«Lo sabías y podrías haber actuado. ¿Por qué no lo hiciste?»

Esta es la pregunta que no quieres que te hagan. Y cada vez más, es la pregunta que los líderes se ven obligados a responder después de un incidente.

Durante años, muchos equipos ejecutivos y juntas directivas han considerado que la gran cantidad de vulnerabilidades acumuladas es un hecho incómodo pero tolerable: «hemos aceptado el riesgo». Si alguna vez has visto un informe en el que se muestran miles (o decenas de miles) de CVE pendientes de máxima y crítica, es probable que también hayas escuchado las racionalizaciones habituales de personas que prefieren hacer la vista gorda: tenemos otras prioridades , Esto llevará años de tiempo de ingeniería para solucionarlo , ¿cómo sabes que son realmente críticos? Todavía estamos priorizando, ya nos ocuparemos de ello.

En el viejo mundo, esa historia, aunque no era buena, a menudo se podía sobrevivir. La explotación era más lenta, más manual y requería más habilidad del operador. Incluso los atacantes más sofisticados tenían limitaciones. Las organizaciones se basaron en esas restricciones como parte tácita del modelo de riesgo: «Si realmente fuera tan grave como dicen, estaríamos en peligro ahora mismo».

Ese mundo ya no existe.

La IA ha reducido el costo de la explotación

Ahora estamos viendo cómo los actores de amenazas utilizan sistemas de IA de agencia para acelerar todo el flujo de trabajo ofensivo: reconocimiento, descubrimiento de vulnerabilidades, desarrollo de exploits y ritmo operativo. ¿Antrópico detallado públicamente interrumpiendo una campaña de ciberespionaje en la que los atacantes utilizaban a Claude de formas que aumentaban considerablemente su velocidad y escala, y advirtieron explícitamente que este tipo de capacidad puede permitir a los grupos con menos experiencia realizar trabajos que antes requerían mucha más habilidad y personal.

Como líderes de seguridad, sabemos que la IA permite a los atacantes moverse más rápido. Pero ahora, la automatización convierte el trabajo atrasado en un arma. En el modelo anterior, la producción de 13 000 unidades High podía racionalizarse como un problema de clasificación. En el nuevo modelo, los atacantes pueden pasar del descubrimiento en cadena a la validación y la explotación en mucho menos tiempo. «Estamos trabajando en el trabajo atrasado» deja de sonar como una estrategia y empieza a sonar como una excusa.

La frase más peligrosa de la sala de juntas

«No se preocupe, el CISO se encarga de todo».

He vivido la realidad detrás de esa frase. Los CISO pueden crear programas, establecer prioridades, informar sobre métricas e impulsar soluciones interfuncionales, pero en muchas empresas, el problema de la vulnerabilidad es estructuralmente mayor que la responsabilidad de cualquier ejecutivo. Es un problema del sistema: dependencias heredadas, limitaciones en la velocidad de lanzamiento, entornos de producción frágiles y recursos de ingeniería limitados. Las juntas directivas no pueden delegar la gobernanza.

Línea de casos Caremark de Delaware se cita con frecuencia en las discusiones sobre la supervisión de los directores: las juntas directivas deben tener sistemas de informes diseñados para detectar los riesgos consecuentes y deben comprometerse realmente con lo que esos sistemas informan. No se trata de asustar a los directores con teorías jurídicas, sino de dejar claro desde el punto de vista práctico de la gobernanza que, si en sus informes se dice que «tenemos miles de vulnerabilidades graves abiertas», la función de la junta directiva consiste en ejercer la supervisión.

Qué deben exigir las juntas directivas (y cómo deben responder los CISO)

Si es miembro de la junta, debe buscar la verdad operativa. Céntrese en la resiliencia de la tecnología de su empresa, no solo en el cumplimiento. Y si es un líder en seguridad, debería crear los sistemas operativos que la proporcionen. Estas son las preguntas que los equipos pueden utilizar para mejorar la ciberseguridad performativa:

  1. ¿Qué aspecto tiene nuestro programa de gestión de vulnerabilidades de principio a fin?
  2. ¿Cuántas vulnerabilidades (especialmente las críticas y las altas) existen en nuestros productos en este momento?
  3. ¿Cuánto tiempo se tardó en corregir por completo los nuevos puntos críticos y máximos del último trimestre? ¿El año pasado?
  4. Si se descubriera un nuevo día cero en nuestro producto más vendido en la actualidad, ¿cuánto tiempo pasaría antes de que pudiéramos decir a los clientes que es seguro?
  5. ¿Cuál es el costo en dólares de nuestra actual cartera de vulnerabilidades? (Multiplique las horas de trabajo de las personas para solucionarlo por el costo total de ingeniería y obtendrá un número que la junta directiva puede regular).

Así es como se hace que el atraso sea lo suficientemente tangible como para que el liderazgo deje de esconderse detrás de abstracciones.

«Parchear más rápido» no es una respuesta completa

Muchas organizaciones responden a la presión de la junta directiva con la promesa de aplicar parches más rápido. Eso ayuda, hasta que interrumpe la producción.

Si la aplicación de parches de emergencia repercute de manera fiable en los clientes (y en algunos entornos lo hace), se ve obligado a hacer una terrible disyuntiva: aceptar la exposición o aceptar el tiempo de inactividad. La empresa moderna necesita un modelo que reduzca la frecuencia y el radio de acción de las soluciones de emergencia, y no un modelo que se limite a acelerar el mismo frágil proceso.

La realidad de la cadena de suministro: las responsabilidades están cambiando

Estamos viendo cómo cambian las responsabilidades a medida que los reguladores y los tribunales se centran en la higiene de la cadena de suministro de software y la resiliencia operativa.

En la UE, la Ley de Ciberresiliencia (CRA) ya está en vigor, y sus principales obligaciones entrarán en vigor en diciembre de 2027. Muchas organizaciones se enfrentarán a expectativas más altas en cuanto a la gestión de las vulnerabilidades, las prácticas de seguridad desde el diseño y la rendición de cuentas a lo largo del ciclo de vida del software.

En los servicios financieros, ha entrado en vigor la DORA (Ley de Resiliencia Operacional Digital), que armoniza los requisitos de resiliencia operativa y gestión de riesgos de las TIC en toda la UE.

También estamos viendo cómo se desarrolla esta dinámica en los EE. UU., donde las demandas por negligencia se presentan en demandas colectivas contra empresas, y los demandantes alegan que la falta de diligencia debida provocó violaciones de datos.

Puede reducir el trabajo atrasado mediante el diseño

En la era de la explotación acelerada por la IA, «riesgo gestionado» con demasiada frecuencia significa asumir que los atacantes seguirán avanzando al ritmo de ayer.

Las juntas directivas deberían dejar de aceptar esa suposición. Los CISO deben dejar de fingir que «parchean más rápido» o con que acepten el riesgo es suficiente. Además, las organizaciones deberían invertir en reducir la exposición a las vulnerabilidades en su origen, de manera que el próximo informe de auditoría no sea una hoja de cálculo con los riesgos aceptados, sino una prueba de que la superficie de ataque es cada vez menor.

Es aquí donde el enfoque de Chainguard está diseñado para cambiar las matemáticas: comience con componentes de software seguros por defecto que minimicen las vulnerabilidades desde el principio y reduzcan la acumulación de vulnerabilidades con el tiempo. Esto significa que su entorno reciba menos hallazgos críticos, menos ciclos de parches de emergencia y menos interrupciones operativas cuando llegue el próximo CVE de alto perfil.

Al reducir estructuralmente la acumulación de vulnerabilidades y las tareas de remediación, los equipos pueden redirigir el tiempo de ingeniería de la lucha contra incendios sin ROI a la innovación con un alto ROI que, de hecho, impulsa la ventaja competitiva y los ingresos.

Porque cuando se empieza a señalar con el dedo tras la infracción y alguien se pregunta por qué la empresa decidió vivir con 13 000 Highs en producción, la única respuesta defendible es: no lo hicimos. Cambiamos el sistema.

Para obtener más información interesante y consejos prácticos de (y para) líderes de ingeniería y seguridad, suscríbase a Desencadenado o extender la mano para obtener más información sobre Chainguard.

Nota: Este artículo fue escrito y contribuido por expertos Quincy Castro, CISO, Chainguard.

¿Te ha parecido interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.