[09/05/2024] Dynatrace publicó su encuesta anual de CISO. El informe de este año, "El estado de la seguridad de las aplicaciones en el 2024", revela que las organizaciones están luchando con barreras de comunicación interna, que dificultan su capacidad para hacer frente a las amenazas de ciberseguridad. Los resultados indican que a los CISO les resulta difícil impulsar la alineación entre los equipos de seguridad y la alta dirección, lo que deja lagunas en la comprensión de la organización sobre el riesgo cibernético. Como resultado, se encuentran más expuestos a amenazas cibernéticas avanzadas, en un momento en que los ataques impulsados por IA están en aumento.
En el informe de este año, Dynatrace exploró estas brechas de comunicación para comprender mejor cómo un enfoque unificado de la observabilidad y la seguridad puede ayudar a los equipos a colaborar de manera más efectiva y reducir la exposición al riesgo.
"Los incidentes de ciberseguridad pueden tener consecuencias devastadoras para las organizaciones y sus clientes, por lo que el problema se ha convertido legítimamente en una preocupación crítica a nivel de la junta directiva", dijo Bernd Greifeneder, director de tecnología de Dynatrace, en el comunicado de prensa. "Sin embargo, muchos CISO están luchando para impulsar la alineación entre los equipos de seguridad y los altos ejecutivos porque no pueden elevar la conversación de bits y bytes a riesgos comerciales específicos. Los CISO necesitan urgentemente encontrar una manera de superar esta barrera, y crear una cultura de responsabilidad compartida para la ciberseguridad. Esto será fundamental para mejorar su capacidad de responder de manera efectiva a los incidentes de seguridad y minimizar su exposición al riesgo".
Entre las principales conclusiones se encuentran:
- La falta de alineación entre el nivel C y la junta directiva conduce a riesgos cibernéticos: Los CISO luchan por impulsar la alineación entre los equipos de seguridad y la alta dirección, y el 87% de los CISO dicen que la seguridad de las aplicaciones es un punto ciego a nivel del CEO y la junta directiva.
- Los equipos de seguridad son demasiado técnicos: Siete de cada diez ejecutivos de alto nivel entrevistados dicen que los equipos de seguridad hablan en términos técnicos sin proporcionar contexto de negocios. Sin embargo, el 75% de los CISO destacan que el problema tiene sus raíces en las herramientas de seguridad que no pueden generar información que los ejecutivos de nivel C y las juntas directivas puedan usar para comprender los riesgos comerciales y prevenir las amenazas.
- La IA está impulsando amenazas cibernéticas más avanzadas: Abordar esta brecha tecnológica y de comunicaciones es cada vez más crítico, ya que el aumento de los ataques impulsados por la IA y las amenazas cibernéticas aumentan significativamente el riesgo empresarial.
"En este contexto, casi tres cuartas partes (72%) de los CISO dicen que su organización ha experimentado un incidente de seguridad de aplicaciones en los últimos dos años. Estos incidentes conllevan un riesgo significativo, y los CISO destacan las consecuencias comunes que han experimentado, incluido el impacto en los ingresos (47%), las multas regulatorias (36%) y la pérdida de participación de mercado (28%)”, comentó el ejecutivo.
Los hallazgos adicionales de la investigación incluyen:
- La necesidad de impulsar un compromiso más estrecho entre los equipos de seguridad y la alta dirección es cada vez más importante a medida que el auge de la IA expone a las organizaciones a un riesgo adicional. Los CISO están preocupados por el potencial de la IA para permitir a los ciberdelincuentes crear nuevos exploits más rápido y ejecutarlos a mayor escala (52%). También les preocupa el potencial de la IA para permitir a los desarrolladores acelerar la entrega de software con menos supervisión, lo que genera más vulnerabilidades (45%).
- A medida que buscan una solución, el 83% de los CISO dicen que la automatización de DevSecOps es más importante para gestionar el riesgo de vulnerabilidades introducidas por la IA. Además, el 71% de los CISO afirman que la automatización de DevSecOps es fundamental para garantizar que se hayan tomado medidas razonables para minimizar el riesgo de seguridad de las aplicaciones.
- Otro 77% de los CISO dicen que las herramientas actuales, como las soluciones XDR y SIEM, no pueden gestionar la complejidad de la nube, ya que carecen de la inteligencia necesaria para impulsar la automatización a escala, y un 70% adicional de los CISO dicen que la necesidad de múltiples herramientas de seguridad de aplicaciones impulsa la ineficiencia operativa debido al esfuerzo necesario para dar sentido a fuentes dispares de datos.
"El creciente uso de la IA es un arma de doble filo, ya que crea ganancias de eficiencia tanto para los innovadores digitales como para aquellos que buscan romper sus defensas", continuó Greifeneder. "Por un lado, existe un mayor riesgo de que los desarrolladores introduzcan vulnerabilidades a través de código generado por IA que no ha sido probado adecuadamente y, por otro, los ciberdelincuentes pueden desarrollar ataques más automatizados y sofisticados para explotarlos. Para agregar más dolor, las organizaciones también deben cumplir con las leyes y regulaciones nuevas y emergentes, como las reglas de la SEC que requieren que las empresas públicas divulguen incidentes materiales de ciberseguridad dentro de los cuatro días hábiles posteriores a una determinación. Las organizaciones necesitan urgentemente modernizar sus herramientas y prácticas de seguridad para proteger sus aplicaciones y datos de las amenazas cibernéticas modernas y avanzadas. Creemos que los enfoques más eficaces se basarán en una plataforma unificada que impulse la automatización madura de DevSecOps y aproveche la IA para tratar con datos distribuidos a cualquier escala. Estas plataformas tendrán la capacidad de proporcionar información que toda la empresa puede respaldar y se puede utilizar para ayudar con el cumplimiento legal y regulatorio".
Este informe se basa en una encuesta global realizada a 1.300 CISO y diez entrevistas con CEOs y CFOs en empresas con más de mil empleados. Fue encargado por Dynatrace y dirigido por Coleman Parkes entre marzo y abril del 2024.
Franca Cavassa, CTOPerú