{"id":1435687,"date":"2024-11-11T11:44:33","date_gmt":"2024-11-11T11:44:33","guid":{"rendered":"https:\/\/teknomers.com\/es\/el-retorno-de-la-inversion-en-seguridad-como-lo-demuestran-los-lideres-en-ciberseguridad\/"},"modified":"2024-11-11T11:44:38","modified_gmt":"2024-11-11T11:44:38","slug":"el-retorno-de-la-inversion-en-seguridad-como-lo-demuestran-los-lideres-en-ciberseguridad","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/el-retorno-de-la-inversion-en-seguridad-como-lo-demuestran-los-lideres-en-ciberseguridad\/","title":{"rendered":"El retorno de la inversi\u00f3n en seguridad: c\u00f3mo lo demuestran los l\u00edderes en ciberseguridad"},"content":{"rendered":"


\n<\/p>\n

\n
<\/a><\/div>\n

Las amenazas cibern\u00e9ticas se est\u00e1n intensificando y la ciberseguridad se ha vuelto cr\u00edtica para las operaciones comerciales. A medida que crecen los presupuestos de seguridad, los directores ejecutivos y las salas de juntas exigen pruebas concretas de que las iniciativas de ciberseguridad ofrecen valor m\u00e1s all\u00e1 del cumplimiento de las regulaciones.<\/p>\n

As\u00ed como no comprar\u00edas un autom\u00f3vil sin saber que fue sometido primero a una prueba de choque, los sistemas de seguridad tambi\u00e9n deben validarse para confirmar su valor. Hay un cambio cada vez mayor hacia la validaci\u00f3n de la seguridad, ya que permite a los profesionales cibern\u00e9ticos utilizar de forma segura exploits reales en entornos de producci\u00f3n para evaluar con precisi\u00f3n la eficiencia de sus sistemas de seguridad e identificar \u00e1reas cr\u00edticas de exposici\u00f3n, a escala. <\/p>\n

Nos reunimos con Shawn Baird, Director Asociado de Seguridad Ofensiva y Red Teaming en DTCC, para discutir c\u00f3mo comunicar de manera efectiva el valor comercial de sus pr\u00e1cticas y herramientas de Validaci\u00f3n de Seguridad a su alta gerencia. A continuaci\u00f3n se detalla c\u00f3mo Shawn hizo espacio para las plataformas de validaci\u00f3n de seguridad dentro de su ya ajustado presupuesto y c\u00f3mo tradujo las pr\u00e1cticas t\u00e9cnicas de seguridad en resultados comerciales tangibles que han impulsado decisiones de compra a favor de su equipo.<\/p>\n

Tenga en cuenta que todas las respuestas a continuaci\u00f3n son \u00fanicamente opiniones de Shawn Baird y no representan las creencias u opiniones de DTCC y sus subsidiarias.<\/em><\/p>\n

P: \u00bfQu\u00e9 valor aporta la Validaci\u00f3n de Seguridad a su organizaci\u00f3n? <\/strong><\/h2>\n

La validaci\u00f3n de seguridad consiste en poner a prueba sus defensas, no contra riesgos te\u00f3ricos, sino contra t\u00e9cnicas de ataque reales. Es un cambio de supuestos pasivos de seguridad a una validaci\u00f3n activa de lo que funciona. Me dice hasta qu\u00e9 punto nuestros sistemas pueden resistir las mismas t\u00e1cticas que utilizan los ciberdelincuentes hoy en d\u00eda.<\/p>\n

En DTCC hemos estado realizando validaciones de seguridad durante mucho tiempo, pero busc\u00e1bamos tecnolog\u00eda que sirviera como amplificador de rendimiento. En lugar de depender \u00fanicamente de ingenieros costosos y altamente capacitados para llevar a cabo validaciones manuales en todos los sistemas, podr\u00edamos centrar a nuestros equipos de \u00e9lite en ejercicios de formaci\u00f3n de equipos rojos espec\u00edficos y de alto valor. La plataforma automatizada tiene contenido TTP incorporado para realizar pruebas, que cubren t\u00e9cnicas como Kerberoasting, escaneo de red, fuerza bruta, etc., lo que libera al equipo de tener que crear esto. Las pruebas se ejecutan incluso fuera del horario laboral habitual, por lo que no estamos confinados a los per\u00edodos de prueba est\u00e1ndar. <\/p>\n

Este enfoque signific\u00f3 que no est\u00e1bamos sobrecargando a nuestro personal de seguridad con tareas repetitivas. En cambio, podr\u00edan centrarse en escenarios de ataque m\u00e1s complejos y cuestiones cr\u00edticas. Pentera nos brind\u00f3 una manera de mantener una validaci\u00f3n continua en todos los \u00e1mbitos, sin agotar a nuestros ingenieros m\u00e1s capacitados en tareas que podr\u00edan automatizarse. <\/p>\n

En esencia, se ha convertido en un multiplicador de fuerza para nuestro equipo. Contribuye en gran medida a mejorar nuestra capacidad para adelantarnos a las amenazas y al mismo tiempo optimizar el uso de nuestros mejores talentos.<\/p>\n

P: \u00bfC\u00f3mo justific\u00f3 el ROI de una inversi\u00f3n en una plataforma de validaci\u00f3n de seguridad automatizada?<\/strong><\/h2>\n

En primer lugar, vemos una directa aumento de la productividad de nuestro equipo<\/strong>. La automatizaci\u00f3n de evaluaciones manuales y tareas de prueba que requer\u00edan mucho tiempo fue un punto de inflexi\u00f3n. Al trasladar estas tareas repetitivas y que requieren mucho esfuerzo a Pentera, nuestros ingenieros cualificados podr\u00edan centrarse en trabajos m\u00e1s complejos. Y sin necesidad de personal adicional, podr\u00edamos ampliar significativamente el alcance de las pruebas. <\/p>\n

En segundo lugar, somos capaces de reducir el costo de los contratistas externos<\/strong>. Tradicionalmente, depend\u00edamos en gran medida de contratistas expertos externos, lo que puede resultar costoso y, a menudo, de alcance limitado. Con la experiencia humana integrada en una plataforma como Pentera, reducimos nuestra dependencia de costosas contrataciones de servicios. En cambio, contamos con personal interno (analistas con menos experiencia) que realiza pruebas efectivas. <\/p>\n

Finalmente, existe un claro beneficio de reducci\u00f3n de riesgos<\/strong>. Al validar continuamente nuestra postura de seguridad, podemos reducir significativamente la probabilidad de una infracci\u00f3n y el costo potencial de una infracci\u00f3n, si ocurre. El informe Costo de una vulneraci\u00f3n de datos de 2023 de IBM lo confirma, informando una reducci\u00f3n del 11 % en los costos de vulneraci\u00f3n para las organizaciones que utilizan estrategias proactivas de gesti\u00f3n de riesgos. Con Pentera, logramos precisamente eso: menos exposici\u00f3n, detecci\u00f3n y remediaci\u00f3n m\u00e1s r\u00e1pidas, todo lo cual contribuy\u00f3 a reducir nuestro perfil de riesgo general.<\/p>\n

P: \u00bfCu\u00e1les fueron algunos de los obst\u00e1culos internos que encontr\u00f3?<\/strong><\/h2>\n

Uno de los obst\u00e1culos clave que enfrentamos fue la fricci\u00f3n por parte de la junta de revisi\u00f3n de arquitectura. Es comprensible que les preocupara ejecutar exploits automatizados en nuestra red, a pesar de que la plataforma es “segura por dise\u00f1o”. La idea de ejecutar ataques del mundo real en entornos de producci\u00f3n puede resultar desconcertante, especialmente para los equipos responsables de la estabilidad de los sistemas cr\u00edticos.<\/p>\n

Para abordar esto, adoptamos un enfoque gradual. Comenzamos ejecutando la plataforma en una superficie de ataque reducida, apuntando a sistemas menos cr\u00edticos para demostrar su seguridad y eficacia. A continuaci\u00f3n, ampliamos su uso durante una participaci\u00f3n del equipo rojo, ejecut\u00e1ndolo junto con nuestros procesos de prueba existentes. Con el tiempo, ampliamos gradualmente el alcance, demostrando la confiabilidad y seguridad de la plataforma en cada etapa. Este lanzamiento gradual ayud\u00f3 a generar confianza sin correr el riesgo de sufrir interrupciones importantes, por lo que ahora la confianza en la plataforma est\u00e1 bastante bien establecida.<\/p>\n

P: \u00bfC\u00f3mo asignaron los fondos?<\/strong><\/h2>\n

Asignamos los fondos para Pentera en la misma l\u00ednea que nuestras herramientas de equipo rojo, agrupadas con otras soluciones como Rapid7 y esc\u00e1neres de vulnerabilidad. Al colocarlo junto a herramientas de seguridad ofensivas, el proceso de presupuestaci\u00f3n se mantuvo sencillo.<\/p>\n

Analizamos espec\u00edficamente nuestro costo para evaluar la susceptibilidad de nuestro entorno a un ataque de ransomware. Anteriormente, gast\u00e1bamos 150.000 d\u00f3lares al a\u00f1o en an\u00e1lisis de ransomware, pero con Pentera pod\u00edamos realizar pruebas con m\u00e1s frecuencia con el mismo presupuesto. Esta reasignaci\u00f3n de fondos ten\u00eda sentido porque cumpl\u00eda con nuestros criterios clave, mencionados anteriormente: mejorar la productividad al aumentar nuestra capacidad de prueba sin necesidad de contratar y reducir el riesgo con pruebas m\u00e1s frecuentes y a mayor escala. Reducir las posibilidades de un ataque de ransomware y limitar el da\u00f1o si ocurre.<\/p>\n

P: \u00bfQu\u00e9 otras consideraciones entraron en juego?<\/strong><\/h2>\n

Algunos otros factores influyeron en nuestra decisi\u00f3n de invertir en validaci\u00f3n de seguridad automatizada. La retenci\u00f3n de empleados fue un tema importante. Como dije antes, la automatizaci\u00f3n de tareas repetitivas mantuvo a nuestros expertos en ciberseguridad enfocados en trabajos m\u00e1s desafiantes e impactantes, lo que creo que nos ha ayudado a retener su talento.<\/p>\n

Otro punto fue la mejora de las operaciones de seguridad. Pentera nos ayuda a garantizar que nuestros controles est\u00e9n ajustados y validados adecuadamente, tambi\u00e9n ayuda a la coordinaci\u00f3n entre los equipos rojos, los equipos azules y el SOC. <\/p>\n

Desde el punto de vista del cumplimiento, facilit\u00f3 la recopilaci\u00f3n de evidencia para las auditor\u00edas, lo que nos permiti\u00f3 completar el proceso mucho m\u00e1s r\u00e1pido de lo que lo har\u00edamos de otra manera. Finalmente, el seguro cibern\u00e9tico es otra \u00e1rea en la que Pentera ha agregado valor financiero adicional al permitirnos reducir nuestras primas.<\/p>\n

P: \u00bfConsejos para otros profesionales de la seguridad que intentan obtener un presupuesto para una validaci\u00f3n segura? <\/strong><\/h2>\n

El valor de rendimiento de la validaci\u00f3n de seguridad automatizada es claro. La mayor\u00eda de las organizaciones no tienen los recursos internos para llevar a cabo equipos rojos maduros. Ya sea que tenga un equipo de seguridad peque\u00f1o o una pr\u00e1ctica de seguridad ofensiva madura como la que tenemos en DTCC, es muy probable que no tenga suficientes recursos expertos en seguridad para realizar una evaluaci\u00f3n completa. Si no encuentra nada, no hay pruebas de que haya un interno malicioso en su red, no podr\u00e1 demostrar resiliencia, lo que dificulta el cumplimiento de las normas. <\/p>\n

Con Pentera, tiene TTP integrados, lo que le brinda una ruta directa para evaluar qu\u00e9 tan bien responde su organizaci\u00f3n a las amenazas. Con base en esa validaci\u00f3n, puede fortalecer su infraestructura y abordar las vulnerabilidades descubiertas.<\/p>\n

La alternativa (no hacer nada) es mucho m\u00e1s arriesgada. El costo de una infracci\u00f3n puede resultar en el robo de IP, la p\u00e9rdida de datos y el posible cierre de operaciones. Por otro lado, el costo de la herramienta brinda la tranquilidad de saber que ha reducido su exposici\u00f3n a amenazas del mundo real y la capacidad de dormir mejor por la noche.<\/p>\n

Vea el seminario web completo bajo demanda<\/a> con Shawn Baird, director asociado de seguridad ofensiva y equipo rojo de DTCC, y Jason Mar-Tang, CISO de Pentera Field.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 interesante este art\u00edculo? Este art\u00edculo es una contribuci\u00f3n de uno de nuestros valiosos socios.<\/span> S\u00edguenos en Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n