In recent times, the evolution of cyber threats both quantitatively and qualitatively has necessitated a corresponding evolution in the conceptualization and practical application of cybersecurity.

Not too many years ago, attackers primarily aimed to gain public notoriety by showcasing their skills in compromising systems. These attacks were executed without much regard for the "target" and over short periods, giving victims reasonable time to recover as they were usually aware of the incident almost immediately. The damage typically did not extend beyond reputational harm: most hackers sought to boost their egos rather than their wallets, and cybersecurity was not perceived as a public order issue.

Today, threats and attacks against individuals or institutions, both public and private, are much more sophisticated and complex. They have clear, consciously chosen objectives, and the visible effects are often the result of months of social engineering during which cybercriminals study habits, weaknesses, social media posts, vectors, and access points. Victims often only become aware at the end of this process when countering or recovering from the attack is already very difficult. The motivations behind intrusions are now often economic or even political. Today, most malicious actors view their activities as a way to make a living, albeit illegally, and this notion blurs when states themselves pay hacker teams in their struggle for geopolitical supremacy.

Cybersecurity as a product

Given the current cybersecurity landscape, it is not difficult to infer that solutions that once worked are no longer valid. It is no longer enough to understand cybersecurity as a product, i.e., acquiring the appropriate hardware and software and properly implementing them within organizations is no longer sufficient to prevent and address security incidents.

In fact, limiting this is counterproductive and certainly dangerous. This approach of seeing technical solutions as the only solutions can lead to a false sense of security and excessive dependence on tools without considering aspects like employee training, continuous risk assessment, and security policy updates.

The consequences of this view can be fatal for several logical reasons:

  • Technical security solutions alone cannot address all potential vulnerabilities within an organization, especially those resulting from human error or misconfigurations.

  • Slow responses to new threats. Currently, cyber threats evolve rapidly; without a continuous process to identify and mitigate them, organizations can remain exposed for long periods.

  • Lack of organizational resilience. Without a process-based approach, organizations may struggle to respond and recover effectively and quickly from cybersecurity incidents.

Cybersecurity as a process

To avoid the dangers of understanding cybersecurity as a product, most experts and developed standards in this field agree on proposing that cybersecurity should be conceived as a process within the business development of organizations. This should involve:

  • A holistic and continuous approach materialized in clear cybersecurity policies and strategies that include constant risk assessment, control implementation, network/system monitoring, and incident response plan design.

  • The ability to adapt to constantly evolving threats, allowing organizations to update their security strategies to address emerging vulnerabilities.

  • Training and awareness of all organization members, starting from top management, on best practices and the current threat landscape, contributing to creating a solid security culture within the organization.

  • Continuous evaluation and improvement of cybersecurity policies, practices, and strategies to identify areas and margins for improvement. In this process, regular audits, whether internal or external, penetration tests on equipment, networks, and systems, and the review of past incidents are tremendously useful tools in strengthening an organization's resilience.

Conclusion

In conclusion, understanding cybersecurity as a process rather than a product is vital today for building an effective and adaptive defense against an ever-evolving cyber threat landscape. This comprehensive and continuous approach ensures that organizations not only implement security technologies, which are undoubtedly important, but also develop a robust security strategy and culture that evolve over time.

—---------------------------------

La evolución de la ciberseguridad: De producto a proceso

En los últimos tiempos, la evolución de las amenazas cibernéticas tanto a nivel cuantitativo como cualitativo, ha obligado a hacer evolucionar también la conceptualización de lo que se entiende como ciberseguridad en lo que su aplicación práctica se refiere.

Hace no demasiados años, el objetivo de los atacantes se cimentaba sobre todo en la pretensión de ganar notoriedad pública, demostrando habilidades a la hora de comprometer los sistemas. Los ataques se ejecutaban sin importar demasiado quién era el “target” y en periodos cortos de tiempo, lo cual otorgaba a las víctimas márgenes razonables para la recuperación, ya que solían ser conscientes del incidente prácticamente en cuanto se producía. Los daños no solían ir más allá de perjuicios para la imagen reputacional de las organizaciones: la mayoría de los hackers buscaban más engordar su ego que su bolsillo y el asunto de la ciberseguridad no se percibía como un problema de orden público.

Hoy en día, las amenazas y ataques contra personas o instituciones tanto públicas como privadas son mucho más sofisticados y complejos, tienen objetivos claros y escogidos a conciencia y los efectos visibles suelen ser el resultado de meses de ingeniería social durante los cuales los ciberdelincuentes estudian hábitos, debilidades, publicaciones en redes sociales, vectores y puntos de acceso… Las víctimas solo suelen ser conscientes al final de este proceso y cuando la tarea de contrarrestar o recuperarse del ataque ya resulta muy complicada. Las motivaciones de las intrusiones ya son muy frecuentemente de índole económica e incluso política. Hoy, la mayoría de los agentes maliciosos perciben su actividad como una forma de ganarse la vida, de forma ilegal debiera decirse, aunque este concepto se difumina cuando son los propios estados los que pagan a equipos de hackers en su lucha por la supremacía geopolítica.

La ciberseguridad entendida como producto

Siendo conscientes del panorama actual en lo que a la seguridad cibernética se refiere, no resulta difícil inferir que las soluciones que antaño podían funcionar, ya no son válidas. Ya no basta con entender la ciberseguridad como un producto, es decir, la adquisición de hardware y software adecuado y su correcta implantación dentro de las organizaciones, ya no son suficientes para prevenir y subsanar incidentes de seguridad.

De hecho, limitarse a esto resulta contraproducente y ciertamente peligroso. Este enfoque de concebir las soluciones técnicas como soluciones únicas puede derivar en una falsa sensación de seguridad y una dependencia excesiva de herramientas sin tener en cuenta aspectos como la capacitación de empleados, la evaluación continua de riesgos y la actualización de políticas de seguridad.

Las consecuencias de esta visión pueden resultar fatales por varias razones bastante lógicas:

  • Las soluciones técnicas de seguridad por sí solas no pueden abordar todas las potenciales vulnerabilidades que pueden darse dentro de una organización, especialmente aquellas que resultan de errores humanos o configuraciones incorrectas.

  • Respuestas lentas a nuevas amenazas. Dado que, en la actualidad, las amenazas cibernéticas evolucionan rápidamente, sin un proceso continuo para identificarlas y mitigarlas, las organizaciones pueden quedar expuestas durante largos periodos de tiempo.

  • Falta de resiliencia organizacional. Sin un enfoque basado en procesos, las organizaciones pueden encontrar dificultades para responder y recuperarse de manera efectiva y rápida ante incidentes de ciberseguridad.

La ciberseguridad entendida como proceso

Con el fin de evitar los peligros que implica entender la ciberseguridad como un producto, la inmensa mayoría de expertos y estándares desarrollados en esta materia están de acuerdo a la hora de proponer que la seguridad cibernética sea concebida como un proceso más dentro del desarrollo de negocio de las organizaciones. Esto debe implicar:

  • Un enfoque holístico y continuo materializado en políticas y estrategias claras de ciberseguridad que incluyan la evaluación constante de riesgos, la implementación de controles, la monitorización de redes/sistemas y el diseño de planes de respuesta ante incidentes.

  • La capacidad de adaptación a amenazas que evolucionan constantemente, lo cual permite a las organizaciones actualizar sus estrategias de seguridad para enfrentarse a vulnerabilidades emergentes.

  • La capacitación y concienciación de todos los integrantes de la organización, empezando por la alta dirección, sobre las mejores prácticas y el panorama actual de amenazas que les puedan afectar, contribuye a crear una cultura de seguridad sólida dentro de dicha organización.

  • La evaluación y mejora continua de las políticas, prácticas y estrategias de ciberseguridad permite identificar áreas y márgenes de mejora. En este proceso, las auditorías regulares, ya sean internas o externas, los test de penetración sobre equipos, redes y sistemas y la revisión de incidentes pasados, son herramientas tremendamente útiles a la hora de fortalecer la resiliencia de una organización.

Conclusión

En conclusión, entender la ciberseguridad como un proceso en lugar de un producto resulta vital hoy en día a la hora de construir una defensa efectiva y adaptativa frente a un panorama de amenazas de ciberseguridad en constante evolución.

Este enfoque totalizador y continuo garantiza que las organizaciones no solo implementen tecnologías de seguridad, es decir, el producto, que es importante sin duda, sino que también desarrollen una estrategia y cultura de seguridad robustas que evolucionen con el tiempo.