Las pruebas de penetración son ahora fundamentales para la estrategia del CISO

Publicado por: Manuel Abreu Ortiz - social@manuelabreuo.com

Los líderes de seguridad están replanteando su enfoque de la ciberseguridad a medida que las cadenas de suministro digitales se expanden y la IA generativa se integra en sistemas críticos. Una encuesta reciente realizada por Emerald Research a 225 líderes de seguridad reveló que el 68 % está preocupado por los riesgos que representan el software y los componentes de terceros. Si bien la mayoría afirma cumplir con los requisitos regulatorios, el 60 % admite que los atacantes evolucionan demasiado rápido para mantener la resiliencia.

El informe destaca una creciente tensión entre el cumplimiento normativo y la seguridad real. Como se afirma en una sección: «Los líderes de seguridad exigen controles más estrictos, una remediación más rápida y una mayor visibilidad de los riesgos emergentes de la IA». Muchos consideran ahora la ciberseguridad un asunto estratégico para el negocio, más que solo técnico.

Las herramientas de terceros siguen siendo la principal preocupación, pero la IA generativa se está consolidando. Casi la mitad de los encuestados afirma sentirse incómoda con las funciones basadas en IA y los grandes modelos de lenguaje. Las juntas directivas también están tomando nota. El 68 % de los líderes de seguridad afirma que su junta directiva considera ahora la implementación segura de GenAI como una prioridad crítica.

Estas preocupaciones no son hipotéticas. Las pruebas de penetración de aplicaciones de IA revelaron que el 32 % presentaba vulnerabilidades de alto riesgo. Esta es una tasa de hallazgos graves mayor que en otras categorías de sistemas. Las fallas más comunes no eran exclusivas de la IA, sino problemas clásicos como la inyección de SQL y los scripts entre sitios almacenados.

La complejidad de las cadenas de suministro de software también genera preocupación. Actualmente, la mayoría de las organizaciones dependen de una combinación de código propietario, componentes de código abierto y servicios externos. El 73 % de los ejecutivos encuestados afirmó haber recibido al menos una notificación de una vulnerabilidad o incidente en la cadena de suministro durante el último año. En respuesta, el 83 % se enfrenta ahora a requisitos formales para demostrar la seguridad de los proveedores, y más de la mitad exige a los proveedores pruebas de penetración e informes de vulnerabilidades.

Estas medidas también están moldeando las relaciones con los clientes. «El 74 % de los líderes de seguridad cree que las pruebas de penetración periódicas y documentadas mejoran la credibilidad con los clientes y pueden ofrecer una ventaja competitiva en las compras».

Las pruebas de penetración ya no se consideran un requisito indispensable. Se han convertido en un elemento fundamental de los programas de seguridad empresarial. El 88 % de los líderes de seguridad las consideran vitales. Más de la mitad afirma utilizarlas para validar su propio software. Más de la mitad también exige pruebas de penetración de terceros antes de lanzar el software a sus clientes.

La encuesta reveló que el 49 % planea utilizar pruebas de penetración para identificar vulnerabilidades en la cadena de suministro de software, y el 44 % planea utilizarlas para descubrir amenazas internas. Esta práctica se está integrando en todo el ciclo de vida del desarrollo y los flujos de trabajo de compras.

La IA generativa se perfila como un riesgo nuevo e impredecible. El 66 % de los encuestados afirma que la IA generativa ayuda a los atacantes a analizar datos y evadir las defensas. Más de la mitad teme que la IA pueda automatizar todo el ciclo de vida de los ataques, y al 62 % le preocupa que las herramientas de desarrollo de IA puedan introducir vulnerabilidades ocultas en el código fuente.

La protección de datos es el núcleo de estas preocupaciones. «El 44 % de los líderes cita la contaminación de modelos y el robo de propiedad intelectual como los riesgos más urgentes relacionados con GenAI». Otros citan la fuga de datos de entrenamiento, el uso no autorizado de la plataforma y el sesgo en los resultados de la IA. A pesar de la novedad de la IA, los problemas subyacentes aún se remontan a los problemas clásicos de seguridad del software.

Los equipos de seguridad exigen nuevas herramientas y estándares. Más de la mitad desea herramientas específicas para evaluar la seguridad de GenAI antes de su implementación. Un número similar desea orientación sobre cómo usar la IA de forma defensiva. El 48 % afirma necesitar marcos para detectar y responder a los ataques generados por IA. Como se afirma en una sección del informe: «Sin estas medidas de seguridad, la promesa de innovación puede ir en detrimento de la seguridad a largo plazo y la reputación de la marca».

Los CISO se ven obligados a adoptar una mentalidad más ofensiva. Muchos integran las pruebas de penetración en los acuerdos con los proveedores y aplican el mismo rigor a los sistemas de IA que a la infraestructura tradicional. Una recomendación dice: «Convertir las pruebas de penetración en una parte innegociable de la contratación y de todo el ciclo de vida del desarrollo de software».

Fuente y redacción: helpnetsecurity.com

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *