En el recién lanzado 2025 Informe del estado de PentestingPentera encuestó a 500 CISO de Global Enterprises (200 desde dentro de los EE. UU.) Para comprender las estrategias, tácticas y herramientas que utilizan para hacer frente a las miles de alertas de seguridad, las infracciones persistentes y los crecientes riesgos cibernéticos que tienen que manejar. Los hallazgos revelan una imagen compleja de progreso, desafíos y una mentalidad cambiante sobre cómo las empresas abordan las pruebas de seguridad.
Más herramientas, más datos, más protección … sin garantías
Durante el año pasado, el 45% de las empresas ampliaron sus pilas de tecnología de seguridad, y las organizaciones ahora administran un promedio de 75 soluciones de seguridad diferentes.
Sin embargo, a pesar de estas capas de herramientas de seguridad, el 67% de las empresas estadounidenses experimentaron una violación en los últimos 24 meses. El creciente número de herramientas implementadas tiene algunos efectos en la operación diaria y la postura cibernética general de la organización.
Aunque parece obvio, los hallazgos cuentan una historia clara: más herramientas de seguridad significan una mejor postura de seguridad. Sin embargo, no hay bala de plata. Entre las organizaciones con menos de 50 herramientas de seguridad, el 93% informó una violación. Ese porcentaje disminuye constantemente a medida que aumenta el tamaño de la pila, cayendo al 61% entre aquellos que usan más de 100 herramientas.
La fatiga alerta es real
La otra cara de las pilas de seguridad más grandes es que CISOS y sus equipos deben lidiar con una afluencia de información mucho mayor. Las empresas que administran más de 75 soluciones de seguridad ahora enfrentan un promedio de 2,000 alertas por semana – duplicar el volumen En comparación con las organizaciones con pilas más pequeñas, y aquellas con más de 100 herramientas reciben más de 3000 (3 veces las alertas).
Esto a su vez, pone mucho más énfasis en la priorización efectiva, de lo contrario, las amenazas críticas pueden ser enterradas en un mar de alertas. En este entorno, donde los volúmenes de alerta son altos y el tiempo para el triaje es corto, las organizaciones se benefician más cuando con frecuencia pueden evaluar las brechas explotables, por lo que saben qué problemas realmente importan antes de que los actores de amenaza los encuentren primero.
Basado en software Pentesting gana terreno
La confianza en las pruebas de seguridad basadas en software está creciendo rápidamente. Hace solo 5-10 años, muchas empresas nunca habrían permitido que las herramientas automatizadas ejecutaran Pentests en sus entornos por miedo a causar interrupciones, pero el sentimiento está cambiando.
A medida que los CISO continúan reconociendo las ventajas del software para escalar las pruebas adversas y mantener el ritmo de los entornos de TI constantemente cambiantes, la pentesting basada en software se está convirtiendo en el estándar. Más de la mitad de las empresas ahora usan estas herramientas para admitir las pruebas internas, impulsadas por la confianza en su confiabilidad y la necesidad de estrategias de validación escalables y continuas. Hoy, el 50% de CISOS cita las soluciones Pentesting basadas en software como su método principal para descubrir brechas explotables.
Los proveedores de seguros se convierten en influenciadores inesperados
Más allá de la gestión interna y las juntas directivas, una nueva fuerza sorprendente está configurando la estrategia de seguridad: proveedores de seguros cibernéticos. El 59% de los CISO admitieron que han implementado al menos una solución de ciberseguridad que no estaban considerando previamente como resultado de sus aseguradoras cibernéticas. Es una clara señal de que las aseguradoras no son solo el riesgo de fijación de precios, están prescribiendo activamente cómo reducirlo y remodelar las prioridades de seguridad empresarial en el proceso.
Baja confianza en el apoyo del gobierno
Mientras que agencias gubernamentales como CISA (en los Estados Unidos) y ENISA (en la UE) juegan un papel importante en la visibilidad y la coordinación de las amenazas, la confianza en el apoyo de ciberseguridad del gobierno es sorprendentemente baja.
Solo el 14% de los CISO creen que el gobierno apoya adecuadamente los desafíos cibernéticos del sector privado, mientras que el 64% siente que los esfuerzos del gobierno, aunque reconocido, son insuficientes. El 22% cree que no pueden confiar en el gobierno en absoluto para la ayuda de ciberseguridad.
Para comparar las prácticas, presupuestos y prioridades de su organización, los presupuestos y las prioridades contra otras empresas globales, Regístrese para el seminario web El 27 de mayo de 2025, donde los analistas de seguridad superiores discutirán los hallazgos clave. Alternativamente, obtener el Informe completo de 2025 Estado de Pentesting ¡Y vea todas las ideas para usted!
Nota: Este artículo fue escrito y contribuido por Jay Mar Tang, Field CISO en Pentera.
About the Author
