Sufre de un exceso de herramientas de seguridad

Este artículo apareció originalmente en Bulevar de seguridad. Se ha actualizado y distribuido aquí.
Está casi arraigado en nuestra psique colectiva que más de algo bueno es algo aún mejor. Si tienes algo que realmente te gusta, entonces no hay nada malo en tener dos o tres, o incluso más. Después de todo, no puedes tener demasiado de algo bueno, ¿verdad?
Desafortunadamente, si bien esa lógica funciona para algunas cosas, hay ocasiones en las que se estropea rápidamente en volúmenes más altos. En algunos casos, comienzas a experimentar rendimientos decrecientes. ¿Cuánto valor extra o alegría te va a aportar realmente esa decimotercera pieza de pastel de chocolate? Y hay otras ocasiones en las que añadir demasiado de algo bueno puede convertirse en algo que representa un perfil de riesgo importante para usted o su organización.
Demasiadas herramientas de ciberseguridad
Un área crítica en la que demasiado de lo bueno se ha convertido rápidamente en algo malo es con las herramientas de ciberseguridad, que han florecido sin control en la mayoría de las organizaciones en los últimos años. Un estudio publicado en Dark Reading descubrió que la mayoría de los directores de seguridad de la información confían en promedio de 55 a 75 productos o aplicaciones de seguridad distintos para proteger sus redes. Y, sin embargo, los ataques siguen produciéndose. Según el informe sobre investigaciones sobre violaciones de datos de 2023 de Verizon, los ataques exitosos van en aumento y los más complejos de ellos son los siguientes más tiempo que nunca para detectar.
¿Cómo pueden los atacantes eludir lo que, a primera vista, parece ser un desafío imposible de 75 o más herramientas de ciberseguridad? El hecho es que suelen utilizar alarmas de activación, pero los defensores humanos están demasiado ocupados manteniendo sus herramientas defensivas o respondiendo a miles de alertas diarias como para darse cuenta. De hecho, disponer de muchas herramientas de seguridad puede ofrecer a los atacantes la cobertura que necesitan para pasar desapercibidos.
Un informe reciente publicado en TechRadar destacó la consecuencias negativas de tener demasiadas herramientas de ciberseguridad. Entre las empresas encuestadas, el 71% pensaba que tenía más herramientas de las que sus equipos de ciberseguridad podían gestionar con éxito. De hecho, esto estaba haciendo que su postura de seguridad empeorara a medida que se añadían más herramientas. De hecho, contrariamente a la creencia de que más herramientas equivalen a más seguridad, la inmensa mayoría de los encuestados declararon sentirse mucho menos seguros debido a todas las herramientas de ciberseguridad instaladas en su entorno.
La situación solo ha empeorado con la migración masiva a la nube en la mayoría de las organizaciones. Una de las razones por las que se popularizó la superposición de muchas herramientas de ciberseguridad en una red para cubrir todas las posibles vías de ataque fue porque, en una era en la que los activos estaban casi totalmente instalados en las instalaciones, la estrategia funcionó. O, al menos, las organizaciones no se encontraron con una rentabilidad decreciente y consecuencias negativas con tanta rapidez. Sin embargo, en los entornos de nube, cuantas más herramientas añadas, más complejidades y vulnerabilidades generarás.
Además del trabajo que implica mantener las herramientas superpuestas, el otro gran problema de un enfoque centrado en las herramientas es el océano de falsos positivos que sin duda se producirán a medida que se pongan en línea más herramientas. La persecución de los falsos positivos puede suponer una pérdida constante de tiempo para el personal de seguridad humana, sin ningún beneficio real para la organización. Mientras tanto, un ataque real puede ocultarse fácilmente entre todas las falsas alarmas. Es posible que los profesionales de la ciberseguridad nunca encuentren amenazas reales hasta que sea demasiado tarde.
Una forma mejor
Sería desastroso eliminar todas las herramientas de seguridad de su entorno. Pero tampoco querrás tener tantas como para no prestar suficiente atención a las herramientas clave que realmente podrían ayudar. Es importante que encuentres la selección correcta de herramientas y que te asegures de que no tienes demasiadas herramientas que agoten tu tiempo y tus recursos.
La clave para que la consolidación de herramientas funcione es invertir simultáneamente en un enfoque de seguridad dirigido por personas. Y esto debería incluir el uso de un activo que tradicionalmente no se ha utilizado para esa función: equipos de desarrolladores encargados de codificar las propias aplicaciones y el software que atacan los atacantes.
Aunque tradicionalmente a los desarrolladores no se les ha encomendado la seguridad, esto está cambiando. De hecho, alentar a los desarrolladores a que se concentren en la seguridad es una faceta clave de los movimientos de DevSecOps, en los que todos asumen la responsabilidad de implementar aplicaciones seguras. Nadie espera que los desarrolladores se conviertan de repente en expertos en seguridad o que asuman la responsabilidad principal de la seguridad en sus organizaciones, pero enseñarles a escribir código seguro y recompensarlos por un trabajo bien hecho pueden contribuir en gran medida a sentar las bases para eliminar todas esas herramientas de seguridad que se superponen.
Si comienza con un código bueno y seguro, puede empezar fácilmente a eliminar algunas de las cientos de herramientas de ciberseguridad diseñadas para detectar vulnerabilidades y vulnerabilidades comunes. Con el tiempo, promoverá un entorno en el que los desarrolladores creen código seguro, y unas cuantas herramientas de ciberseguridad seleccionadas puedan servir como una comprobación adicional que los equipos de seguridad puedan supervisar y mantener fácilmente sin sobrecargarse con algo que supuestamente es bueno.
Govern AI-driven development before it ships
Measure AI-assisted risk, enforce secure coding policy at commit, and accelerate secure delivery across your SDLC.
Explore more blogs
Lorem ipsum diam quis enim lobortis scelerisque fermentum dui faucibus in ornare quam viverra orci sagittis eu volutpat odio facilisis.
%252520%252520(3).avif)
Supercharged Security Awareness: How Tournaments are Inspiring Developers at Erste Group
Lorem ipsum dolor sit amet, consectetur adipiscing elit. Suspendisse varius enim in eros elementum tristique. Duis cursus, mi quis viverra ornare, eros dolor interdum nulla, ut commodo diam libero vitae erat. Aenean faucibus nibh et justo cursus id rutrum lorem imperdiet. Nunc ut sem vitae risus tristique posuere.

Security as culture: How Blue Prism cultivates world-class secure developers
Learn how Blue Prism, the global leader in intelligent automation for the enterprise, used Secure Code Warrior's agile learning platform to create a security-first culture with their developers, achieve their business goals, and ship secure code at speed

One Culture of Security: How Sage built their security champions program with agile secure code learning
Discover how Sage enhanced security with a flexible, relationship-focused approach, creating 200+ security champions and achieving measurable risk reduction.

El futuro de la gobernanza de software de IA se construye sobre asociaciones sólidas
Descubra por qué Secure Code Warrior se está convirtiendo en una empresa centrada en el canal y cómo los socios de confianza ayudan a las organizaciones a adoptar la gobernanza de software de IA de forma segura y a escala.
.webp)
Por qué la mayoría de los CISO navegan a ciegas en la adopción de la IA (y cómo pueden quitarse la venda)
Hoy, Secure Code Warrior ha publicado un nuevo informe técnico que presenta un modelo prescriptivo y orientativo de adopción de IA, diseñado para que los líderes de seguridad puedan identificar su etapa de adopción y avanzar de forma efectiva en el control de los riesgos de seguridad relacionados con la IA en sus organizaciones.
Secure AI-driven development before it ships
See developer risk, enforce policy, and prevent vulnerabilities across your software development lifecycle.
