El aumento de los ataques impulsados por IA y la aceleración de los ciclos de entrega de software dificultan la protección de las organizaciones, ya que el 87% de los CISO a nivel global afirman que la seguridad de las aplicaciones sigue siendo un punto ciego.

Dynatrace, empresa especializada en observabilidad y seguridad unificadas, ha publicado recientemente su encuesta anual a CISOs de todo el mundo. El informe de este año, «El estado de la seguridad de las aplicaciones en 2024», revela que las organizaciones están luchando con las barreras de comunicación interna, que obstaculizan su capacidad para hacer frente a las amenazas de ciberseguridad. Los resultados indican que a los CISO les resulta difícil impulsar la alineación entre los equipos de seguridad y la C-suite, lo que deja lagunas en la comprensión del riesgo cibernético por parte de la organización. Como resultado, se encuentran más expuestos a las ciberamenazas avanzadas, en un momento en el que los ataques impulsados por IA están en aumento.

En el informe de este año, Dynatrace exploró estas brechas de comunicación para comprender mejor cómo un enfoque unificado de la observabilidad y seguridad puede ayudar a los equipos a colaborar de manera más eficaz y reducir la exposición al riesgo.

Las principales conclusiones son las siguientes:

● La falta de alineación entre el nivel directivo y la junta directiva conduce a riesgos cibernéticos: Los CISO luchan por impulsar la alineación entre los equipos de seguridad y la C-suite, con el 87% de los CISO diciendo que la seguridad de las aplicaciones es un punto ciego a nivel de CEO y junta directiva. Respecto a la muestra española del estudio, el 73% de los CISO dice que sus herramientas de seguridad tienen una capacidad limitada para generar información valiosa que el CEO y la junta directiva puedan usar para comprender el riesgo comercial y prevenir amenazas. Aun así, el 68% de los CISO dice que existe un requisito regular de informar al CEO y al directorio sobre su postura de cumplimiento y riesgo de ciberseguridad.

● Los equipos de seguridad son demasiado técnicos: 7 de cada 10 ejecutivos de la alta dirección entrevistados afirman que los equipos de seguridad hablan en términos técnicos sin proporcionar contexto empresarial. Sin embargo, el 75% de los CISO destacan que el problema radica en las herramientas de seguridad que no pueden generar perspectivas que los ejecutivos de nivel C y los consejos de administración puedan utilizar para comprender los riesgos empresariales y prevenir las amenazas. En España, este problema preocupa a la gran mayoría de los CISO, con un 86% que asegura que la seguridad de las aplicaciones es un punto ciego a nivel de CEO y junta directiva.

● La IA está impulsando ciberamenazas más avanzadas: abordar esta brecha tecnológica y de comunicaciones es cada vez más crítico a medida que el aumento de los ataques impulsados por la IA y las amenazas cibernéticas aumentan significativamente el riesgo empresarial. El 82% de los CISO españoles encuestados dice que la automatización de DevSecOps es aún más importante para gestionar el riesgo de las vulnerabilidades introducidas por la IA.

En este contexto global, casi tres cuartas partes (72%) de los CISO afirman que su organización ha sufrido un incidente de seguridad de aplicaciones en los últimos dos años (76% en el caso español). Estos incidentes conllevan un riesgo significativo, y los CISO destacan las consecuencias comunes que han experimentado, como el impacto en los ingresos (47%), multas reglamentarias (36%) y pérdida de cuota de mercado (28%).

«Los incidentes de ciberseguridad pueden tener consecuencias devastadoras para las organizaciones y sus clientes, por lo que el tema se ha convertido legítimamente en una preocupación crítica a nivel directivo», afirma Bernd Greifeneder, Director de Tecnología de Dynatrace. «Sin embargo, muchos CISOs están luchando para impulsar la alineación entre los equipos de seguridad y los altos ejecutivos porque son incapaces de elevar la conversación de bits y bytes a los riesgos específicos del negocio. Los CISO necesitan urgentemente encontrar una forma de superar esta barrera y crear una cultura de responsabilidad compartida en materia de ciberseguridad. Esto será fundamental para mejorar su capacidad de responder eficazmente a los incidentes de seguridad y minimizar su exposición al riesgo.»

Otras conclusiones adicionales del estudio son las siguientes:

● La necesidad de impulsar un compromiso más estrecho entre los equipos de seguridad y la C-suite es cada vez más importante a medida que el aumento de la IA expone a las organizaciones a un riesgo añadido. Los CISO están preocupados por el potencial de la IA para permitir a los ciberdelincuentes crear nuevos exploits más rápidamente y ejecutarlos a mayor escala (52%). También les preocupa el potencial de la IA para permitir a los desarrolladores acelerar la entrega de software con menos supervisión, lo que lleva a más vulnerabilidades (45%).

● Mientras buscan una solución, el 83% de los CISO afirman que la automatización de DevSecOps es más importante para gestionar el riesgo de vulnerabilidades introducidas por la IA. Además, el 71 % de los CISO afirman que la automatización de DevSecOps es fundamental para garantizar que se han tomado medidas razonables para minimizar el riesgo de seguridad de las aplicaciones. El 76% de los CISO de la muestra española tienen dificultades para impulsar la automatización de DevSecOps debido a su dependencia en múltiples herramientas de seguridad de aplicaciones. Es por ello que tan solo el 17% de los CISO dicen que su organización tiene prácticas maduras de automatización de DevSecOps.

● Otro 77 % de los CISO afirma que las herramientas actuales, como las soluciones XDR y SIEM, no pueden gestionar la complejidad de la nube, ya que carecen de la inteligencia necesaria para impulsar la automatización a escala, y un 70 % adicional de los CISO afirma que la necesidad de múltiples herramientas de seguridad de aplicaciones genera ineficiencia operativa debido al esfuerzo necesario para dar sentido a fuentes de datos dispares.

«El creciente uso de la IA es un arma de doble filo, que crea ganancias de eficiencia tanto para los innovadores digitales como para aquellos que buscan vulnerar sus defensas», añade Greifeneder. «Por un lado, existe un mayor riesgo de que los desarrolladores introduzcan vulnerabilidades a través de código generado por IA que no ha sido probado adecuadamente, y por otro, los ciberdelincuentes pueden desarrollar ataques más automatizados y sofisticados para explotarlas». Por otro lado, las organizaciones también deben cumplir con las regulaciones emergentes, como el mandato de la SEC, que les exige identificar e informar sobre el impacto de los ataques en un plazo de cuatro días. Las organizaciones necesitan modernizar urgentemente sus herramientas y prácticas de seguridad para proteger sus aplicaciones y datos de las ciberamenazas modernas y avanzadas. Los enfoques más eficaces se basarán en una plataforma unificada que impulse una automatización DevSecOps madura y aproveche la IA para tratar datos distribuidos a cualquier escala. Estas plataformas proporcionarán los conocimientos que toda la empresa puede unir y utilizar para demostrar el cumplimiento de las estrictas regulaciones.»

Este informe se basa en una encuesta global realizada a 1.300 CISO y diez entrevistas con directores generales y directores financieros de empresas con más de 1.000 empleados. Fue encargado por Dynatrace y realizado por Coleman Parkes entre marzo y abril de 2024.