La economía digital se mantiene a un ritmo acelerado, brindando oportunidades de crecimiento a las empresas, naciones e individuos. Así lo expone en el primer volumen de la Perspectiva de la Economía Digital 2024 de la OCDE, donde se menciona que el sector de las TIC durante el 2023 obtuvo una tasa de crecimiento promedio del 7,6%.
Sin embargo, a la par de este crecimiento va el cibercrimen, se pronostica que el costo global del delito cibernético aumentará a 23,84 billones de dólares para 2027, frente a 8,44 billones de dólares en 2022, según estimaciones de Statista (plataforma online que ofrece datos e inteligencia empresarial a nivel mundial).
Aquí es donde el concepto propuesto por Gartner en 2022 conocido como “Continuous Threat Exposure Management o CTEM” se erige para hacer frente al crecimiento agresivo de los ataques informáticos mediante un enfoque de ciberseguridad proactivo, lo que hace posible incrementar las defensas contra problemas cada vez sofisticados.
En este artículo veremos de qué se trata este concepto, cómo funciona, que lo compone y cómo beneficia a las empresas que lo apliquen.
¿Qué es Continuous Threat Exposure Management o CTEM?
Según Gartner, Continuous Threat Exposure Management (CTEM) se basa en un enfoque integral de ciberseguridad, que se centra en identificar, evaluar, priorizar y mitigar continuamente las posibles amenazas a las que una organización se enfrenta.
CTEM se diferencia de la gestión tradicional de vulnerabilidades al adoptar una perspectiva ofensiva, simulando ataques y evaluando la efectividad de las defensas actuales. Este método proactivo ayuda a las organizaciones a entender no sólo “qué” vulnerabilidades existen, sino también “por qué” y “cómo” podrían ser explotadas.
El objetivo principal de la continua exposición a amenazas (CTEM) es diseñar planes viables de mejoras que buscan perfeccionar constantemente los procesos de ciberseguridad en las organizaciones. El marco de CTEM incluye cinco etapas clave:
- Definición del Alcance.
- Descubrimiento.
- Priorización.
- Validación.
- Movilización
Cómo funciona el ciclo CTEM
Según Gartner, CTEM es un programa detallado que optimiza la seguridad cibernética mediante 2 fases interrelacionadas (diagnóstico y acción) por las 5 etapas mencionadas anteriormente. Veamos cada una de ellas a continuación:
Fase de Diagnóstico – Se identifica y mapea las prioridades y debilidades:
1. Definición del alcance
La primera etapa tiene como objetivo entender e identificar los activos más importantes de una organización y los posibles impactos en el negocio. En esta fase, es crucial obtener una visión clara y precisa de lo que debe ser protegido, refinando esta comprensión continuamente a medida que se completa cada ciclo del programa. Esto garantiza que las prioridades de seguridad se alineen con los objetivos y necesidades empresariales.
2. Descubrimiento
La segunda etapa es en la cual se descubren los activos y sus perfiles de riesgo. Esto incluye la identificación de configuraciones incorrectas, controles de seguridad débiles y otras vulnerabilidades.
La clave aquí no es solo cuantificar el número de activos y vulnerabilidades, sino evaluar su relevancia para el riesgo empresarial. El éxito en esta etapa no se mide por la cantidad de vulnerabilidades encontradas, sino por la precisión en la identificación de riesgos críticos que pueden tener un impacto significativo en la organización.
3. Priorización
En esta etapa, el enfoque se centra en las amenazas más críticas basadas en su impacto y probabilidad de explotación. En lugar de intentar remediar todas las vulnerabilidades identificadas, la prioridad se da a aquellas que representan el mayor riesgo.
La priorización debe basarse en indicadores que proporcionen una imagen precisa del impacto y la probabilidad, tales como la gravedad de las amenazas y la disponibilidad de controles de seguridad efectivos.
Fase de Acción – Se evalúa y mejora la postura de seguridad mediante medidas correctivas:
4. Validación
Se busca refinar continuamente las prioridades de optimización de la ciberseguridad. Aquí, se valida cómo los atacantes potenciales podrían explotar una vulnerabilidad identificada y cómo responderían los sistemas de monitoreo y control de la organización.
Esto incluye la simulación controlada de técnicas de ataque relevantes y la verificación de las soluciones sugeridas para mejorar la protección. La validación puede involucrar ejercicios de red teaming y pruebas de penetración para extender su alcance.
5. Movilización
Finalmente, se asegura que los hallazgos se implementen operativamente, reduciendo los obstáculos para la aprobación, los procesos de implementación y el despliegue de mitigaciones.
Esta fase requiere establecer estándares claros de comunicación y documentar flujos de trabajo de aprobación entre equipos, contando con el apoyo de los líderes empresariales. La movilización es crucial para asegurar que las medidas de seguridad no solo sean identificadas y validadas, sino también implementadas de manera efectiva para reducir el riesgo de ataques futuros.
Estas etapas forman un ciclo continuo que permite a las organizaciones adaptar y mejorar constantemente su postura de seguridad en respuesta a nuevas amenazas y vulnerabilidades descubiertas, proporcionando una visión proactiva y preventiva de la gestión de la exposición a amenazas.
Beneficios de adoptar un enfoque CTEM en las empresas
La implementación del enfoque Continuous Threat Exposure Management (CTEM) en las empresas ofrece múltiples beneficios clave que mejoran significativamente la postura de seguridad cibernética de una organización. Aquí se detallan cinco beneficios clave:
- Reducción de brechas de seguridad: CTEM permite a las empresas identificar y mitigar las vulnerabilidades antes de que puedan ser explotadas por atacantes. Según Gartner, las organizaciones que priorizan sus inversiones en seguridad basadas en un programa de gestión continua de exposición a amenazas verán una reducción de dos tercios en las brechas de seguridad para 2026.
- Visión integral y proactiva de la ciberseguridad: A diferencia de los enfoques tradicionales que tienden a ser reactivos, CTEM adopta una postura proactiva, proporcionando una evaluación continua de las amenazas y vulnerabilidades. Esto ayuda a las organizaciones a entender no solo las vulnerabilidades existentes sino también el contexto y las posibles formas de explotación, mejorando así la capacidad de respuesta y prevención.
- Mejora en la priorización de recursos: CTEM ayuda a las empresas a focalizar sus esfuerzos y recursos en las amenazas más críticas basadas en su impacto y probabilidad. Esto permite una gestión más eficiente de los recursos de seguridad, asegurando que se abordan primero las vulnerabilidades que representan el mayor riesgo para la organización.
- Integración y optimización de procesos de seguridad: El enfoque CTEM fomenta la integración de diversas herramientas y procesos de seguridad en una plataforma cohesiva. Esto mejora la eficiencia y efectividad de las operaciones de seguridad, permitiendo una mejor coordinación y análisis de datos para obtener insights preventivos más profundos.
- Mayor resiliencia y adaptabilidad: La naturaleza cíclica de CTEM permite a las organizaciones adaptar continuamente sus estrategias de seguridad en respuesta a nuevas amenazas y vulnerabilidades descubiertas. Este enfoque dinámico y adaptativo mejora la resiliencia general de la organización frente a los ciberataques, asegurando que las medidas de seguridad estén siempre actualizadas y alineadas con las amenazas emergentes.
Estos beneficios destacan cómo CTEM no solo fortalece la defensa cibernética de una empresa, sino que también optimiza el uso de recursos y mejora la capacidad de adaptación ante el cambiante panorama de amenazas.
Primeros pasos para implementar CTEM en las empresas
Para que una empresa comience a implementar el enfoque Continuous Threat Exposure Management (CTEM), los líderes de TI deben seguir una serie de pasos fundamentales. A continuación veremos una guia inicial de 5 pasos para el establecimiento de una base sólida en CTEM y asegurar su efectividad a largo plazo:
1. Evaluación inicial y definición del alcance
El primer paso es identificar y abordar los diversos tipos de amenazas a los que están expuestos los activos más críticos de la organización. Esto permite establecer escenarios que evidencian las brechas y vectores de ataque para calcular las probabilidades de éxito en caso de incidentes.
Esta evaluación debe incluir una comprensión detallada de la infraestructura actual para definir el alcance y asegurar la participación tanto de los equipos de TI como de los líderes empresariales, garantizando que todas las áreas importantes estén cubiertas y alineadas con los objetivos de seguridad.
2. Establecimiento de un equipo de seguridad multidisciplinario
En el CTEM, los equipos de ciberseguridad juegan un rol fundamental, monitoreando alertas, investigando incidentes y aplicando medidas correctivas (como en un SOC o CSIRT).
Los analistas de riesgos evalúan y priorizan las vulnerabilidades, dirigiendo los esfuerzos de mitigación. Finalmente, los equipos de TI y desarrolladores aplican parches y modifican software para resolver vulnerabilidades, asegurando la integridad y seguridad de los sistemas y redes de la organización.
3. Selección e implementación de herramientas de monitoreo y evaluación
Una vez integrados los equipos, es necesario implementar herramientas de monitoreo continuo y evaluación de amenazas que permitan una visibilidad completa sobre la infraestructura de TI.
Estas herramientas pueden incluir sistemas de detección de intrusiones (como XDR o EDR), plataformas de gestión de vulnerabilidades, y soluciones de simulación de ataques. Estas implementaciones son esenciales para el descubrimiento continuo de vulnerabilidades y la evaluación de riesgos.
4. Desarrollo de procedimientos de priorización y respuesta
Es necesario establecer procedimientos claros para priorizar las amenazas identificadas y responder a ellas de manera efectiva.
Esto incluye definir criterios de priorización basados en el impacto potencial y la probabilidad de explotación de cada vulnerabilidad. Además, se deben desarrollar planes de respuesta que incluyan acciones específicas para mitigar los riesgos más críticos de manera oportuna.
5. Implementación de un proceso de validación continua
Todo ciclo CTEM debe contener un proceso de validación que incluya la realización de pruebas regulares, como ejercicios de red teaming y pruebas de penetración.
Estos ejercicios deben ser utilizados para validar la efectividad de las medidas de seguridad implementadas y para identificar áreas que necesiten mejoras. La validación continua asegura que las defensas estén siempre optimizadas frente a las amenazas emergentes.
6. Establecimiento de mecanismos de comunicación y movilización
Como último paso para implementar de forma básica el CTEM es necesario desarrollar mecanismos eficientes de comunicación y movilización para asegurar que los hallazgos de seguridad sean correspondidos y abordados de manera efectiva.
Esto incluye la creación de flujos de trabajo documentados y la obtención del apoyo de los líderes empresariales para la implementación de medidas de mitigación. La movilización efectiva es crucial para garantizar que las soluciones de seguridad se implementen rápidamente y con el menor obstáculo posible.
Siguiendo estos pasos iniciales, una empresa puede comenzar a construir un programa CTEM robusto que no solo mejora su postura de seguridad actual, sino que también la prepara para enfrentar amenazas futuras de manera más efectiva.
CTEM: Enfoque de seguridad robusto a largo plazo
En conclusión, la implementación del Continuous Threat Exposure Management (CTEM) representa un cambio crucial en la ciberseguridad empresarial. Este enfoque proactivo y continuo permite a las organizaciones identificar y mitigar amenazas antes de que se conviertan en incidentes graves, reduciendo significativamente el riesgo de brechas de seguridad en el mediano y largo plazo.
Una encuesta realizada por Gartner Peer Connect encontró que el 71 % de las organizaciones podrían beneficiarse de un enfoque CTEM, y el 60% de los encuestados ya están siguiendo un programa CTEM o están considerando hacerlo.
Por lo tanto los líderes empresariales deben asumir un papel activo como impulsores del cambio, asegurando que la adopción de CTEM esté alineada con los objetivos estratégicos de la organización.