Estamos al borde de una crisis de agotamiento para los CISOs
Los líderes de ciberseguridad son similares a los árbitros en el fútbol: solo están en el centro de atención cuando algo sale mal. Y, al igual que sus homólogos deportivos, los CISOs están sometidos a una presión inmensa para rendir.
Pero ahí terminan las similitudes. A pesar de que existen numerosas regulaciones, no hay reglas de compromiso acordadas entre los equipos de seguridad y los ciberdelincuentes; los objetivos están en constante cambio y los CISOs tienen la tarea de defenderse de un arsenal en constante evolución de amenazas cibernéticas.
Se estima que los CISOs solo permanecen en su puesto entre 18 y 24 meses. Para combatir esta alta rotación y apoyar a las personas que asumen esta tarea a menudo ingrata, las organizaciones deben presionar el botón de reinicio en la ‘cultura de la culpa’ para prevenir una crisis de agotamiento de los CISOs en 2025.
Es hora de dejar de jugar al juego de la culpa
El cibercrimen es increíblemente común. Y con el auge de la IA, se vuelve aún más difícil diferenciar entre una solicitud genuina de alguien que conoces y un estafador. Las víctimas a menudo sienten el impacto durante diez semanas o más después de un ataque, aunque muchas no hablan al respecto. Los ciberdelincuentes explotan vulnerabilidades y el estigma en torno al cibercrimen que silencia a las víctimas.
En el pasado, hemos visto a organizaciones suprimir detalles de una brecha en un intento por salvar la reputación, pero esto solo juega a favor de los ciberdelincuentes. Una de las mejores armas contra los ciberdelincuentes es compartir conocimientos y entender ‘cómo’ ocurrió el ataque, en lugar de preocuparse por el ‘por qué’. Afortunadamente, nuevas regulaciones que entrarán en vigor el próximo año, como NIS2 y DORA, requerirán que las organizaciones informen incidentes dentro de las 24 horas de su detección.
Quiero ver que la industria de ciberseguridad aprenda de la industria aeronáutica en 2025. Para los controladores aéreos, la métrica más importante es la seguridad. Por eso implementan una ‘cultura justa’ y aseguran que cada empleado pueda reportar preocupaciones sin temor a ser culpado por cometer errores honestos. Esto previene que el mismo error o vulnerabilidad sea explotado repetidamente.
2025 es el año en que vale la pena ser pesimista
Debemos asumir que en 2025 las empresas sufrirán una brecha de ciberseguridad. Con ciberdelincuentes sofisticados superando las defensas tradicionales, las organizaciones deben reiniciar su mentalidad frente a las brechas.
Estos incidentes no necesitan ser tratados como una situación que justifique despidos. La mejor manera de cambiar las percepciones es adoptando una mentalidad de ‘brecha asumida’. No solo pensar en mantener a los delincuentes fuera, sino en qué hacer cuando logran acceder, impulsará la inversión en detección de amenazas, planes de respuesta y arquitecturas de confianza cero.
2025 mostrará que las empresas que se preparan para lo peor estarán mejor equipadas para identificar y mitigar intrusiones temprano, limitar el daño y construir resiliencia. Esperar lo peor es la mejor forma de protegerse contra ello.
Richard Meeus, Director of Security Technology and Strategy EMEA de Akamai
