Los equipos de ciberseguridad nunca han tenido más confianza en su capacidad para responder a un incidente importante. Se nombran juntas directivas, se amplían los programas de formación y las inversiones siguen aumentando.
A primera vista, esto parece un progreso. Sin embargo, esa confianza puede ser engañosa.
Vicepresidente de Resiliencia Cibernética de Immersive.
Nuestros datos de referencia muestran que, si bien el 94 % de las organizaciones creen que serán eficaces en un incidente cibernético, la precisión de la toma de decisiones real se reduce drásticamente en una situación de crisis. Durante los simulacros de infracción, los tomadores de decisiones toman la decisión correcta solo el 22% del tiempo en promedio, y les lleva horas capturar los eventos.
La brecha entre confianza y capacidad no se debe a falta de esfuerzo, sino a una mala orientación. Con la dirección y las métricas equivocadas para el éxito, el desarrollo de habilidades a menudo genera confianza más rápidamente que la preparación real.
Cuando la confianza supera la capacidad
La brecha entre percepción y desempeño se está ampliando. A pesar de la realización de más ejercicios de capacitación y una fuerte participación del nivel ejecutivo, apenas estamos viendo cambios en los indicadores clave. Las puntuaciones en precisión en la toma de decisiones, tiempo de reacción y resiliencia se mantienen en gran medida estables, incluso cuando la confianza sigue aumentando.
Parte del problema es cómo se mide el progreso. Muchas organizaciones realizan un seguimiento de aspectos que son fáciles de realizar, como las tasas de finalización o la asistencia. Sin embargo, los programas pueden parecer activos y bien alineados, pero no necesariamente, con las amenazas que requieren mayor atención.
Los datos de Immersive muestran que el 36% de los laboratorios completados se centran en habilidades básicas. Si bien los fundamentos son importantes, permanecer en ese nivel limita el progreso. Los equipos pueden completar ejercicios con éxito sin verse obligados a situaciones más complejas y realistas.
Tiende a centrarse en amenazas antiguas o familiares, especialmente en las primeras etapas de un ataque. Con el tiempo, esto crea un modelo en el que el éxito se mide por la realización y no por el desafío.
Centrarse en los fundamentos y la familiaridad significa que los programas de desarrollo no evalúan completamente cómo se desempeñan los equipos bajo presión. Actividades como simulaciones de pesca y sesiones de entrenamiento anuales se llevan a cabo en un ambiente tranquilo y controlado, nada como el caos inesperado, el estrés y la ansiedad de un evento real.
Entonces, los participantes no lograron desarrollar la memoria muscular necesaria para reaccionar ante una crisis y tomar decisiones rápidas con la cabeza fría.
El resultado es visibilidad sin validación: los paneles parecen tranquilizadores pero no reflejan cómo reaccionan los equipos cuando algo sale mal.
Cuidado con el efecto Dunning-Kruger
Esta situación es un problema psicológico muy desgastado en muchos ámbitos de la vida. Los psicólogos llaman a esto el efecto Dunning-Kruger: la tendencia a sobreestimar las propias capacidades cuando se tiene una exposición limitada a un área compleja. Es una mentalidad arriesgada en la mayoría de las situaciones, pero especialmente inútil cuando se enfrenta a una crisis cibernética.
Cuando los equipos dedican la mayor parte de su tiempo a tareas básicas, generan familiaridad y confianza, pero no profundidad. Combinado con métricas que recompensan la finalización, esto crea un circuito de retroalimentación donde la confianza aumenta cuando la capacidad se estanca.
El resultado es la tendencia que vemos en nuestros datos de evaluación comparativa, con una alta confianza en las capacidades de respuesta cibernética y una baja precisión en la toma de decisiones cuando las habilidades se prueban en simulaciones de crisis.
Muchas organizaciones que han invertido una cantidad considerable de capital y tiempo en el desarrollo de habilidades cibernéticas se encontrarán con un duro despertar cuando se produzca un ataque y la presión aumente.
Por qué la experiencia por sí sola ya no es suficiente
Todos estos problemas se suman a una respuesta cibernética paralizante. Los procesos son lentos y fragmentados, y quienes toman las decisiones carecen de confianza para actuar con decisión.
No es sólo un problema de primera línea, sino que en muchas organizaciones la brecha es más pronunciada en la cima.
Estamos viendo un alejamiento de la incertidumbre y hacia situaciones de entrenamiento más familiares.
Por ejemplo, nuestros datos muestran que la participación del personal superior en laboratorios de escenarios centrados en la IA ha disminuido un 14% año tras año, incluso cuando las preocupaciones sobre las amenazas impulsadas por la IA dominan la agenda de ciberseguridad.
La concienciación está aumentando, pero no va acompañada de una formación más avanzada. Cualquier nivel de compromiso y experiencia es mejor que ninguno, pero debe desarrollarse para seguir siendo útil.
Los ataques actuales son más complejos, menos predecibles y, a menudo, impulsados por nuevas tecnologías. Sin exposición a estas situaciones, incluso los equipos experimentados pueden tener dificultades cuando los eventos no siguen patrones familiares.
Cambiar capacidades de actividades
Cerrar esta brecha requiere que las empresas sean honestas acerca de su nivel de desarrollo de habilidades y preparación cibernética. En lugar de buenas métricas y “trofeos de participación” por simplemente completar los módulos, las empresas deben plantearse algunas preguntas difíciles.
¿Están sus equipos y procesos preparados para contener una amenaza? ¿Podrán sus líderes mantener la cabeza fría y tomar las decisiones correctas en una crisis? ¿Cuánto tiempo lleva tomar una decisión y mucho menos ejecutarla?
El objetivo no es aumentar la actividad, sino garantizar que los resultados siempre se centren en desarrollar capacidades más fuertes. Eso comienza con medir las cosas correctas. La precisión de las decisiones, la velocidad de respuesta y el tiempo de contención brindan una visión mucho más clara de la preparación que la tasa de finalización.
La formación también debe reflejar las condiciones del mundo real. Las simulaciones de alto estrés ayudan a los equipos a comprender cómo se desempeñan realmente, no solo lo que saben. Los datos se pueden analizar a nivel granular para comprender el desempeño a nivel de departamento, equipo e individuo.
Un mal resultado en esta situación no es un fracaso, sino una señal útil de dónde es necesario mejorar.
Luego se pueden combinar los planes de desarrollo y los ejercicios futuros.
Los programas también deben construirse progresivamente, pasando de las habilidades fundamentales a situaciones más complejas lideradas por el oponente. La práctica regular, con dificultad creciente, ayuda a desarrollar la coherencia necesaria en un evento real.
La confianza no es control
La confianza es valiosa, pero no es una medida de preparación cibernética. Cuando la capacitación prioriza el reconocimiento y las métricas se centran en las operaciones, las organizaciones corren el riesgo de crear una sensación de seguridad que no puede mantenerse cuando más importa.
Los equipos pueden sentirse preparados, pero luchan cuando se enfrentan a la presión y la complejidad de un ataque real.
Mejorar la resiliencia significa cambiar la definición de éxito. Lo que importa no es cuánto entrenamiento se realiza, sino cómo se desempeñan los equipos. Sólo centrándose en amenazas reales y probando capacidades en condiciones realistas podrán las organizaciones garantizar que su confianza esté justificada.
Hemos presentado el mejor software de cifrado.
Este artículo fue producido en parte Perspectiva profesional de TechRadarNuestro canal para mostrar las mejores y más brillantes mentes de la industria tecnológica actual.
Las opiniones expresadas aquí son las del autor y no necesariamente las de TechRadarPro o Future plc. Si está interesado en contribuir, obtenga más información aquí:
