COMENTARIO
La ciberseguridad es una carrera implacable, brutal y pequeña para ganar. Es una sabana donde las organizaciones son gacelas y los actores de amenaza son guepardos. No hay precio por llegar primero, ni trofeos para el más rápido. En realidad es simple: corre o comerse. ¿Duro? Sí. Pero ignorar esta realidad no te salvará. Te convertirá en la gacela más lenta.
No pierdes contra los piratas: pierdes contra la complacencia
Piratas sin breve por violaciones es un signo de evitación. Sí, son implacables e innovan más rápido de lo que la mayoría de las empresas lo defienden, pero esa no es la razón por la cual sus sistemas están abiertos. ¡Está en ti!
Tu verdadero enemigo es la complacencia. Esta es la decisión de confiar en las herramientas hereditarias que tiene, porque la actualización parece “demasiado perjudicial”. Adopta palabras de moda como “Seguridad del cambio de izquierda“Sin empoderar a los desarrolladores para que actúen sobre él y digan que no funciona. No es una cuestión de ser perfecto. Es una cuestión de no ser el objetivo más simple. Y en este momento, demasiadas organizaciones hacen las cosas demasiado fáciles.
¿Alguien ha dicho “la cuarta parte del trabajo”?
La seguridad del cambio a la izquierda se presenta como el salvador de la moderna Appsec. La promesa? Asista a las vulnerabilidades al comienzo del ciclo de desarrollo cuando son los más baratos para reparar y no poner riesgos inmediatos. La realidad? La mayoría de las organizaciones se están implementando mal o no en absoluto.
Seamos honestos: ¿cuándo vio a un desarrollador la última vez pidiendo seguridad voluntariamente para examinar su código? Los desarrolladores están bajo presión constante para escribir código y entregar rápidamente. La seguridad a menudo se considera un obstáculo, no como un aliado. El resultado? El código de inseguridad alcanza la producción, y el cambio de izquierda se convierte en otra palabra de moda.
Para que Shift-Gauche funcione, debe ser invisible y automatizado. Debe integrarse transparentemente en los flujos de trabajo de los desarrolladores. Nada menos es solo un deseo piadoso y una forma segura de alienar a sus equipos de desarrollo.
La verdad fea: las empresas son violadas con viejas vulnerabilidades
La realidad dolorosa es que muchas organizaciones son prácticas ataques cibernéticos que explotan las vulnerabilidades que se han identificado. Estas vulnerabilidades deberían haberse corregido hace años. En 2024, se identificaron más de 200,000 vulnerabilidades, con más de 40,000 noticias reveladas solo en 2024, marcando una tendencia ascendente implacable.
Incluso cuando se centra en la Agencia de Seguridad de Ciberseguridad e Infraestructura (CISA) Vulnerabilidades explotadas conocidasUna lista de aproximadamente 1.250 vulnerabilidades utilizadas activamente en ataques del mundo real, la respuesta de la industria representa una imagen oscura. Según el de Verizon “Informe de investigación sobre violaciones de datos 2024“Solo el 15% de las empresas corrigen estas vulnerabilidades en los primeros 30 días de su inclusión en esta lista crítica, y el 8% permanece sin resumen incluso después de un año.
Estas no son exploits sofisticados de día cero. Los atacantes a menudo toman el camino de la más mínima resistencia, apuntando a vulnerabilidades no refinadas y bien documentadas con una historia exitosa. El problema se ve agravado por equipos de seguridad sobrecargados, recursos limitados e infraestructura de TI cada vez más compleja, lo que hace un desafío oportuno.
Si eres más lento, serás violado. Podría haberlo guardado, pero debido a la complacencia, las prioridades mal ubicadas o la incapacidad de seguir el ritmo de la abrumadora cantidad de vulnerabilidades reveladas cada año, no lo ha hecho.
Entonces, ¿por qué correr?
Si la carrera es imposible de ganar, ¿para qué sirve? El hecho es el siguiente: puedes correr la carrera por ti. La supervivencia no se refiere a la perfección. Es una cuestión de priorizar. Se trata de centrarse en las vulnerabilidades que los atacantes pueden explotar en su entorno y pueden tener un impacto significativo en su organización. La concentración de sus esfuerzos aquí puede convertirlo en un objetivo mucho más difícil, lo que obliga a los atacantes a moverse hacia presas más fáciles.
No es una carrera para reparar todo; Es una carrera para centrarse en lo que importa. La jerarquía inteligente es tu ventaja.
Una carrera que puedes ganar (si redefines la victoria)
Aquí están las buenas noticias: aunque no puedes “ganar” esta carrera en el sentido tradicional, puedes tener éxito. Ganar no es reparar cada vulnerabilidad o detener cada ataque. Se trata de manejar efectivamente los riesgos y dificultar que los atacantes tengan éxito.
La sabana puede ser brutal, pero recompensa a las organizaciones resistentes, adaptables y centradas en lo que más importa. Al establecerse en vulnerabilidades que son riesgos críticos para usted de acuerdo con su acceso objetivo, su explotabilidad y su impacto, puede proporcionar resultados sin verse abrumado por el volumen de amenazas.
Sí, la ciberseguridad es difícil y las posibilidades se apilan contra usted. Pero no estás indefenso. Al adoptar la resiliencia, al priorizar vulnerabilidades críticas y promover la colaboración entre los equipos, puede correr la carrera por usted.
En esta sabana, no necesitas ser la gacela más rápida. No puede permitirse ser el más lento. Así que ejecuta inteligente. Corre duro. Concéntrese en lo que importa. Y lo que sea que hagas, no te detengas.