Las organizaciones pueden aplicar procesos “secure-by-design” para abordar desafíos de gobernanza y errores humanos

1. Introducción

En el panorama actual de la ciberseguridad, la implementación de principios “secure-by-design” ha demostrado mejorar la postura de seguridad técnica de las organizaciones. Sin embargo, la adopción de estos procesos no debería limitarse únicamente a la gestión de riesgos técnicos. Cada vez más expertos abogan por la extensión de estas metodologías a áreas tradicionalmente consideradas no técnicas, como la gobernanza interna y la gestión de errores humanos. Este enfoque integral puede aportar claridad, control y resiliencia frente a amenazas complejas y en constante evolución.

2. Contexto del Incidente o Vulnerabilidad

El creciente número de brechas de seguridad atribuibles a errores de proceso y fallos humanos pone de manifiesto la necesidad de un cambio de paradigma. Según el Informe de Ciberseguridad 2023 de Verizon, más del 80% de los incidentes están relacionados con el factor humano, ya sea por negligencia, desconocimiento o fallos en la comunicación. Además, la entrada en vigor de normativas como GDPR y la inminente NIS2 en la Unión Europea exigen una gobernanza más robusta y una gestión del riesgo que integre tanto los vectores técnicos como los organizativos.

3. Detalles Técnicos

Los procesos secure-by-design se basan en la incorporación de mecanismos de seguridad desde la concepción y diseño de sistemas y procesos. En el ámbito técnico, esto se traduce en el uso de prácticas como el principio de privilegio mínimo, autenticación multifactor (MFA), segmentación de redes y hardening de sistemas, así como la integración de frameworks como OWASP, CIS Controls o Zero Trust Architecture.

A nivel organizativo, estos principios pueden trasladarse a la elaboración de políticas, procedimientos y controles internos. Un ejemplo es la aplicación de modelos de gobierno basados en el estándar ISO/IEC 27001 o el marco NIST Cybersecurity Framework, que promueven la definición clara de roles, responsabilidades y flujos de decisión. Asimismo, herramientas de gestión de incidentes como MITRE ATT&CK pueden adaptarse para mapear no solo tácticas y técnicas de ataque, sino también fallos de procedimiento y errores de comunicación, permitiendo una respuesta más estructurada y eficaz ante incidentes.

Indicadores de Compromiso (IoC) en este contexto podrían incluir registros de accesos no autorizados, modificaciones no programadas en políticas de seguridad, o patrones de errores repetidos en la gestión de incidencias, todos ellos identificables mediante sistemas SIEM o soluciones de auditoría interna.

4. Impacto y Riesgos

La ausencia de un enfoque secure-by-design en la gobernanza y los procesos humanos incrementa drásticamente la probabilidad de incidentes graves. El informe de IBM sobre Coste de una Brecha de Datos 2023 cifra en 4,45 millones de dólares el coste medio de una brecha, siendo los errores humanos responsables de hasta un 23% de estos incidentes. Además, la falta de controles adecuados puede exponer a las organizaciones a sanciones regulatorias bajo GDPR (hasta el 4% de la facturación anual global) y, con la llegada de NIS2, a nuevas obligaciones de reporte y gestión de incidentes.

5. Medidas de Mitigación y Recomendaciones

Para reducir el riesgo, se recomienda:

– Integrar la seguridad en todas las fases del ciclo de vida de los procesos organizativos, no sólo en los sistemas IT.
– Establecer programas de concienciación y formación continua adaptados a los diferentes perfiles de la organización.
– Realizar simulacros periódicos de incidentes, incluyendo escenarios de fallo humano y errores de gobernanza.
– Implementar controles de segregación de funciones y aprobación múltiple en procesos críticos.
– Utilizar soluciones automatizadas para la gestión y monitorización de políticas y procedimientos (GRC).
– Revisar y actualizar regularmente políticas conforme a las mejores prácticas y cambios regulatorios.

6. Opinión de Expertos

CISOs y consultores líderes, como Lisa Forte (Red Goat Cyber Security) y Dan Lohrmann, coinciden en que “la seguridad comienza en la mesa directiva”. Sugieren que la adopción proactiva de principios secure-by-design en la gobernanza permite anticipar y mitigar riesgos antes de que se materialicen, y que la concienciación y la cultura organizativa son tan cruciales como la tecnología desplegada.

7. Implicaciones para Empresas y Usuarios

Las organizaciones que adopten este enfoque estarán mejor posicionadas para cumplir con los requisitos de la legislación europea y minimizar el impacto de incidentes derivados de errores humanos o fallos de proceso. Para los usuarios, la aplicación de estos principios significa una mayor protección de sus datos y una mayor confianza en las entidades con las que interactúan. A nivel empresarial, también se traduce en una reducción de costes asociados a incidentes y en una ventaja competitiva en un entorno cada vez más regulado y exigente.

8. Conclusiones

La integración de procesos secure-by-design más allá del ámbito técnico representa un paso imprescindible para construir organizaciones verdaderamente resilientes. El enfoque holístico permite abordar de manera efectiva tanto amenazas externas como vulnerabilidades internas, garantizando el cumplimiento normativo y la continuidad del negocio. Los líderes de seguridad deben impulsar esta transformación cultural y procedimental para anticipar los retos de la próxima década de ciberseguridad.

(Fuente: www.darkreading.com)