AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

**Nuevas soluciones de ciberseguridad abordan las carencias en la gobernanza y gestión de riesgos**

admin

### 1. Introducción

La gobernanza en ciberseguridad continúa siendo, para muchas organizaciones, una cuestión de cumplimiento periódico en lugar de una estrategia continua y adaptativa. Este enfoque, centrado en auditorías anuales y cumplimiento normativo, deja expuestos riesgos críticos que los atacantes pueden aprovechar. Recientemente, han surgido empresas especializadas que buscan transformar este paradigma, desarrollando soluciones que abordan de forma más dinámica y granular la gestión de riesgos y el gobierno de la seguridad.

### 2. Contexto del Incidente o Vulnerabilidad

La tradicional aproximación al gobierno de la seguridad informática se basa en cumplir con auditorías anuales o semestrales y rellenar cuestionarios estándar (por ejemplo, ISO 27001, SOC 2, NIST CSF). No obstante, la naturaleza cambiante de las amenazas y la creciente sofisticación de los adversarios han dejado obsoletas muchas de estas prácticas. Informes recientes, como el Data Breach Investigations Report de Verizon 2023, muestran que el 82% de las filtraciones de datos involucran errores humanos y fallos en la gestión de riesgos. Además, regulaciones como el GDPR y la inminente NIS2 exigen una gestión proactiva y continua, no solo “compliance” puntual.

### 3. Detalles Técnicos

Las carencias en la gobernanza suelen manifestarse en tres áreas: identificación de activos, evaluación de riesgos y monitorización de controles. Herramientas tradicionales de GRC (Governance, Risk & Compliance) tienden a centrarse en la documentación y no en el análisis en tiempo real. Asimismo, suelen carecer de integración con soluciones de automatización de pruebas de seguridad (por ejemplo, BAS —Breach and Attack Simulation—), o de capacidades de ingestión automatizada de IoC (Indicators of Compromise) y TTP (Tactics, Techniques & Procedures) basadas en MITRE ATT&CK.

Las nuevas plataformas, en cambio, incorporan módulos de análisis de riesgos dinámicos, integración con SIEM (Security Information and Event Management) y escáneres de vulnerabilidades, y permiten correlacionar eventos en tiempo real con la matriz ATT&CK. Por ejemplo, ya existen soluciones que identifican automáticamente desviaciones en la postura de seguridad y generan alertas cuando los controles no mitigan vectores de ataque concretos, como los identificados en CVE-2023-34362 (MOVEit Transfer) o CVE-2024-21412 (vulnerabilidades recientes en Windows).

Asimismo, existen integraciones con frameworks de automatización como Metasploit o Cobalt Strike para validar la eficacia de los controles, facilitando la realización de pruebas de intrusión continuas y la actualización constante de los controles frente a los IoC más recientes.

### 4. Impacto y Riesgos

El enfoque tradicional de gobernanza reactiva supone un riesgo significativo para las organizaciones. Según Gartner, el 60% de las empresas que solo realizan auditorías periódicas experimentarán incidentes de seguridad significativos en los próximos dos años. El coste medio de una brecha de datos en 2023 fue de 4,45 millones de dólares, según IBM, una cifra que aumenta considerablemente si se considera la falta de visibilidad y respuesta temprana.

Además, el incumplimiento de normativas como el GDPR puede acarrear sanciones de hasta 20 millones de euros o el 4% de la facturación anual global, lo que sitúa la gestión continua del riesgo como una prioridad estratégica.

### 5. Medidas de Mitigación y Recomendaciones

Para reducir los riesgos derivados de una gobernanza insuficiente, los expertos recomiendan adoptar un enfoque holístico y automatizado:

– Integrar plataformas de GRC con herramientas de monitorización y respuesta en tiempo real (SIEM, SOAR, EDR).
– Implementar análisis de riesgos dinámicos, con recalibración automática frente a nuevas amenazas y vulnerabilidades.
– Automatizar la recopilación y actualización de IoC y TTP, utilizando feeds de inteligencia y frameworks como MITRE ATT&CK.
– Realizar validaciones periódicas de controles mediante pruebas de intrusión automatizadas (BAS, Red Teaming continuo).
– Monitorizar el cumplimiento normativo de forma continua y no solo durante auditorías.

### 6. Opinión de Expertos

Según Juan Pérez, CISO de una multinacional del IBEX 35, “la gobernanza de la ciberseguridad debe ser un proceso vivo, con visibilidad en tiempo real y capacidad de respuesta inmediata. Las empresas que continúan confiando en auditorías anuales están jugando a la ruleta rusa”. Por su parte, Marta Sánchez, consultora de cumplimiento en GDPR, destaca que “la llegada de NIS2 y la presión de los reguladores fuerza a las organizaciones a dejar atrás el compliance de ‘checklist’ y optar por soluciones adaptativas y automatizadas”.

### 7. Implicaciones para Empresas y Usuarios

Para las empresas, la adopción de estas nuevas plataformas implica una inversión inicial, pero el retorno es claro en términos de reducción de riesgo, mejora de la postura de seguridad y cumplimiento normativo. Los usuarios finales también se benefician, ya que una gestión proactiva de riesgos reduce la probabilidad de filtraciones de datos personales y mejora la confianza en los servicios digitales.

### 8. Conclusiones

La gobernanza de la ciberseguridad ya no puede limitarse a ejercicios de cumplimiento anual. La automatización, el análisis dinámico de riesgos y la integración con la inteligencia de amenazas emergen como elementos imprescindibles para afrontar un panorama de amenazas cada vez más complejo. Las organizaciones que adopten estos enfoques estarán mejor posicionadas para responder a incidentes, cumplir con las exigencias regulatorias y proteger sus activos críticos en un entorno digital en constante evolución.

(Fuente: www.darkreading.com)