En el informe Pentest 2025 recientemente publicado, Pentera investigó 500 CISO en la empresa global para comprender las estrategias, tácticas y herramientas que utiliza para abordar miles de alertas de seguridad, violaciones persistentes y crecientes riesgos cibernéticos. Los hallazgos revelan una imagen compleja de progreso, desafíos y formas cambiantes de pensar sobre cómo las empresas abordan las pruebas de seguridad.
Más herramientas, más datos, más protección … sin garantía
Durante el año pasado, el 45% de las empresas han ampliado su pila de tecnología de seguridad, y las organizaciones ahora administran un promedio de 75 soluciones de seguridad diferentes.
Sin embargo, a pesar de estas capas de herramientas de seguridad, el 67% de las empresas estadounidenses han experimentado violaciones en los últimos 24 meses. El creciente número de herramientas implementadas tiene algún impacto en las operaciones diarias de la organización y la actitud cibernética general.
Parece claro, pero los hallazgos cuentan una historia clara. Más herramientas de seguridad mejorarán su actitud de seguridad. Sin embargo, no hay balas de plata. Entre las organizaciones con menos de 50 herramientas de seguridad, el 93% reportó violaciones. A medida que aumenta el tamaño de la pila, ese porcentaje cae constantemente, cayendo al 61% de las personas que usan más de 100 herramientas.
La fatiga alerta es real
El backstage de una gran pila de seguridad es que CISOS y sus equipos deben competir con una mayor afluencia de información. Las empresas, que administra más de 75 soluciones de seguridad, enfrentan un promedio de 2,000 alertas por semana. En comparación con las organizaciones con pilas más pequeñas, tienen el doble de volumen, y aquellos con más de 100 herramientas reciben más de 3000 (tres veces las alertas).
Esto pone un mayor énfasis en la priorización efectiva. De lo contrario, las amenazas críticas podrían enterrarse en el mar de alertas. En este entorno con volúmenes de alerta máxima y poco tiempo para el triaje, las organizaciones se benefician más cuando pueden probar brechas explotables con frecuencia, por lo que saben qué problemas son realmente importantes antes de que los actores de amenaza los encuentren por primera vez.
Adquirir pruebas de lápiz basadas en software
La confianza en las pruebas de seguridad basadas en software está creciendo rápidamente. Hace solo cinco o diez años, muchas compañías nunca permitieron herramientas automatizadas para ejecutar Pentests en sus entornos por temor a causar un cierre, pero las emociones están cambiando.
A medida que CISOS continúa reconociendo los beneficios del software en la escala de pruebas adversas y mantiene un entorno de TI y ritmo en constante cambio, las pruebas de pluma basadas en software se están convirtiendo en la norma. Hoy, más de la mitad de las empresas usan estas herramientas para apoyar las pruebas internas impulsadas por la necesidad de estrategias de verificación continua confiables y escalables. Hoy, el 50% de CISOS cita las soluciones de prueba de pluma basadas en software como la forma principal de descubrir brechas explotables.
Los proveedores de seguros se convierten en influenciadores inesperados
Más allá de la gestión interna y las juntas, un nuevo poder increíble está dando forma a las estrategias de seguridad, a saber, proveedores de seguros cibernéticos. El 59% de los CISO admitieron que implementaron al menos una solución de ciberseguridad que no habían considerado previamente como resultado de las aseguradoras cibernéticas. Es una clara indicación de que las aseguradoras están prescribiendo de manera proactiva formas de reducirlo, no solo los riesgos de fijación de precios y remodelando las prioridades de seguridad de las empresas en el proceso.
Baja confianza en el apoyo del gobierno
Las agencias gubernamentales como CISA (EE. UU.) Y ENISA (UE) juegan un papel clave en la visibilidad y la coordinación de amenazas, pero la confianza del gobierno en el apoyo de ciberseguridad es sorprendentemente baja.
Solo el 14% de las CISO que creen que el gobierno apoya adecuadamente las agendas cibernéticas del sector privado, mientras que el 64% siente que los esfuerzos del gobierno no son reconocidos sino insuficientes. El 22% cree que no pueden confiar en el gobierno en absoluto para la ayuda de ciberseguridad.
Para comparar las prácticas, presupuestos y prioridades de su organización para otras empresas globales, regístrese para un seminario web el 27 de mayo de 2025, donde los analistas de seguridad senior discuten los hallazgos clave. ¡O obtenga el estado completo del Informe Pentest 2025 y vea todas sus ideas!
Nota: Este artículo fue escrito y contribuido por Jay Martane, un taburete de campo en Pentera.
Source link
