A medida que las empresas continúan acelerando la adopción de tecnologías cloud e inteligencia artificial (IA), la deuda de seguridad —es decir, el riesgo acumulado que generan los sistemas obsoletos, el aplazamiento de soluciones, las vulnerabilidades sin parchear o los programas infradotados— se ha convertido en una de las mayores amenazas para la resiliencia de las empresas en España y Europa.
Los sistemas sin actualizar, una gestión débil de identidades y accesos, la monitorización y las alertas en silos, así como las brechas en la gobernanza y la supervisión son solo algunos ejemplos de deuda de seguridad que pueden provocar un daño operativo, financiero, reputacional y estratégico significativo para las organizaciones. Por eso, ISACA ha presentado una herramienta denominada Security Debt Index (SDI), analiza los impactos de la deuda de seguridad de una empresa, así como distintas pautas para identificarla, medirla y cuantificarla, tal y como se explica en el white paper gratuito Security Debt: The Unseen Risk Undermining Cyber Resilience.
Diseñado para utilizarse de forma complementaria a las valoraciones de riesgo ya existentes, el modelo SDI proporciona a las organizaciones una puntuación compuesta para analizar si su nivel general de deuda de seguridad está mejorando o empeorando, ofreciendo indicadores direccionales que pueden apoyar la toma de decisiones. Cuando se utiliza de forma consistente, puede revelar patrones, ayudar a comparar tendencias de deuda entre sistemas, equipos o periodos, y priorizar la remediación allí donde el riesgo es material y se está acelerando.
El SDI tiene en cuenta tres dimensiones, cada una de ellas valorada en una escala normalizada:
- Gravedad: el impacto de negocio de cada problema.
- Duración: el tiempo que la deuda lleva sin resolverse.
- Velocidad: la rapidez con la que aparecen nuevos problemas del mismo tipo.
Por otra parte, esta herramienta también analiza cómo las organizaciones pueden gestionar y reducir la deuda de seguridad, por ejemplo, mediante el uso de un registro de riesgos, la incorporación de mecanismos de seguridad en los procesos DevOps y la adopción de un enfoque de confianza cero. Además, establece buenas prácticas para saber qué riesgos conviene abordar, posponer o compartir, entre ellas:
- Mitigar el riesgo cuando la exposición amenace las operaciones, el cumplimiento normativo o la confianza.
- Transferir el riesgo mediante seguros, servicios gestionados o modelos de responsabilidad compartida cuando terceros puedan absorber mejor esa carga.
- Aceptar el riesgo cuando el coste o el esfuerzo superen el impacto, manteniendo siempre visible la deuda aceptada, con responsables claros y revisiones periódicas.
Asimismo, el recurso explica cómo trasladar la deuda de seguridad a la alta dirección, cómo influyen los marcos regulatorios y de cumplimiento, y cómo ha evolucionado este concepto junto con la tecnología.
“Del mismo modo que la tecnología evoluciona, también lo hace la naturaleza de la deuda de seguridad. El futuro exigirá que las organizaciones combinen la IA y la automatización con una gobernanza robusta, respondan a unas expectativas regulatorias cada vez mayores y garanticen que la información sobre riesgo y rendimiento llegue a la alta dirección”, afirma Safia Kazi, analista principal de investigación en privacidad de ISACA. “Las organizaciones que tendrán éxito serán aquellas que reconozcan, midan y actúen sobre la deuda de seguridad de forma temprana, con intencionalidad y transparencia”, añade.
