El Futuro de la Ciberseguridad – Deloitte

El Futuro de la Ciberseguridad - Deloitte

Deloitte publicó su “Future of Cyber Survey” después de entrevistar a más de 500 ejecutivos C-suite responsables de la ciberseguridad en organizaciones que tienen ingresos de por lo menos $500 millones anuales. Revisaremos y haremos un resumen de los descubrimientos que encontramos en la encuesta en este blog.

Mientras que las organizaciones se enfocan en iniciativas de transformación digital, se dan cuenta que lo cibernético ha entrado a cada fase de los negocios, desde el diseño del producto, manufactura e incluso  el uso que le da el cliente. Lo cibernético es una responsabilidad que recae sobre toda la compañía y esto incluye a áreas como el Internet de las Cosas (IoT) y la nube. Con presupuestos y recursos finitos, los ejecutivos c-suite cibernéticos sienten que su reto más grande es la integración de las iniciativas de transformación cibernética. La capacidad de aplicar un alto nivel de estrategia y seguridad cibernética al igual que encargarse de la administración de la organización en su día a día ,lo cual podría ser exhaustiva incluso para los equipos cibernéticos más proficientes.

Los CSOs y CIOs descubrieron que la transformación cibernética es el reto más grande de la administración de ciberseguridad a través de la infraestructura de la empresa por un 35% y 34% respectivamente.

Las organizaciones se concentran sobre dos de los cinco núcleos del framework del Instituto Nacional de Estándares y Tecnología (NIST) – detectar, responder y recuperar – mientras que la ciberseguridad ocupa el tercer lugar. Esto deja muy por detrás a otras áreas, como la identidad y la Administración de Acceso.

Deloitte también descubrió que los presupuestos para la ciberseguridad están equitativamente distribuidos a través de todas las áreas, presuntamente para mitigar gastos. Con un 90% de respondientes reportando que los presupuestos de ciber-transformación son menores a 10%. Estos son presupuestos que serían utilizados en proyectos como migración en la nube, implementación Software Como un Servicio (SaaS), analíticas y Aprendizaje Automático “Machine Learning” (ML). Esto revela una brecha en la capacidad organizacional para cumplir con la demanda cibernética.

Sólo un 4% de los ejecutivos nivel-C de ciberseguridad dicen que la ciberseguridad se encuentra en su agenda una vez por mes durante las reuniones de la junta. Un 49% dicen que se encuentra en la agenda por lo menos una vez cada semestre.

Las juntas deberían considerar una mejor amalgamación de iniciativas de ciberseguridad dentro de las agendas con indicadores de desempeño clave para medir éxito.

De acuerdo a Deloitte:

“Para llevar a cabo la ejecución de un programa de riesgo cibernético, la administración ejecutiva necesita estructurar su equipo de liderazgo de ciberseguridad para llevar a cabo la comunicación e implementación de la seguridad a través de la empresa y tener la autoridad y experiencia para hacerlo. Esto es logrado típicamente cuando la función cibernética está representada en la C-Suite para que la mayor parte de la organización pueda entender mejor la prioridad e importancia de adoptar o crear una empresa cibersegura.”

Es importante asegurar que la función IT tenga un rol lo suficientemente senior para liderar con confianza las ciber-iniciativas con una perspectiva enfocada en estrategias y operaciones críticas a la ciber-transformación dentro de la organización. El rol del CISO tiene el poder de ser esto dentro de una organización, pero sólo un 4% de los respondientes dijeron que CISO se queda en la junta.

Un 32% de los respondientes dicen que CISO reporta al CEO. Un 19% dice que CISO reporta al CIO,

El entorno Cibernético usualmente se queda atascado bajo el IT y también podría reportar al CIO. La Seguridad IT es equivalente al entorno cibernético, pero usualmente no cumplen con la misma función. Esto quiere decir que el presupuesto cibernético usualmente recae dentro del presupuesto usado para el IT.

Esta podría ser la razón por la que estamos viendo resultados que usualmente el entorno cibernético no es prioridad. CISOs los dejan sin la capacidad de formar una estrategia y cambiar prioridad.

Un 50% de los CIOs dicen que la función outsourced más común del entorno cibernético son las operaciones de seguridad, y un 48% de los CISOs eligen una detección interna de amenazas.

Las sociedades son importantes para que las ciber-iniciativas tengan éxito, pero las decisiones erróneas y fallos por parte de terceras partes puede ser costoso. Por otro lado, mantener algunas funciones dentro de la organización podría salir caro. Administración de Identidad y Acceso, por ejemplo, es una de las cosas donde un 12% de los respondientes dijeron que hicieron outsource pero hay evidencia que sugiere que el outsourcing podría ahorrar mucho tiempo y costos de desarrollo.

Un 48% de los respondientes dicen que el reto más grande para aplicar la aplicación de riesgo de seguridad es “la falta de estructura organizacional apropiada  para permitir la integración de seguridad dentro del ciclo de vida del desarrollo de la aplicación”.

Deloitte dice:

“Mientras que la tendencia del DevSecOps ganaba impulso, más y más compañías hacían modelaje de amenazas, evaluación de riesgo, y componentes de automatización de eventos de seguridad fundamental de iniciativas de desarrollo de producto, de la ideación a la iteración, al lanzamiento, a las operaciones. El DevSecOps fundamentalmente transforma la administración cibernética y de riesgo de ser actividades basadas en cumplimiento – típicamente llevadas a cabo en el ciclo de vida del desarrollo – en mentalidades de encuadre a través del proceso del producto.”

La Administración de Identidad Privilegiada / Acceso Privilegiado fue posicionado como la prioridad más importante de las iniciativas de seguridad de identidad seguido por la autentificación Avanzada, incluyendo la autentificación de múltiple-factor (MFA) y autentificación basado en riesgo (RBA).

La cantidad gastada en Administración de Identidad y Acceso es proyectada para incrementar más rápido que cualquier otra medida de seguridad. Es la fundación de la economía digital y reconocida como un factor importante en la postura de seguridad.

Deloitte dice:

“Esto es también donde el cambio organizacional debe tomar lugar – en la experiencia del consumidor. La empresa ya no podrá relegar las identidades del consumidor para ser solamente administrados por las organizaciones de marketing y de ventas; la organización de seguridad también deberá tener una aportación para el consumidor y datos de terceras partes, acceso y cumplimiento.”

Un 35% de los respondientes posicionaron la integridad de datos como la amenaza más preocupante de ciber-seguridad.

Los entornos de hoy en día involucran datos con fidelidad y, por lo tanto, las organizaciones tienen que poner prioridad en los datos más sensibles de datos para asegurarlos. Entre más datos, más el cibercriminal querrá encontrar un punto débil y explotarlo. Un 90% de las organizaciones incluso experimentan divulgaciones de datos sensibles dentro del entorno de producción en el año pasado.

¿Qué Podemos Aprender de Esto?

Sin duda alguna si estás pensando en iniciar una nueva organización, usted tiene la oportunidad de “crecer una cultura con un enfoque en el diseño del entorno cibernético y su seguridad, con un framework de ciber-riesgo desde la incepción”. Para organizaciones ya existentes, la administración ejecutiva necesitará considerar cómo lograr resultados de negocios al replantear estrategias para los ciber-riesgos.