Riesgos de la Automatización en la Ciberseguridad: Demandas para las Juntas
Publicado el
La Nueva Realidad de la Ciberseguridad
El panorama de la ciberseguridad ha cambiado drásticamente con la llegada de la inteligencia artificial (IA) que automatiza la explotación cibernética. Los ataques ya no requieren las habilidades y el tiempo que antes se necesitaban. Ahora, los actores maliciosos utilizan sistemas de IA para acelerar todo el proceso ofensivo, desde la reconocimiento hasta la explotación.
Este cambio ha llevado a que las juntas directivas se enfrenten a una pregunta crucial tras un incidente: "¿Por qué no actuaron cuando sabían de la vulnerabilidad?". Durante años, muchas juntas han tratado la acumulación de vulnerabilidades como un hecho incómodo, justificando su inacción con excusas que ahora resultan insuficientes.
La Complacencia Ante las Vulnerabilidades
En el pasado, tener miles de CVE abiertas se podía racionalizar como un problema de priorización. Sin embargo, con la automatización, los atacantes pueden pasar de descubrir a explotar vulnerabilidades en un tiempo significativamente menor. Por lo tanto, la frase "estamos trabajando en la acumulación de vulnerabilidades" se convierte en una mera excusa. La afirmación de que el CISO tiene la situación bajo control es peligrosa, pues la responsabilidad de las vulnerabilidades es un problema estructural que va más allá de un solo ejecutivo.
La Responsabilidad de las Juntas Directivas
Las juntas directivas no pueden delegar su responsabilidad de gobernanza. Según los casos de Caremark en Delaware, deben establecer sistemas de reporte que expongan los riesgos significativos y participar activamente en lo que esos sistemas informan. Si los informes indican que hay miles de vulnerabilidades críticas abiertas, es deber de la junta ejercer su supervisión de manera efectiva.
Demandas para un Enfoque Proactivo
Los miembros de las juntas deben buscar la verdad operativa. Deben centrarse en la resiliencia tecnológica de la empresa, no solo en el cumplimiento normativo. En este contexto, los líderes de seguridad deberían implementar sistemas operativos que ofrezcan visibilidad clara sobre la gestión de vulnerabilidades. Algunas preguntas clave que deben hacerse son:
- ¿Cómo se gestiona nuestro programa de gestión de vulnerabilidades de principio a fin? - ¿Cuántas vulnerabilidades críticas y altas tenemos actualmente en nuestros productos? - ¿Cuánto tiempo hemos tardado en remediar nuevas vulnerabilidades críticas en el último trimestre? - Si se detectara una nueva vulnerabilidad en nuestro producto más vendido, ¿cuánto tiempo tardaríamos en garantizar su seguridad a los clientes?
La Realidad de la Cadena de Suministro
Las responsabilidades están cambiando a medida que los reguladores se enfocan en la higiene de la cadena de suministro de software y la resiliencia operativa. En la UE, la Cyber Resilience Act (CRA) ha entrado en vigor, estableciendo nuevas obligaciones que comenzarán a aplicarse en diciembre de 2027. Esto impactará a muchas organizaciones que deberán cumplir con expectativas más estrictas sobre el manejo de vulnerabilidades y prácticas seguras en el ciclo de vida del software.
En conclusión, las juntas directivas deben adoptar un enfoque más activo y consciente frente a la ciberseguridad. La automatización de la explotación cibernética representa un riesgo significativo que no puede ser ignorado, y es esencial que los líderes se comprometan a abordar estas vulnerabilidades de manera efectiva.