El efecto en cadena: por qué su ciberresiliencia debe ir más allá de sus muros

El mundo se está volviendo cada día más peligroso. Desde los ciberataques impulsados por la IA y la inminente amenaza de la computación cuántica hasta las tensiones geopolíticas y la volatilidad de la cadena de suministro, las fuerzas externas están afectando todos los sectores empresariales. Para las organizaciones que buscan la continuidad y la agilidad en sus empresas, simplemente reaccionar ante estas interrupciones ya no es suficiente. La resiliencia debe evolucionar desde un mecanismo de defensa interno hasta convertirse en un principio de diseño orientado hacia afuera.

Para comprender mejor cómo las organizaciones están haciendo frente a estas presiones externas, Zscaler encuestó a 1,750 líderes de TI en 14 mercados globales. Si bien el compromiso y la inversión en ciberresiliencia son elevados, nuestros hallazgos revelan una brecha crucial: la confianza empresarial a menudo refleja una percepción de control sobre los sistemas internos en lugar de una verdadera preparación para las interrupciones externas. La mayoría (61 %) de los líderes de TI de todo el mundo admiten que sus estrategias de resiliencia siguen estando demasiado enfocadas hacia adentro.

El informe de este año, "El efecto en cadena: la marca distintiva de una ciberseguridad resiliente", sostiene que la verdadera resiliencia debe propagarse a través de las capas de dependencia, como socios, plataformas y cadenas de suministro, para absorber y mitigar los impactos externos antes de que desestabilicen las operaciones. Al adoptar un enfoque de resistencia desde el origen que trasciende los límites de la empresa, las organizaciones pueden integrar la capacidad de resistir lo inevitable.

Brechas críticas: cuando falla el enfoque hacia adentro

La seguridad hacia adentro expone a las organizaciones en cuatro áreas clave. En primer lugar, la dependencia de terceros es una fuente importante de vulnerabilidad: el 68 % depende más de terceros, pero menos de la mitad ha actualizado su estrategia de resiliencia y la adopción de controles de riesgo está por debajo del 50 %. Esta brecha de alto riesgo hizo que el año pasado, el 60 % de las organizaciones sufrieran una falla significativa causada por el proveedor. Lo más alarmante es que solo la mitad de las organizaciones (54 %) tienen cobertura contra la vulneración de terceros por el ciberseguro. En segundo lugar, la evolución tecnológica plantea un desafío: el 52 % de los líderes de TI consideran que su seguridad actual no puede protegerlos contra amenazas existentes o emergentes como la IA agéntica y la computación cuántica. Si bien el 42 % está realizando pruebas y el 34 % ha implementado la IA agéntica, la mitad lo hizo sin gobernanza. Siete de cada diez carecen de visibilidad sobre el uso de la "IA oculta", y el 56 % teme que se expongan datos confidenciales. Además, el 57 % no ha incorporado la criptografía postcuántica (PQC) a su estrategia de seguridad, a pesar de que el 60 % reconoce que los datos que se roban hoy podrían estar en riesgo en 3 a 5 años. En tercer lugar, la presión macroeconómica está forzando cambios rápidos: el 74 % de los líderes de TI coinciden en que el macroentorno obliga a realizar giros estratégicos rápidos. Si bien la planificación ha aumentado (71 % de cumplimiento normativo, 69 % de localización de datos), gran parte sigue siendo reactiva. 

La dependencia de la tecnología extranjera está influyendo en los debates sobre políticas y regulaciones de soberanía e impulsando cambios proactivos: nuestra encuesta muestra que los líderes de TI están mitigando activamente este riesgo: el 79 % está evaluando su dependencia de la tecnología extranjera, mientras que seis de cada diez han actualizado su estrategia de ciberresiliencia en el último año para cumplir con exigencias nuevas o cambiantes de soberanía. El año pasado, el 60 % actualizó sus estrategias de ciberresiliencia en respuesta a las normativas cambiantes, como NIS2, DORA y RGPD.

Por último, la arquitectura heredada sigue siendo un obstáculo importante, ya que el 81 % aún depende de manera crítica o moderada de sistemas heredados. El 64 % de los encuestados también admitió que su infraestructura actual dificulta una respuesta eficaz ante fallas, y el 59 % afirma que su arquitectura no puede seguir el ritmo de los cambios empresariales. Para que las organizaciones sean verdaderamente resilientes, deben realizar pruebas de estrés externas, como simular la disrupción cuántica, la innovación en IA y la interdependencia de los proveedores, para descubrir riesgos ocultos. 

Cómo ampliar su capacidad de adaptación mediante el diseño: tres acciones

Para cerrar las brechas de seguridad y liberar el "efecto en cadena" protector, las organizaciones deben extender su consideración de la resiliencia hacia afuera. Esto implica priorizar la visibilidad e integrar la búsqueda proactiva de riesgos en todos los ámbitos, yendo más allá de los sistemas internos para abarcar las fuerzas externas que modelan el riesgo operativo y realizar un seguimiento de los datos en todos los sistemas internos, socios externos y toda la cadena de suministro. Para lograrlo se requieren tres cambios estratégicos:

• Amplíe la perspectiva y haga que los giros arquitectónicos sean manejables: la agilidad es clave, y requiere arquitecturas flexibles que puedan adaptarse rápidamente a las amenazas externas. El diseño de la plataforma simplifica esta adaptación; la complejidad es enemiga de la agilidad, y desacoplar la seguridad de la infraestructura de red es esencial para lograr una velocidad sin obstáculos.
• Priorice la visibilidad e integre la búsqueda proactiva de riesgos en todas partes: pase de la búsqueda reactiva de amenazas a la búsqueda proactiva de riesgos, haciendo un seguimiento de sus datos en todas partes, a través de sistemas internos, socios externos y toda la cadena de suministro.
• Construya sobre la base actual, porque la preparación para el futuro es una evolución, no un salto: con una arquitectura de plataforma sólida e interoperable, la preparación para el futuro se convierte en una evolución. Por ejemplo, la seguridad de la IA agéntica se basa en la protección contra la pérdida de datos (DLP) existente, y la preparación para la criptografía postcuántica es un proceso manejable de visibilidad y actualizaciones incrementales.

Fomentar una resiliencia que se propague hacia afuera.

La plataforma Zscaler Zero Trust Exchange está diseñada para ofrecer esta resiliencia ampliada y orientada hacia afuera. Como plataforma de seguridad nativa de la nube, permite a las organizaciones:

1. Priorizar la visibilidad: con una única plataforma de seguridad superpuesta que impulsa la seguridad de los datos, la seguridad de la IA y la seguridad de terceros, lo que proporciona un control integral en toda la superficie de riesgo, incluidos los contratistas y las cadenas de suministro.
2. Simplificar con un enfoque de plataforma: desacopla la seguridad de la infraestructura de red, lo que permite conexiones seguras basadas en la identidad y permite a las organizaciones reconfigurar rápidamente los mercados o los flujos de datos a medida que cambian las condiciones, incluso cumpliendo con los requisitos de soberanía de datos con 25 centros de datos en toda Europa.
3. Ofrecer la capacidad de adaptarse rápidamente basándose en el principio Zero Trust: proporciona una vía evolutiva, donde la seguridad de la GenAI y la visibilidad de la criptografía postcuántica son simplemente capacidades que se activan desde un único panel de control, basándose en controles unificados para proporcionar una preparación a largo plazo.

En la economía actual de colaboración con terceros, la capacidad de recuperación de una organización depende directamente del ecosistema del que dependa. Si una organización no diseña y valida continuamente los controles en todos los proveedores, contratistas y plataformas compartidas, el incidente del socio se convierte en su propia interrupción del servicio.

Para prosperar en medio de la incertidumbre, las organizaciones deben desarrollar resiliencia desde adentro hacia afuera y pasar de medidas reactivas a acciones proactivas y deliberadas.

Construya resiliencia sobre bases sólidas para que la protección que ofrece se extienda hacia afuera, reduciendo el impacto de las perturbaciones externas que escapan a su control.

¿Necesita orientación? Póngase en contacto con Zscaler para potenciar el efecto en cadena en su organización y consulte el informe completo aquí.