Procesia

14.02.2025 / Noticias

El experto John Edwards sugiere: 7 consejos para mejorar el retorno de la inversión en ciberseguridad

El experto John Edwards sugiere: 7 consejos para mejorar el retorno de la inversión en ciberseguridad

El prestigioso periodista John Edwards, en un artículo en Computerworld, ofrece siete consejos para mejorar el retorno de la inversión (ROI) en ciberseguridad. En primer lugar, recomienda evaluar los riesgos y priorizar, identificando las amenazas específicas de la organización para asignar los recursos de manera eficiente. Luego, sugiere implementar controles de seguridad efectivos que aborden las amenazas más críticas, reduciendo la probabilidad de incidentes.

John Edwards también destaca la importancia de capacitar al personal, invirtiendo en formación continua para que los empleados reconozcan y respondan adecuadamente a las amenazas. Además, propone automatizar procesos de seguridad mediante herramientas que mejoren la eficiencia y reduzcan errores humanos.

Es fundamental, según John Edwards, monitorear y analizar continuamente para detectar y responder rápidamente a incidentes. Otro consejo que lanza es colaborar con terceros, como proveedores y socios para compartir información sobre amenazas y fortalecer la seguridad en conjunto. Asimismo, John Edwards subraya la necesidad de medir y ajustar las estrategias de ciberseguridad regularmente, evaluando el desempeño de las iniciativas y realizando ajustes según sea necesario. Estos consejos buscan optimizar la inversión en ciberseguridad, garantizando una protección efectiva y eficiente contra las amenazas digitales.

Con más detalle, John Edwards apunta que para mejorar el retorno de la inversión (ROI) en ciberseguridad, es clave centrarse en estrategias que maximicen la protección sin afectar la eficiencia económica. Los CISO enfrentan desafíos constantes para obtener financiación y gestionar recursos limitados sin comprometer la seguridad. Para optimizar las inversiones, deben priorizar acciones como realizar evaluaciones de riesgos basadas en escenarios, aprovechando la inteligencia artificial para automatizar tareas repetitivas y mejorar la detección de amenazas. Además, invertir en la formación continua de los empleados puede reducir errores humanos y prevenir incidentes costosos.

Otro punto importante es la implementación de soluciones de seguridad integradas para simplificar la gestión de herramientas y mejorar la visibilidad de las amenazas. También es necesario fomentar una cultura de seguridad dentro de la empresa, donde todos los empleados sean responsables de la protección. Los CISO deben evaluar los proveedores de terceros y gestionar el riesgo de la cadena de suministro, ya que las amenazas externas son una preocupación creciente. Por último, es esencial medir y demostrar el valor de las inversiones mediante métricas claras que justifiquen más inversiones en ciberseguridad y resalten su impacto positivo en la seguridad del negocio.

Invertir en automatización

Se ha demostrado que la automatización es muy útil para mejorar el retorno de la inversión en ciberseguridad, tanto en seguridad mejorada como en ahorro de resultados. Jon Taylor, director y responsable de seguridad de Versa Networks, proveedor de tecnología SASE y SD-WAN, cree firmemente en AIOps, una práctica que utiliza inteligencia artificial y aprendizaje automático para mejorar y automatizar numerosas operaciones de TI, incluida la seguridad.

Taylor asegura que las AIOps pueden, por ejemplo, mejorar mucho el rendimiento de las operaciones de seguridad, ya que prioriza los incidentes críticos y presenta la causa más relevante como punto de partida para cualquier investigación. “Cuando se integran en la infraestructura y los flujos de trabajo, se puede medir la respuesta a los incidentes en segundos y minutos en lugar de horas y días”.

Calcular el impacto financiero de las ciberamenazas

Joyce Harkness, directora de ISG, subraya que el retorno de la inversión en ciberseguridad no debe evaluarse solo en términos de ahorro de costes, eficiencias o aumento de ingresos. Afirma que la ciberseguridad tiene como objetivo hacer el uso de la tecnología menos arriesgado tanto para empresas como para individuos. Para tomar decisiones informadas y estratégicas, es fundamental usar métricas precisas que permitan identificar tendencias y compararse con la competencia.

Harkness recomienda adoptar un enfoque de cuantificación del riesgo cibernético (CRQ), que facilita a los líderes entender y traducir los riesgos cibernéticos en términos financieros. Este enfoque atrae la atención de los directivos, ya que ofrece métricas claras y accesibles, esenciales para gestionar las inversiones en ciberseguridad en un entorno empresarial dinámico. Según Harkness, el CRQ ayuda a perfeccionar las estrategias de seguridad, maximizando la eficacia del uso de recursos limitados y, como resultado, mejorando los resultados empresariales.

Realizar evaluaciones de riesgos basadas en escenarios

Or Klier, socio y director general de Boston Consulting Group, propone un enfoque poco utilizado pero eficaz para mejorar el retorno de la inversión (ROI) en ciberseguridad: desarrollar evaluaciones de riesgos cuantitativas basadas en distintos escenarios. Klier destaca que este enfoque permite a la empresa optimizar su cartera de iniciativas de ciberseguridad, asegurando que cada dólar invertido contribuya directamente a reducir el riesgo. Además, mejora la capacidad de priorizar iniciativas que aborden riesgos específicos, optimizando la distribución de recursos.

Vanessa Lyon, directora general de Boston Consulting Group, complementa esta idea, señalando que la evaluación de riesgos basada en escenarios mejora la eficacia de las decisiones al identificar y cuantificar el impacto financiero de los riesgos. Según Lyon, este enfoque vincula las iniciativas de ciberseguridad con los resultados empresariales, lo que asegura que las decisiones se tomen en función de los riesgos, y no solo para cumplir con las normativas. Además, combina una evaluación detallada de los activos críticos con estrategias empresariales globales, abordando tanto los riesgos específicos como los sistémicos. Este enfoque integral permite a las organizaciones gestionar los riesgos de manera más estratégica y eficaz, mejorando el ROI en ciberseguridad.

Aunar recursos de seguridad con socios del sector

Steve Tcherchian, CISO de XYPRO.com, aconseja aprovechar las redes de intercambio de inteligencia sobre amenazas dentro del sector de la empresa para defenderse de manera proactiva contra amenazas emergentes dirigidas a ese sector específico. Según Tcherchian, las empresas pueden mitigar los riesgos de manera más rentable al abordar estos problemas de forma colaborativa en lugar de aisladamente. Destaca que compartir recursos e información, como lo hacen las empresas de servicios financieros, permite reforzar las defensas colectivas.

Tcherchian subraya que compartir inteligencia y recursos no solo brinda alertas tempranas sobre amenazas y vulnerabilidades del sector, sino que también permite a las empresas preparar sus defensas antes de que ocurran ataques. Este enfoque colaborativo no solo mejora la preparación general, sino que reduce la duplicación de esfuerzos y distribuye el coste de la inteligencia a lo largo de la red del sector, optimizando los recursos.

Para implementar este enfoque, Tcherchian recomienda unirse a grupos de intercambio de información específicos del sector, como los promovidos por el Consejo Nacional de ISAC, o crear consorcios privados con compañeros de confianza. Además, sugiere integrar la inteligencia compartida en los sistemas SIEM (gestión de eventos e información de seguridad) o sistemas de detección de amenazas, lo que permite activar alertas y respuestas automatizadas. Esto no solo fortalece las defensas de la empresa, sino que también mejora la capacidad de respuesta frente a las amenazas cibernéticas de manera más eficiente y coordinada.

Que la IA se encargue de las tareas rutinarias

Nikhil Sarnot, director general de la unidad de seguridad de Accenture, resalta que la IA generativa es una herramienta clave para mejorar el retorno de la inversión (ROI) en ciberseguridad, ya que automatiza tareas operativas y repetitivas con velocidad, coherencia y escalabilidad. Según Sarnot, la IA generativa puede reducir costos entre un 30% y un 50% al reemplazar tareas manuales como la clasificación de amenazas, las revisiones de vulnerabilidad del código y la supervisión del cumplimiento normativo, lo que permite a los profesionales de ciberseguridad centrarse en tareas más estratégicas.

A diferencia de las técnicas tradicionales, que requieren datos estructurados, la IA generativa maneja datos no estructurados, lo que mejora la eficiencia y permite a los equipos de seguridad abordar de manera más efectiva los riesgos cibernéticos y el modelado de amenazas. Sarnot sugiere empezar gradualmente con la automatización de flujos de trabajo de alta demanda de recursos, utilizando herramientas como runbooks, y luego expandir a tareas más complejas, como el análisis de código para detectar riesgos.

El éxito de la adopción de la IA generativa depende de una integración fluida con las herramientas y flujos de trabajo existentes, manteniendo siempre una supervisión humana. Sarnot advierte que, aunque la IA generativa tiene un gran potencial, aún está en las primeras etapas de adopción en ciberseguridad, por lo que recomienda una implementación cautelosa.

Proactividad

Tia Hopkins, directora de ciberresiliencia de eSentire, defiende la gestión continua de la exposición a amenazas (CTEM) como un enfoque proactivo en ciberseguridad que permite identificar, priorizar y mitigar de manera constante las amenazas, alineando los esfuerzos de seguridad con los objetivos empresariales. Según Hopkins, el CTEM utiliza datos y validación continua para optimizar la reducción de riesgos y mejorar la eficacia de las inversiones en seguridad.

Este enfoque también mejora la comunicación entre áreas de la organización y ayuda a priorizar recursos al centrarse en los riesgos más críticos. Hopkins describe el proceso de adopción del CTEM en cinco etapas: alcance (definir objetivos y activos), descubrimiento (mapear exposiciones y vulnerabilidades), priorización (centrarse en riesgos críticos usando métricas basadas en datos), validación (verificar la eficacia de los controles) y movilización (integrar los hallazgos en flujos de trabajo automatizados).

Ingeniero de FinOps

Richard Marcus, director de seguridad de la información de AuditBoard, destaca la importancia de los ingenieros de FinOps (finanzas operativas) para optimizar los costes en áreas clave de la empresa. Estos ingenieros son expertos en la optimización de licencias, la negociación con proveedores y, especialmente, en la eliminación de duplicaciones en la cartera de soluciones, lo que permite reducir gastos innecesarios y garantizar que solo se utilicen las soluciones más necesarias y rentables.

Además, Marcus señala que los ingenieros de FinOps pueden identificar formas de ahorro mediante la migración a servicios y recursos más rentables y adecuados para la protección de la organización. La mayoría de los costes de seguridad están relacionados con la infraestructura de la empresa, y la escala de esta infraestructura juega un papel clave en los costes asociados.

Según Marcus, dimensionar correctamente la infraestructura no solo reduce los costes de la infraestructura en sí, sino también los costes de las soluciones de seguridad necesarias para protegerla, como los firewalls de aplicaciones web (WAF) y los sistemas de detección de intrusos (IDS). Los ingenieros de FinOps, además de reducir costes, también aseguran que cada inversión en seguridad esté alineada con las necesidades reales y optimizada para maximizar el retorno de la inversión.

John Edwards sugiere, de esta manera, una serie de acciones para que empresas e instituciones mejoren su seguridad en el ciberespacio, una labor en la que Procesia siempre está dispuesta a echar una mano a quien lo necesite.

Si después de leer esta noticia estas interesado en saber más de nosotros visita nuestras redes sociales y nuestro apartado de ofertas de empleo.