Los analistas exploran el futuro de la ciberseguridad en la Cumbre de Gartner sobre seguridad y gestión de riesgos, que se celebra los días 28 y 29 de marzo en Sídney.
El 50% de los directores de seguridad de la información (CISO) adoptarán un diseño centrado en el ser humano para reducir la fricción operativa de la ciberseguridad; las grandes empresas se centrarán en implantar programas de confianza cero; y la mitad de los líderes de ciberseguridad habrán intentado sin éxito utilizar la cuantificación del ciberriesgo para impulsar la toma de decisiones empresariales, según las principales predicciones sobre ciberseguridad reveladas por Gartner, Inc.
En el discurso de apertura de la Cumbre de Seguridad y Gestión de Riesgos de Gartner, celebrada en Sídney, Richard Addiscott, Senior Director Analyst, y Lisa Neubauer, Senior Director, Advisory de Gartner, analizaron las principales predicciones elaboradas por los expertos en ciberseguridad de Gartner para ayudar a los líderes en seguridad y gestión de riesgos a tener éxito en la era digital.
"No hay duda de que los CISO y sus equipos deben centrarse con láser en lo que está sucediendo hoy para garantizar que sus organizaciones sean lo más seguras posible", dijo Addiscott. Pero también necesitan sacar tiempo para levantar la vista de sus retos diarios y otear el horizonte para ver lo que se avecina y que podría afectar a sus programas de seguridad en los próximos dos años".
"Estas predicciones son una bengala de señal para algunas de esas cosas que vemos emerger y deben ser consideradas por cualquier CISO que busque construir un programa de ciberseguridad eficaz y sostenible."
Gartner recomienda que los líderes de ciberseguridad incorporen los siguientes supuestos de planificación estratégica en sus estrategias de seguridad para los próximos dos años.
- Hasta 2027, el 50% de los CISO adoptarán formalmente prácticas de diseño centradas en el ser humano en sus programas de ciberseguridad para minimizar la fricción operativa y maximizar la adopción de controles. La investigación de Gartner muestra que más del 90% de los empleados que admitieron haber llevado a cabo una serie de acciones inseguras durante sus actividades laborales sabían que sus acciones aumentarían el riesgo para la organización, pero lo hicieron de todos modos. El diseño de seguridad centrado en el ser humano se basa en el individuo -no en la tecnología, la amenaza o la ubicación- como centro del diseño y la implantación de controles para minimizar la fricción.
- En 2024, la normativa moderna sobre privacidad cubrirá la mayoría de los datos de los consumidores, pero menos del 10% de las organizaciones habrán conseguido convertir la privacidad en una ventaja competitiva. Las organizaciones están empezando a reconocer que un programa de privacidad puede permitirles un uso más amplio de los datos, diferenciarse de la competencia y generar confianza con clientes, socios, inversores y reguladores. Gartner recomienda a los líderes en seguridad que apliquen una norma de privacidad integral en línea con el GDPR para diferenciarse en un mercado cada vez más competitivo y crecer sin obstáculos.
- En 2026, el 10 % de las grandes empresas contará con un programa integral, maduro y medible de confianza cero, frente a menos del 1 % en la actualidad. Una implantación madura y generalizada de la confianza cero exige la integración y configuración de múltiples componentes diferentes, lo que puede llegar a ser bastante técnico y complejo. El éxito depende en gran medida de la traducción al valor empresarial. Empezar poco a poco, con una mentalidad de confianza cero en constante evolución, facilita comprender mejor las ventajas de un programa y gestionar parte de la complejidad paso a paso.
- En 2027, el 75% de los empleados adquirirá, modificará o creará tecnología fuera de la visibilidad de TI, frente al 41% en 2022. El papel y el ámbito de responsabilidad de los CISO está pasando de ser propietarios del control a facilitadores de la toma de decisiones sobre riesgos. Reformular el modelo operativo de ciberseguridad es clave para los cambios que se avecinan. Gartner recomienda pensar más allá de la tecnología y la automatización para comprometerse a fondo con los empleados para influir en la toma de decisiones y asegurarse de que tienen los conocimientos adecuados para hacerlo de manera informada.
- Para 2025, el 50% de los líderes en ciberseguridad habrán intentado, sin éxito, utilizar la cuantificación del ciberriesgo para impulsar la toma de decisiones de la empresa. La investigación de Gartner indica que el 62% de los que adoptan la cuantificación del riesgo cibernético citan ganancias suaves en credibilidad y conciencia del riesgo cibernético, pero sólo el 36% han logrado resultados basados en la acción, incluyendo la reducción del riesgo, el ahorro de dinero o la influencia real en la toma de decisiones. Los responsables de seguridad deben centrarse en la cuantificación que piden los responsables de la toma de decisiones, en lugar de producir análisis autodirigidos que tienen que persuadir a la empresa para que se interese por ellos.
- Para 2025, casi la mitad de los líderes de ciberseguridad cambiarán de trabajo, el 25% por funciones totalmente diferentes debido a múltiples factores de estrés relacionados con el trabajo. Acelerados por la pandemia y la escasez de personal en todo el sector, los factores de estrés laboral de los profesionales de la ciberseguridad están aumentando y se están volviendo insostenibles. Gartner sugiere que, aunque eliminar el estrés es poco realista, las personas pueden gestionar trabajos difíciles y estresantes en culturas en las que reciben apoyo. Cambiar las reglas del juego para fomentar cambios culturales será de gran ayuda.
- Para 2026, el 70% de los consejos de administración incluirán un miembro con experiencia en ciberseguridad. Para que los líderes en ciberseguridad sean reconocidos como socios empresariales, necesitan reconocer el apetito de riesgo de la junta directiva y de la empresa. Esto significa no sólo mostrar cómo el programa de ciberseguridad evita que ocurran cosas desfavorables, sino cómo mejora la capacidad de la empresa para asumir riesgos de forma eficaz. Gartner recomienda a los CISO que se adelanten al cambio para promover y apoyar la ciberseguridad ante la junta directiva y establecer una relación más estrecha para mejorar la confianza y el apoyo.
- Hasta 2026, más del 60% de las capacidades de detección, investigación y respuesta ante amenazas (TDIR) aprovecharán los datos de gestión de la exposición para validar y priorizar las amenazas detectadas, frente a menos del 5% en la actualidad. A medida que las superficies de ataque de las organizaciones se expanden debido al aumento de la conectividad, el uso de SaaS y las aplicaciones en la nube, las empresas requieren una gama más amplia de visibilidad y un lugar central para supervisar constantemente las amenazas y la exposición. Las capacidades TDIR proporcionan una plataforma unificada o un ecosistema de plataformas donde se pueden gestionar la detección, la investigación y la respuesta, ofreciendo a los equipos de operaciones de seguridad una imagen completa del riesgo y del impacto potencial.
Cumbre de Gartner sobre seguridad y gestión de riesgos
Los analistas de Gartner presentarán las últimas investigaciones y consejos para los responsables de seguridad y gestión de riesgos en la Cumbre de Gartner sobre Seguridad y Gestión de Riesgos que se celebrará en Sídney los días 28 y 29 de marzo. Las próximas fechas y lugares de las Cumbres de Gartner sobre Seguridad y Gestión de Riesgos son del 5 al 7 de junio en National Harbor, MD, del 26 al 28 de julio en Tokio y del 26 al 28 de septiembre en Londres.
(Gartner)