otra vez.
Construir para efectividad: lo que necesita cambiar
Hacer que los controles de seguridad sean realmente efectivos exigen un cambio más amplio en la forma en que las organizaciones piensan y trabajan. La optimización de seguridad debe integrarse en cómo se diseñan, operan y mantienen los sistemas, no se tratan como una función separada.
Gartner señala que «ningún equipo de seguridad puede ser completamente efectivo de forma aislada». En opinión de XM Cyber, esto significa que la seguridad debe convertirse en un deporte de equipo. Las organizaciones necesitan construir equipos interfuncionales que reúnan a los ingenieros de seguridad, operaciones de TI, propietarios de activos y partes interesadas comerciales. La optimización efectiva depende de la comprensión no solo de cómo funcionan los controles, sino de qué están protegiendo, cómo se comportan esos sistemas y dónde se encuentran los riesgos comerciales reales.
Alinear los esfuerzos de control de seguridad con un programa de gestión de exposición continua más amplio también ayuda a construir una forma repetible y estructurada de mejorar con el tiempo. En lugar de reaccionar a los huecos después de una violación, las organizaciones pueden identificar proactivamente las debilidades, los controles de ajuste fino y medir el progreso contra la reducción de riesgos reales, no solo la cobertura teórica. (¿Quiere obtener más información sobre cómo construir una plataforma de gestión de exposición continua? ¡Lea nuestra guía aquí!)
El resultado final
La seguridad nunca ha sido simplemente tener las herramientas adecuadas. Se trata de comprender si esas herramientas están listas para las amenazas que más importan. Cerrar la brecha entre la presencia de control y la efectividad del control exige más que las soluciones técnicas. Requiere un cambio en cómo las organizaciones piensan, trabajan y miden el éxito.
En nuestra opinión, esta nueva investigación de Gartner deja en claro el mensaje: las defensas estáticas no seguirán el ritmo de los riesgos dinámicos. Las organizaciones que adoptan la optimización continua (controles de ajuste, validan el rendimiento y la alineación de la seguridad con prioridades comerciales reales) serán las que se mantienen resistentes.
Estarse quieto se está quedando atrás, al menos en lo que respecta a la ciberseguridad. El futuro pertenece a las organizaciones que tratan la seguridad como un sistema de vida, medido, sintonizado y probado todos los días.
Nota: Este artículo fue escrito por expertos y contribuido por Dale Fairbrother, director de marketing de productos en XM Cyber.
