El estado del mercado de la ciberseguridad: de dónde venimos, adónde vamos
Hay una tendencia interesante que he notado personalmente en los últimos años: las organizaciones están empezando a tomarse la ciberseguridad más en serio. Con la multitud de violaciones de datos de alto perfil, las organizaciones están comenzando a darse cuenta de que la ciberseguridad es un riesgo importante para el negocio. Esto permite que los CISO y otros títulos similares con responsabilidades de liderazgo tengan un mayor presupuesto para personas, mejoras de procesos y tecnologías de apoyo.
Maximizando sus inversiones en ciberseguridad
Obviamente, las organizaciones pueden destinar su presupuesto a muchas iniciativas diferentes con la esperanza de mejorar su postura general de seguridad digital. Pero no todas las inversiones son iguales. Incluso las inversiones mejor intencionadas podrían no mejorar de manera tangible la postura de seguridad de toda la empresa si se dirigen a la iniciativa equivocada.
Dicho esto, la clave para que las organizaciones avancen es invertir de manera inteligente en lugar de gastar en la solución milagrosa potencial más reciente. No hay balas de plata en seguridad. Más bien, comienza con un fuerte enfoque en los conceptos básicos de ciberseguridad, como saber qué activos hay en su red, garantizar que estén configurados de forma segura y confirmar que el riesgo de vulnerabilidad se mitiga y soluciona. Una vez que esta base esté en su lugar y funcione de manera eficiente, las organizaciones pueden pasar a capacidades más avanzadas de detección y búsqueda de amenazas.
Los obstáculos: actual y futuro
Establecer una base de seguridad sólida no está exento de obstáculos. Al igual que cualquier deporte o actividad, tener una sólida comprensión de los fundamentos es lo que lleva al éxito. Sin embargo, la mayoría de las veces, al personal y a los estudiantes se les enseña cómo entrar en cosas o detectar cosas antes de que se les enseñe cómo mantenerse actualizado con un inventario de activos mientras se asegura que se mitigue el riesgo de vulnerabilidad y que las configuraciones de esos sistemas permanezcan seguras.
Las organizaciones deben poder asociarse con expertos de la industria y sus socios proveedores para garantizar que su personal se mantenga actualizado sobre los matices de la gestión de riesgos. A veces, la mejor solución no es remediar todo el riesgo. Más bien, se trata de lo que proporcionará el mayor retorno de la inversión y al mismo tiempo podrá absorber el efecto de no mitigar ciertos riesgos.
También existe el problema de que los conceptos básicos de seguridad no son fáciles solo porque son simples. Por ejemplo, garantizar que una organización tenga un inventario actualizado de activos y aplicaciones puede ser una tarea abrumadora a medida que evolucionan las empresas. Constantemente se desarrollan y actualizan nuevas aplicaciones mientras se expande la infraestructura.
Esto significa que los dispositivos que podrían representar un riesgo para la seguridad de la organización están aumentando en número y variedad. Como tal, el equipo de seguridad debe asegurarse de que exista un proceso que permita que la empresa se mantenga ágil al tiempo que garantiza que los nuevos riesgos se mitiguen y se mantengan bajo control.
Creación de un equipo de seguridad calificado
Por supuesto, un equipo de seguridad no puede simplemente asegurarse de que está mitigando los riesgos y manteniéndolos bajo control si no cuenta con miembros del equipo capacitados y competentes. Las organizaciones deben centrarse en crear un equipo de seguridad cualificado. Muchas organizaciones ya lo saben. Por lo tanto, no sorprende que la búsqueda de buenos talentos haya dado lugar a un mercado muy competitivo para los expertos de la industria que son buenos en lo que hacen.
Lo mejor de la ciberseguridad es que uno no necesariamente tiene que tener experiencia en seguridad de la información para tener una gran carrera en ciberseguridad. Algunas de las mejores personas con las que he trabajado tenían títulos completamente ajenos o no tenían ningún título universitario.
El punto es que los antecedentes de uno no limitan el éxito en ciberseguridad. Simplemente se necesita una comprensión general de los conceptos clave, un pensamiento innovador y un impulso para el éxito. Con eso, uno puede tener una carrera en seguridad cibernética que sea de naturaleza técnica o completamente no técnica. Comprender el riesgo que plantea la seguridad cibernética junto con la forma en que encaja en los riesgos generales para el negocio puede ayudar a las personas no técnicas a tener carreras largas y prósperas en el campo de la seguridad cibernética.
Evaluación de la postura de seguridad cibernética de su organización para el futuro
Entonces, ¿dónde nos deja todo lo anterior?
Todos sabemos que una violación de datos significativa relacionada con una respuesta deficiente a un incidente puede conducir a una mala valoración de las empresas, incluso si esta valoración no es permanente. Toda organización tendrá incidentes. La pregunta principal es cómo responderán a ellos. Los inversores han demostrado que contener un incidente en correlación con una respuesta adecuada no perjudica necesariamente la valoración de una empresa. La parte más complicada es evaluar cuándo una organización está funcionando bien. Una valoración no necesariamente aumentará porque las organizaciones están haciendo un buen trabajo en ciberseguridad. Más bien, una respuesta adecuada evitará que la valoración baje cuando ocurra una infracción.
Una de las formas en que las organizaciones pueden garantizar que su valoración no baje es invirtiendo en soluciones que faciliten a las organizaciones la implementación de controles de seguridad fundamentales. Estas herramientas deberían facilitar a las organizaciones la gestión de sus configuraciones seguras, vulnerabilidades y activos, al mismo tiempo que maximizan el tiempo y los recursos de su equipo de seguridad existente. Para obtener más información, haga clic aquí.