“¿Estás tratando de garantizar la seguridad de tus equipos de trabajo remotos pero no quieres obstaculizar la productividad del negocio?” “¿Tienes dificultades para identificar los riesgos y las carencias en las capacidades de seguridad?” “¿En qué deberían centrar su tiempo y recursos los directores de seguridad de la información?”

Los expertos en seguridad y gestión del riesgo se hacen constantemente estas preguntas, pero la verdadera pregunta que deberían hacerse es qué proyectos impulsarán el mayor valor comercial y reducirán el riesgo para la organización en un panorama de seguridad en constante cambio.

“Dedicamos demasiado tiempo valioso a sobreanalizar las decisiones que tomamos en materia de seguridad, esforzándonos por alcanzar esta noción de protección perfecta que simplemente no existe”, afirmó Brian Reed, director analista sénior, durante el Security & Risk Management Summit virtual de Gartner de 2020. “Debemos mirar más allá de las decisiones básicas en cuanto a protección y mejorar la resiliencia de la organización a través de enfoques innovadores para la detección y la respuesta y, en última instancia, la recuperación de los incidentes de seguridad”.

La clave reside en dar prioridad a la habilitación de negocios y reducir el riesgo, y comunicar esas prioridades de forma eficaz a la empresa.

Los 10 principales proyectos de seguridad de este año, que se basan en las previsiones de Gartner y se han ajustado a causa del impacto de la COVID-19, incluyen ocho nuevos proyectos, centrados en gran medida en la gestión del riesgo y la comprensión de fallas de los procesos. Estos proyectos, que no se enumeran en orden de importancia, pueden ejecutarse de forma independiente.

N.º 1: Garantizar la seguridad de los equipos de trabajo remotos

Céntrate en los requisitos comerciales y comprende cómo los usuarios y los grupos acceden a los datos y las aplicaciones. Ahora que ya han pasado unos meses desde el inicio del teletrabajo, es el momento de evaluar las necesidades y revisar lo que ha cambiado para determinar si los niveles de acceso son los correctos y si alguna medida de seguridad está en realidad obstaculizando el trabajo.

N.º 2: Gestión de las vulnerabilidades basadas en los riesgos

No pretendas arreglarlo todo; céntrate en las vulnerabilidades que son realmente explotables. No te limites a realizar una evaluación masiva de las amenazas y utiliza la información sobre amenazas, la actividad de los atacantes y la importancia de los activos internos para ofrecer una mejor visión del riesgo real para la organización.

N.º 3: Detección y respuesta extendidas (XDR)

XDR es una plataforma unificada de seguridad y respuesta a incidentes que recoge y correlaciona datos de múltiples componentes patentados. La integración a nivel de plataforma se produce en el momento de la implantación en lugar de añadirse posteriormente, lo cual consolida varios productos de seguridad en uno solo y puede ayudar a proporcionar mejores resultados de seguridad en general. Por ello, las organizaciones deberían considerar el uso de esta tecnología para simplificar y agilizar la seguridad.

N.º 4: Gestión de la postura de seguridad de la nube

Las compañías deben garantizar la existencia de controles comunes en Internet como servicio (Internet as a Service, IaaS) y en la plataforma como servicio (Platform as a Service, PaaS), así como respaldar las evaluaciones y correcciones automatizadas. Las aplicaciones en la nube son extremadamente dinámicas y necesitan un estilo de seguridad DevSecOps automatizado, puesto que puede ser todo un reto asegurar la nube pública sin un medio que garantice la uniformidad de las políticas entre los enfoques de seguridad de la nube.

N.º 5: Simplifica los controles de acceso a la nube

Los controles de acceso a la nube suelen realizarse a través de un CASB. Ofrecen cumplimiento en tiempo real a través de un proxy en línea que puede proporcionar cumplimiento de políticas y bloqueo activo. Los CASB también ofrecen flexibilidad, por ejemplo, al comenzar en modo de supervisión para garantizar mejor la fidelidad del tráfico y comprender el acceso de seguridad.

N.º 6: DMARC

Las organizaciones utilizan el correo electrónico como única fuente de verificación y los usuarios tienen dificultades para distinguir los mensajes reales de los falsos. DMARC, o autenticación, notificación y conformidad de mensajes basados ​​en dominio, es una política de autenticación del correo electrónico. No representa una solución total para la seguridad del correo electrónico, y debe formar parte de un enfoque de seguridad integral. Sin embargo, puede ofrecer una capa adicional de confianza y verificación con el dominio del remitente. Además, DMARC puede ayudar con la suplantación de dominios, pero no resolverá todos los problemas de seguridad del correo electrónico.

N.º 7: Autenticación sin contraseña

Si bien es posible que los empleados no se lo piensen dos veces a la hora de utilizar la misma contraseña para su ordenador de trabajo que para el correo electrónico personal, hay que tener en cuenta que esto puede causar importantes problemas de seguridad. La autenticación sin contraseña, que puede funcionar de diferentes maneras, ofrece una mejor solución para la seguridad. El objetivo debe ser aumentar la confianza y mejorar la experiencia del usuario.

N.º 8: Clasificación y protección de datos

No todos los datos son iguales. Un enfoque de seguridad único para todos creará áreas de demasiada seguridad y otras de muy poca, aumentando el riesgo para la organización. Comienza con políticas y definiciones para conseguir el proceso correcto antes de comenzar a incorporar las tecnologías de seguridad.

N.º 9: Evaluación de las competencias del personal

Sitúa a las personas adecuadas con las competencias adecuadas en los puestos adecuados. Combinar unas habilidades técnicas “duras” con habilidades interpersonales “blandas”, como dotes de liderazgo, es fundamental, pero supone todo un reto. No existen los candidatos perfectos, pero sí puedes identificar cinco o seis competencias esenciales para cada proyecto. Evalúa las competencias de diversas formas, como, por ejemplo, mediante cibersimulaciones y evaluaciones de habilidades de carácter interpersonal.

N.º 10: Automatización de las evaluaciones de riesgos de seguridad

Esta es una forma de ayudar a los equipos de seguridad a comprender los riesgos relacionados con las operaciones de seguridad, los nuevos proyectos o el riesgo a nivel de programa. La evaluación de riesgos tiende a omitirse por completo o realizarse de forma limitada. Estas evaluaciones permitirán una automatización limitada de los riesgos y una visibilidad de dónde existen brechas de riesgo.