<?xml version="1.0" encoding="UTF-8" ?><!-- generator=Zoho Sites --><rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom" xmlns:content="http://purl.org/rss/1.0/modules/content/"><channel><atom:link href="https://www.cefiros.net/blogs/tag/security-validation/feed" rel="self" type="application/rss+xml"/><title>CEFIROS - Blog #Security Validation</title><description>CEFIROS - Blog #Security Validation</description><link>https://www.cefiros.net/blogs/tag/security-validation</link><lastBuildDate>Sun, 28 Jun 2026 12:17:31 -0700</lastBuildDate><generator>http://zoho.com/sites/</generator><item><title><![CDATA[Momento Crucial: Capitalice el auge de Mythos para corregir su gestión de exposición y vulnerabilidades]]></title><link>https://www.cefiros.net/blogs/post/MomentoCrucial</link><description><![CDATA[<img align="left" hspace="5" src="https://www.cefiros.net/Captura de pantalla 2026-06-22 a las 18.56.32.png"/>El pasado 13 de mayo, Gartner publicaba un documento muy interesante sobre el momento de incertidumbre que estamos viviendo, especialmente desde la irrupción de Mythos. En Cefiros, que llevamos más de 3 años hablando de este tipo de problemática, no podemos estar más de acuerdo.]]></description><content:encoded><![CDATA[<div class="zpcontent-container blogpost-container "><div data-element-id="elm_eWXaJlPiSkWNeefpkkVyUQ" data-element-type="section" class="zpsection "><style type="text/css"></style><div class="zpcontainer-fluid zpcontainer"><div data-element-id="elm_Ytx1jDGwR9eWAJpqI9EwMA" data-element-type="row" class="zprow zprow-container zpalign-items- zpjustify-content- " data-equal-column=""><style type="text/css"></style><div data-element-id="elm_vQecAC8ARN2Ynu389IUiTw" data-element-type="column" class="zpelem-col zpcol-12 zpcol-md-12 zpcol-sm-12 zpalign-self- "><style type="text/css"></style><div data-element-id="elm_x2JzOvDTQWOA1e_ygIND9Q" data-element-type="heading" class="zpelement zpelem-heading "><style></style><h2
 class="zpheading zpheading-align-center zpheading-align-mobile-center zpheading-align-tablet-center " data-editor="true">El Momento Crucial según Gartner</h2></div>
<div data-element-id="elm_3QrJlUiQQ06GqH4iOdlD0w" data-element-type="text" class="zpelement zpelem-text "><style></style><div class="zptext zptext-align-center zptext-align-mobile-center zptext-align-tablet-center " data-editor="true"><p></p><div><p style="text-align:left;">El pasado 13 de mayo, Gartner publicaba un documento muy interesante sobre el momento de incertidumbre que estamos viviendo, especialmente desde la irrupción de Mythos. En Cefiros, que llevamos más de 3 años hablando de este tipo de problemática, no podemos estar más de acuerdo.</p><p style="text-align:left;"><br/></p><p style="text-align:left;">Desde Cefiros recomendamos usar herramientas de Pentesting Autónomo Continuo —no todos los productos del mercado lo son, aunque lo parezca— que nos permitan priorizar las vulnerabilidades por su impacto real en nuestros entornos, tanto a nivel interno como externo, considerando que ese análisis es necesario en entornos IT, entornos OT e incluso entornos de desarrollo.</p><p style="text-align:left;"><br/></p><p style="text-align:left;">Contar con herramientas de análisis de ciberinteligencia que nos permitan conocer posibles problemas que se tienen en la actualidad para poder anticiparnos en la medida de lo posible.</p><p style="text-align:left;"><br/></p><p style="text-align:left;">Además, contar con herramientas de gestión de vulnerabilidades que nos permitan resolver esas vulnerabilidades de manera lo más automatizada posible, o aplicar parcheos virtuales que nos permitan ganar el tiempo suficiente para realizar los parcheos definitivos que, por la complejidad del entorno o de los propios sistemas, tienen más implicaciones.</p><p style="text-align:left;"><br/></p><p style="text-align:left;">Todo esto nos permitirá saber cuáles de esas vulnerabilidades son realmente críticas y explotables, y reducir drásticamente el tiempo necesario para resolverlas.</p><p style="text-align:left;"><br/></p><p style="text-align:left;">Y, obviamente, sin olvidar las tecnologías de microsegmentación, que nos darán visibilidad completa de las infraestructuras de red que tenemos —es decir, la capacidad de ver y controlar el tráfico que entra y sale (norte-sur) y el que se mueve lateralmente entre sistemas internos (este-oeste)—, así como la capacidad de aislar a nivel de IP cualquier equipo que lo requiera, para contener la propagación de una posible infección.</p><p style="text-align:left;"><br/></p><p style="text-align:left;">Gartner lo ha denominado: “Momento Crucial”</p><p style="text-align:left;"><br/></p><h1 style="text-align:center;">Momento Crucial: Capitalice el auge de Mythos para corregir su gestión de exposición y vulnerabilidades</h1><div><br/></div><p style="text-align:left;"><b>13 de mayo de 2026</b><i> — Por Dhivya Poole, Jonathan Nunez y 2 autores más</i></p><p style="text-align:left;"><i><br/></i></p><p style="text-align:left;">&nbsp; &nbsp;El descubrimiento y la explotación de vulnerabilidades impulsados por IA, como Mythos, están exponiendo brechas —incluso muy antiguas— que las empresas deberían resolver. Este es el momento de impulsar un cambio hacia la reducción del riesgo basada en el tiempo, la responsabilidad operativa y la disminución medible de las ventanas de exposición en relación con la velocidad del atacante.</p><h2 style="text-align:left;">Perspectivas de un vistazo</h2><p style="text-align:left;">&nbsp; La creciente atención en torno al ciberriesgo impulsado por IA marca un momento crucial para la gestión de vulnerabilidades y exposición. El reciente enfoque en <b>Claude Mythos Preview</b> de Anthropic, <b>OpenAI GPT-5.5-cyber</b> y el debate general sobre atacantes autónomos y el mal uso de la IA generativa ha elevado las discusiones sobre ciberriesgo mucho más allá de los equipos de seguridad, llevándolas a las conversaciones de ejecutivos y juntas directivas.</p><p style="text-align:left;"><br/></p><p style="text-align:left;">&nbsp;Parte de este discurso saca a la luz, de manera acertada, una realidad histórica pero poco valorada: <b>los plazos de los atacantes siempre han sido más rápidos</b> de lo que pueden responder los modelos de gestión de vulnerabilidades centrados en humanos. Esta convergencia entre percepción y realidad crea una oportunidad única. Los líderes de ciberseguridad deben aprovechar este momento para ir más allá de las evaluaciones reactivas y rediseñar la gestión de exposición en torno al tiempo, la escala y la velocidad de decisión: los factores reales que determinan la ventaja defensiva.</p><h2 style="text-align:left;">Hallazgos clave</h2><p style="text-align:left;">•<span>&nbsp; </span>Las narrativas de amenazas de IA amplían la concienciación, pero principalmente exponen las debilidades existentes en los modelos operativos tradicionales de gestión de exposición.</p><p style="text-align:left;">•<span>&nbsp; </span>Las ventajas de los atacantes siempre han provenido principalmente de la <b>velocidad y la escala</b>, no de técnicas de explotación fundamentalmente nuevas.</p><p style="text-align:left;">•<span>&nbsp; </span>Los programas tradicionales de gestión de vulnerabilidades (VM) aún evalúan las vulnerabilidades de forma individual sin integrar el impacto que puedan tener realmente.</p><p style="text-align:left;">•<span>&nbsp; </span>El cuello de botella más significativo para los defensores es el punto de estancamiento organizacional debido a la participación de múltiples equipos.</p><p style="text-align:left;">•<span>&nbsp; </span>Solo el <b>48% de las organizaciones priorizan las exposiciones</b> en función de la probabilidad y el impacto real, lo que deja expuestos los activos críticos para el negocio durante más tiempo del necesario.</p><h2 style="text-align:left;">Recomendaciones</h2><p style="text-align:left;">•<span>&nbsp; </span>Aproveche el momento actual para establecer como prioridad resolver de forma continua las vulnerabilidades que pueden tener impacto real en sus infraestructuras, utilizando el descubrimiento de vulnerabilidades y la creación de exploits mediante LLM para restablecer las prioridades de gestión de exposición.</p><p style="text-align:left;">•<span>&nbsp; </span>Defina acuerdos de nivel de servicio (SLA) de remediación más cortos que aborden eficazmente un nuevo equilibrio entre la velocidad del ataque, las capacidades defensivas y los riesgos operativos, especialmente para los activos críticos.</p><p style="text-align:left;">•<span>&nbsp; </span>Analice las vulnerabilidades, las superficies de ataque y los dominios de control para identificar los vectores de ataque posibles y reales en su organización.</p><p style="text-align:left;">•<span>&nbsp; </span>Cambie la priorización para guiar explícitamente las acciones: qué remediar de inmediato y qué posponer según el contexto del riesgo.</p><p style="text-align:left;">•<span>&nbsp; </span>Implemente y pruebe procesos de automatización de análisis de vulnerabilidades y remediación para garantizar la calidad y la consistencia a escala.</p><h2 style="text-align:left;">Momento crucial</h2><p style="text-align:left;">&nbsp; El aumento en la explotación de vulnerabilidades como vector de acceso inicial comenzó hace unos años. Múltiples factores explican este lento giro inicial, con una ola de vulnerabilidades dirigidas a la infraestructura expuesta a internet, incluidos firewalls y redes VPN. El progreso reciente en la divulgación de vulnerabilidades impulsada por LLM está amplificando esta tendencia. Esto expone una debilidad estructural en los programas actuales de VM/EM (Gestión de Vulnerabilidades / Gestión de Exposición):</p><p style="text-align:left;">•<span>&nbsp; </span><b>El descubrimiento y la explotación de amenazas</b> operan a la velocidad de las máquinas.</p><p style="text-align:left;">•<span>&nbsp; </span><b>Las decisiones de remediación</b> siguen limitadas por modelos de análisis estáticos, aprobaciones manuales y la falta de responsabilidad clara sobre los activos.</p><p style="text-align:left;">&nbsp;Como resultado, muchos equipos de ciberseguridad se enfrentan a un riesgo operativo principal: la asimetría de velocidad y decisión entre atacantes y defensores amplía la brecha de seguridad, donde la exposición persiste el tiempo suficiente para que los atacantes actúen, incluso cuando las vulnerabilidades son bien conocidas.</p><h2 style="text-align:left;">¿Por qué ahora?</h2><p style="text-align:left;">•<span>&nbsp; </span>Con <b>más de 50 días</b> de media, el tiempo para remediar vulnerabilidades sigue siendo muy superior al tiempo que les llevaría a los atacantes explotarlas mediante ataques automatizados.</p><p style="text-align:left;">•<span>&nbsp; </span>La mayoría de las organizaciones no utilizan análisis de impacto para priorizar las remediaciones; las vulnerabilidades altamente explotables tardan un <b>promedio de 134 días</b> en remediarse.</p><p style="text-align:left;">•<span>&nbsp; </span>Las credenciales robadas y el phishing siguen siendo vectores de ataque de acceso inicial importantes. Sin embargo, la mayor sofisticación de las herramientas ofensivas orquestadas por LLM facilita la explotación de vulnerabilidades de una organización de forma automática.</p><p style="text-align:left;">&nbsp; Los líderes de ciberseguridad deben enfocarse en reducir el tiempo que los activos críticos permanecen explotables, asignar una prioridad clara para solucionarlos y medir el éxito según la rapidez con la que se eliminan las exposiciones.</p><p style="text-align:left;">&nbsp; Lograr una remediación autónoma requiere más que tecnología; se debe cambiar la forma en que trabajan los equipos, asignar responsabilidades e integrar la remediación en las operaciones diarias.</p><p style="text-align:left;"><br/></p><h1 style="text-align:left;">Plan de acción</h1><h2 style="text-align:left;">Acción ejecutiva: Convierta el momento impulsado por LLM en un cambio real</h2><p style="text-align:left;">&nbsp; El enfoque actual en el ciberriesgo impulsado por LLM no es, por sí mismo, la disrupción. Es la fuerza que pone en evidencia una realidad que venía siendo ignorada: las organizaciones llevan años operando por detrás de los tiempos de acción de los atacantes. No es un problema nuevo, pero ahora ya no es posible ignorarlo.</p><p style="text-align:left;">&nbsp;Este momento no debe usarse para justificar inversiones tecnológicas aisladas. Su valor real es desbloquear los cambios necesarios y pendientes en los modelos operativos de gestión de exposición.</p><p style="text-align:left;">&nbsp;Los ejecutivos deben tratar esto como un punto de decisión para restablecer las expectativas, el financiamiento y la rendición de cuentas en torno a la reducción del riesgo basada en el tiempo. Lograr este resultado requiere más que herramientas más rápidas o mejoras de procesos puntuales.</p><p style="text-align:left;">&nbsp;Los líderes de ciberseguridad deben tratar la gestión de exposición como una <b>disciplina operativa basada en el tiempo</b>. Esto significa pasar de preguntar “¿Qué vulnerabilidades son más graves?” a “¿Dónde persiste la exposición explotable el tiempo suficiente para que los atacantes actúen?”.</p><p style="text-align:left;">&nbsp;Responder a la disrupción de la IA consiste en abordar las limitaciones estructurales y operativas que siempre han acotado los objetivos de la gestión de exposición. Los líderes de ciberseguridad deben modernizar su modelo operativo rediseñando la gestión de exposición: pasando de evaluaciones y priorizaciones estáticas a una disciplina accionable, basada en contexto correlacionado y gobernable a través de una toma de decisiones sólida y defendible.</p><h2 style="text-align:left;">Restablecer la narrativa ejecutiva</h2><p style="text-align:left;">&nbsp; Los líderes de ciberseguridad deben encabezar un cambio en la forma en que se discute y se entiende el ciberriesgo en los niveles más altos. La conversación debe estructurarse en torno a tres ejes:</p><p style="text-align:left;">1.<span>&nbsp; </span><b>Hacer explícita la brecha: </b>Mostrar cuánto tiempo permanecen explotables los activos críticos en comparación con la rapidez con la que pueden actuar los atacantes. Enfocar la discusión en el tiempo, no en el volumen.</p><p style="text-align:left;">2.<span>&nbsp; </span><b>Aclarar qué cambia con la IA: </b>La IA reduce el esfuerzo requerido para explotar las debilidades existentes, en lugar de introducir amenazas fundamentalmente nuevas.</p><p style="text-align:left;">3.<span>&nbsp; </span><b>Redefinir el éxito: </b>Medir la rapidez con la que se identifican y solucionan las exposiciones explotables.</p><h2 style="text-align:left;">Aprovechar el momento para justificar la inversión estructural</h2><p style="text-align:left;">&nbsp; La ola actual de atención sobre las divulgaciones de vulnerabilidades impulsadas por LLM crea una ventana para abogar por un cambio estructural más profundo. Los líderes de ciberseguridad deben utilizar esta oportunidad para resaltar los retrasos persistentes en la exposición, reorientar el financiamiento hacia su solución y alinear a los ejecutivos en la reducción del tiempo de remediación.</p><p style="text-align:left;">&nbsp;Reducir la exposición a la velocidad del atacante requiere cambios en la propiedad, los flujos de trabajo y la medición:</p><p style="text-align:left;">•<span>&nbsp; </span><b>Asignar propiedad: </b>Designar la responsabilidad a nivel de activo, establecer SLA de remediación y realizar un seguimiento de la exposición por equipo responsable. Los equipos de producto y plataforma corrigen las exposiciones en sus propios sistemas, mientras que los equipos de seguridad guían la priorización y supervisan el cumplimiento.</p><p style="text-align:left;">•<span>&nbsp; </span><b>Integrar en los flujos de trabajo: </b>Rastrear y corregir las exposiciones a través de los procesos de ingeniería y TI existentes, integrándolas dentro de sus colas de trabajo. Administrar automáticamente los flujos de trabajo de extremo a extremo mediante la creación de tickets y el direccionamiento a los propietarios correctos.</p><p style="text-align:left;">•<span>&nbsp; </span><b>Medir la velocidad: </b>Enfocarse en cuánto tiempo permanecen explotables los activos y hacer responsables a los equipos de reducir ese tiempo.</p><h2 style="text-align:left;">Iniciar una estrategia de modernización</h2><p style="text-align:left;">&nbsp; Los líderes de ciberseguridad deben poner en marcha una estrategia de modernización centrada en resultados medibles, mejora continua e integración operativa. Los siguientes cuatro cambios son críticos para alinearse con los tiempos de acción del atacante:</p><p style="text-align:left;">•<span>&nbsp; </span><b>Transición a métricas basadas en el tiempo: </b>Evaluar el éxito rastreando cuánto tiempo permanecen explotables las vulnerabilidades, las malas configuraciones y los riesgos de identidad. El éxito se mide reduciendo la “ventana de exposición”: el tiempo que los activos permanecen vulnerables y explotables.</p><p style="text-align:left;">•<span>&nbsp; </span><b>Priorizar rutas de ataque validadas: </b>Enfocarse en las exposiciones que se cruzan para formar rutas de ataque viables dentro de la infraestructura. Emplear pruebas adversarias y validación continua para confirmar que se están abordando las rutas que los atacantes tienen más probabilidad de explotar.</p><p style="text-align:left;">•<span>&nbsp; </span><b>Impulsar una respuesta basada en decisiones: </b>Reemplazar la puntuación genérica con una guía accionable y basada en el riesgo. Definir claramente qué exposiciones requieren acción inmediata y cuáles pueden posponerse, en función del impacto real, la explotabilidad y la viabilidad del ataque.</p><p style="text-align:left;">•<span>&nbsp; </span><b>Operativizar y automatizar la reducción de la exposición: </b>Integrar las acciones de respuesta directamente en los flujos de trabajo de ingeniería, DevOps y TI.&nbsp; &nbsp;Automatizar siempre que sea posible para garantizar que las exposiciones se corrijan rápidamente y a escala, verificando que las acciones estén completas y capturando lecciones aprendidas para mejorar continuamente el proceso.</p><h2 style="text-align:left;"><br/></h2><h2 style="text-align:left;">Fuentes</h2><p style="text-align:left;"><a href="https://www.gartner.com/doc/reprints?id=1-2NFLIG27&amp;ct=260527&amp;st=sb">Gartner: Momento Crucial — Gestión de Exposición y Vulnerabilidades</a></p><p style="text-align:left;"><a href="https://lp.tufin.com/CT_2026_05_21_Gartner_Mythos_landing-page.html">Tufin: Recurso complementario sobre Gartner y Mythos</a></p></div><br/><p></p></div>
</div></div></div></div></div></div> ]]></content:encoded><pubDate>Mon, 22 Jun 2026 18:52:07 +0200</pubDate></item><item><title><![CDATA[Pentesting Autónomo como Tecnología emergente]]></title><link>https://www.cefiros.net/blogs/post/pentesting-autónomo-como-tecnología-emergente</link><description><![CDATA[<img align="left" hspace="5" src="https://www.cefiros.net/Captura de Pantalla 2023-05-31 a las 18.43.50.png"/>Nos hacemos eco de un informe que publicó Gartner y que hemos tratado de traducir para hacerlo más próximo y entendible, porque consideramos que es un ]]></description><content:encoded><![CDATA[<div class="zpcontent-container blogpost-container "><div data-element-id="elm_bM6IWQ9pRE2kfX2fRJamGw" data-element-type="section" class="zpsection "><style type="text/css"></style><div class="zpcontainer-fluid zpcontainer"><div data-element-id="elm_Kx_0d2P5SMixXp62CA42Gg" data-element-type="row" class="zprow zprow-container zpalign-items- zpjustify-content- " data-equal-column=""><style type="text/css"></style><div data-element-id="elm_VOTnLqgISm2czoG-PCjdkw" data-element-type="column" class="zpelem-col zpcol-12 zpcol-md-12 zpcol-sm-12 zpalign-self- "><style type="text/css"></style><div data-element-id="elm_wxR148I_Sgimsajy_7d7oA" data-element-type="heading" class="zpelement zpelem-heading "><style> [data-element-id="elm_wxR148I_Sgimsajy_7d7oA"].zpelem-heading { border-radius:1px; } </style><h2
 class="zpheading zpheading-align-center " data-editor="true"><div style="color:inherit;"><p style="font-size:11pt;"><b><span style="font-size:18pt;">Pentesting Autónomo: aumente sus ingresos por servicios&nbsp; de seguridad con validaciones de ciberseguridad</span></b></p></div></h2></div>
<div data-element-id="elm_y8wTEKM6TAiXRtNW8OUE_A" data-element-type="text" class="zpelement zpelem-text "><style></style><div class="zptext zptext-align-center " data-editor="true"><p style="text-align:left;">Nos hacemos eco de un informe que publicó Gartner y que hemos tratado de traducir para hacerlo más próximo y entendible, porque consideramos que es un documento muy interesante. En él, Gartner explica como l<span style="font-size:11pt;color:inherit;">os proveedores de servicios de seguridad pueden aumentar las ventas y mejorar las tasas de retención de sus clientes y aumentar sus ventas al proporcionar validaciones de ciberseguridad para probar la eficacia de sus servicios y guiar en mejoras proactivas de seguridad en sus clientes.&nbsp;</span></p></div>
</div><div data-element-id="elm_ElgYFlnCpUHcIHziL_xXBg" data-element-type="text" class="zpelement zpelem-text "><style> [data-element-id="elm_ElgYFlnCpUHcIHziL_xXBg"].zpelem-text { border-radius:1px; } </style><div class="zptext zptext-align-left " data-editor="true"><div style="color:inherit;"><p style="font-size:11pt;"><b><span style="font-size:14pt;">Visión general</span></b></p><p style="font-size:11pt;"><b><br></b></p><p style="font-size:11pt;"><b>Hallazgos clave</b></p><p style="font-size:11pt;">·<span style="font-size:7pt;">&nbsp; </span>A medida que más ejecutivos se involucran en la decisión de compra de ciberseguridad, los clientes que demandan servicios de seguridad desean algo más que detección y respuesta de amenazas para sus entornos de TI/OT/Cloud. Buscan una mejora proactiva y continua de su seguridad, y reducir su postura a la exposición.</p><p style="font-size:11pt;">·<span style="font-size:7pt;">&nbsp; </span>Muchos clientes finales expresan frustración por no saber lo que su proveedor de servicios hace por ellos, y cuestionan los beneficios del servicio.</p><p style="font-size:11pt;">·<span style="font-size:7pt;">&nbsp; </span>Los clientes finales, en gran medida, carecen de recursos de ciberseguridad y recurren a su proveedor para obtener orientación sobre qué hacer para mitigar el riesgo. Quieren un socio que les ayude de forma proactiva a mejorar su madurez de seguridad.</p><p style="font-size:11pt;"><b><br></b></p><p style="font-size:11pt;"><b>Recomendaciones</b></p><p style="font-size:11pt;">Para aprovechar el impacto de las tecnologías y tendencias emergentes en los productos y servicios, los líderes de productos de servicios de seguridad que buscan aumentar las tasas de adquisición, retención y ventas adicionales deben tomar estas medidas:</p><p style="font-size:11pt;">·<span style="font-size:7pt;">&nbsp; </span>Exhibir la transparencia del servicio mediante el uso de soluciones de validación de ciberseguridad para proporcionar a los clientes una evaluación previa al compromiso de su postura de seguridad de referencia, recomendaciones para mejoras críticas y una hoja de ruta de mejoras que puede ayudarlos a lograr sus objetivos futuros.</p><p style="font-size:11pt;">·<span style="font-size:7pt;">&nbsp; </span>Medir la eficacia del servicio utilizando evaluaciones de validación de ciberseguridad para probar sus servicios gestionados y la postura de seguridad del cliente. Esto le ayudará a informar los resultados del servicio y las recomendaciones de mejora de la seguridad a los equipos ejecutivos del cliente, de seguridad y de operación de red.</p><p style="font-size:11pt;">·<span style="font-size:7pt;">&nbsp; </span>Incentivar la mejora recompensando a los clientes con tarifas de servicio reducidas cuando incorporan las recomendaciones de las evaluaciones de validación de ciberseguridad y logran puntos de referencia de seguridad definidos basados en los hallazgos de la evaluación.</p></div></div>
</div><div data-element-id="elm_LcghHxcpAEjAHnF9mWV-pg" data-element-type="text" class="zpelement zpelem-text "><style> [data-element-id="elm_LcghHxcpAEjAHnF9mWV-pg"].zpelem-text { border-radius:1px; } </style><div class="zptext zptext-align-left " data-editor="true"><div style="color:inherit;"><p style="font-size:11pt;"><b><span style="font-size:16pt;">Supuestos de planificación estratégica</span></b></p><p style="font-size:11pt;"><span style="font-size:11pt;color:inherit;">El número de proveedores de servicios de seguridad que proporcionan evaluaciones de validación de ciberseguridad a p</span><span style="font-size:11pt;color:inherit;">robar la eficacia de su servicio y la postura de seguridad de sus clientes crecerá de menos del 10% en 2023 hasta el 40% en 2025 y más del 50% para 2026.</span><br></p><p style="font-size:11pt;">Los proveedores de servicios de seguridad que adopten esta tendencia de evaluación de validación de ciberseguridad verán una mejora de más del 5% en sus tasas de retención y de&nbsp;<span style="color:inherit;">adquisición y&nbsp;</span><span style="font-size:11pt;color:inherit;">ventas adicionales.</span></p><p style="font-size:11pt;">&nbsp;</p><p style="font-size:11pt;"><span style="font-size:14pt;">Análisis</span></p><p style="font-size:11pt;">Los clientes finales continúan luchando para validar los resultados de su proveedor. En un mercado competitivo donde hay miles de proveedores de servicios de seguridad, esta falta de transparencia en la eficacia de los resultados y la dificultad en la medición de los resultados contribuyen a la insatisfacción y la rotación del cliente.</p><p style="font-size:11pt;">Los proveedores de servicios de seguridad que buscan continuamente fortalecer su capacidad para adquirir nuevos clientes y retener a lo<span style="font-size:11pt;color:inherit;">s existentes proporcionarán a sus clientes las herramientas óptimas de validación de ciberseguridad para probar la eficacia y la alineación de esos servicios con los resultados deseados de los clientes.&nbsp;</span></p><p style="font-size:11pt;"><span style="font-size:11pt;color:inherit;">Los proveedores también pueden usar estas evaluaciones para guiar en las recomendaciones y poder mejorar proactivamente la postura de seguridad de sus clientes.</span></p><p style="font-size:11pt;">Los proveedores de servicios de seguridad deben liderar el camino para hacer de esto parte de su propuesta de valor y distinguir su oferta de otras en el mercado. Adoptar un enfoque proactivo y diferenciado aumentará su reputación y la confianza de sus clientes en ellos. También aumentará su tasa de adquisición de nuevos clientes, tasas de retención de los actuales y ventas adicionales en comparación con los proveedores que no permiten dicha transparencia y mejora proactiva de la seguridad de clientes y proveedores. (Consulte la <b>figura 1</b>).</p></div></div>
</div><div data-element-id="elm_8GjG9x2PXLJgBLjzkiBRzg" data-element-type="image" class="zpelement zpelem-image "><style> @media (min-width: 992px) { [data-element-id="elm_8GjG9x2PXLJgBLjzkiBRzg"] .zpimage-container figure img { width: 800px ; height: 518.75px ; } } @media (max-width: 991px) and (min-width: 768px) { [data-element-id="elm_8GjG9x2PXLJgBLjzkiBRzg"] .zpimage-container figure img { width:500px ; height:324.22px ; } } @media (max-width: 767px) { [data-element-id="elm_8GjG9x2PXLJgBLjzkiBRzg"] .zpimage-container figure img { width:500px ; height:324.22px ; } } [data-element-id="elm_8GjG9x2PXLJgBLjzkiBRzg"].zpelem-image { border-radius:1px; } </style><div data-caption-color="" data-size-tablet="" data-size-mobile="" data-align="center" data-tablet-image-separate="false" data-mobile-image-separate="false" class="zpimage-container zpimage-align-center zpimage-size-large zpimage-tablet-fallback-large zpimage-mobile-fallback-large hb-lightbox " data-lightbox-options="
                type:fullscreen,
                theme:dark"><figure role="none" class="zpimage-data-ref"><span class="zpimage-anchor" role="link" tabindex="0" aria-label="Open Lightbox" style="cursor:pointer;"><picture><img class="zpimage zpimage-style-none zpimage-space-none " src="/Figure1.jpg" width="500" height="324.22" loading="lazy" size="large" data-lightbox="true"/></picture></span></figure></div>
</div><div data-element-id="elm_HmpD26kt6Yk4lQ_XUMJrUA" data-element-type="text" class="zpelement zpelem-text "><style> [data-element-id="elm_HmpD26kt6Yk4lQ_XUMJrUA"].zpelem-text { border-radius:1px; } </style><div class="zptext zptext-align-left " data-editor="true"><div style="color:inherit;"><p style="text-align:center;font-size:11pt;"><b><i><span style="font-size:10pt;">Figura 1</span></i></b><i><span style="font-size:10pt;">: Acciones del MSSP para impulsar la adquisición, retención y ventas adicionales</span></i></p></div></div>
</div><div data-element-id="elm_uAHYp5l_jv4Z_gtpGe6wGQ" data-element-type="text" class="zpelement zpelem-text "><style> [data-element-id="elm_uAHYp5l_jv4Z_gtpGe6wGQ"].zpelem-text { border-radius:1px; } </style><div class="zptext zptext-align-left " data-editor="true"><div><p style="color:inherit;font-size:11pt;"><b><span style="font-size:14pt;">Opciones de validación de ciberseguridad para que los líderes de productos consideren</span></b></p><p style="color:inherit;font-size:11pt;">Existen varios tipos de soluciones de validación de ciberseguridad que los proveedores de servicios de seguridad deben considerar:</p><p style="color:inherit;font-size:11pt;"><br></p><p><span style="color:inherit;font-size:14.6667px;">1.&nbsp;</span><span style="color:inherit;font-size:7pt;">&nbsp;</span><span style="color:inherit;font-size:11pt;">Las </span><span style="text-decoration-line:underline;font-style:italic;">tecnologías de evaluación de la superficie de ataque (ASA)</span><span style="color:inherit;font-size:11pt;"> ayudan a las organizaciones a evaluar su superficie de ataque y priorizar los riesgos en sus sistemas internos y externos y sus activos digitales. Estas involucran tres áreas emergentes que se centran en reducir la exposición que podría ser explotada por los actores de amenazas:</span></p><p style="color:inherit;text-indent:0cm;font-size:11pt;"><span style="color:inherit;font-size:15px;">&nbsp; &nbsp;&nbsp;</span><span style="color:inherit;font-size:15px;">&nbsp; &nbsp;&nbsp;</span><span style="font-size:11pt;text-indent:0cm;color:inherit;">o</span><span style="text-indent:0cm;color:inherit;font-size:7pt;">&nbsp; </span><span style="font-size:11pt;text-indent:0cm;color:inherit;">La gestión de la superficie de ataques de activos cibernéticos (CAASM) se centra en permitir que los equipos de seguridad resuelvan la visibilidad persistente de los activos y los desafíos de vulnerabilidad. Permite a las organizaciones ver todos los activos a través de integraciones de API con herramientas existentes, consultar los datos consolidados, identificar el alcance de las vulnerabilidades y las brechas en los controles de seguridad y solucionar problemas.</span></p><p style="color:inherit;font-size:11pt;">&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;o<span style="font-size:7pt;">&nbsp; </span>La gestión de superficies de ataque externo (EASM) utiliza procesos, tecnologías y servicios gestionados implementados para descubrir activos empresariales orientados a Internet, sistemas y vulnerabilidades asociadas, como servidores, credenciales, configuraciones erróneas de servicios de nube pública y vulnerabilidades&nbsp; de código de software de socios externos que podrían ser explotadas por adversarios.</p><p style="color:inherit;font-size:11pt;">&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;o<span style="font-size:7pt;">&nbsp; </span>Los servicios de protección de riesgos digitales (DRPS) se entregan a través de una combinación de tecnología y servicios para proteger los activos y datos digitales críticos de amenazas externas. Estas soluciones proporcionan visibilidad en la open (surface) web, las redes sociales, la dark web y fuentes web para identificar amenazas potenciales a activos críticos y proporcionar información contextual sobre los actores de amenazas, sus tácticas y procesos para llevar a cabo actividades maliciosas.</p><p style="color:inherit;font-size:11pt;">&nbsp;</p><div style="color:inherit;"><p><span style="font-size:14.6667px;">2.</span><span style="font-size:7pt;">&nbsp;&nbsp;</span><span style="font-size:11pt;">Las <span style="font-style:italic;text-decoration-line:underline;">tecnologías de simulación de brechas y ataques (BAS)</span> y emulación de adversarios permiten a un proveedor de servicios de seguridad o a una organización obtener una mejor visibilidad de los puntos débiles de la superficie digital objetivo. Lo hacen automatizando la prueba de vectores de amenazas, como la actividad de actores de amenazas externas e internas, el movimiento lateral y la exfiltración de datos. Estas tecnologías complementan, pero no pueden reemplazar completamente, el red teaming o las pruebas de penetración. Validan la postura de seguridad de las organizaciones probando su capacidad para bloquear y detectar ataques simulados / emulados. Estas simulaciones se ejecutan desde plataformas SaaS, agentes de software y máquinas virtuales.</span></p><p style="font-size:11pt;">&nbsp;</p><p><span style="font-size:14.6667px;">3.&nbsp;</span><span style="font-size:7pt;">&nbsp;</span><span style="font-size:11pt;">Las <span style="font-style:italic;text-decoration-line:underline;">pruebas de penetración automatizadas </span>y los avances de red teaming han progresado para automatizar casi por completo la penetración ad hoc de redes, aplicaciones e infraestructuras y algunas actividades del red teaming. Históricamente, las actividades de pentesting y red teaming han sido limitadas en frecuencia porque son intensivos en recursos humanos y se basan en gran medida en herramientas personalizadas.</span></p></div></div></div>
</div><div data-element-id="elm_2Nyjx8ZhhJt3x7dge6ag1w" data-element-type="text" class="zpelement zpelem-text "><style> [data-element-id="elm_2Nyjx8ZhhJt3x7dge6ag1w"].zpelem-text { border-radius:1px; } </style><div class="zptext zptext-align-left " data-editor="true"><div style="color:inherit;"><p style="font-size:11pt;"><span style="font-size:16pt;">Información crítica: el uso de evaluaciones de validación de ciberseguridad impulsará las tasas de adquisición de nuevos clientes, las de retención de los actuales y las de ventas adicionales</span></p><p style="font-size:11pt;">Las evaluaciones de validación de ciberseguridad son la convergencia de técnicas, procesos y herramientas utilizadas para validar cómo los atacantes potenciales explotarían realmente una superficie de ataque potencial identificada (interna y externa) y cómo la tecnología de protección, detección y respuesta y los procesos reaccionarían. Las herramientas de evaluación de validación de ciberseguridad están convergiendo hacia la intrusión automatizada y flexible para probar las defensas de una organización de una manera continua y rentable que hace factible incluir tales herramientas como parte de un servicio de seguridad.</p><p style="font-size:11pt;">&nbsp;</p><div style="color:inherit;"><p style="font-size:11pt;">El<span style="text-decoration-line:underline;"> alcance de las evaluaciones de validación de ciberseguridad</span> incluye:</p><p style="font-size:11pt;">·<span style="font-size:7pt;">&nbsp; </span><span style="font-style:italic;">Superficie de ataque de seguridad:</span> las evaluaciones de la superficie de ataque incluyen visibilidad de activos, configuraciones incorrectas, higiene de parches y amenazas explotables desde el punto de vista del adversario.</p><p style="font-size:11pt;">·<span style="font-size:7pt;">&nbsp; </span><span style="font-style:italic;">Eficacia&nbsp; de la seguridad:</span> las actividades automatizadas evalúan cuánto pueden bloquear los controles de seguridad existentes y detectar el rendimiento de los servicios de seguridad.</p><p style="font-size:11pt;">·<span style="font-size:7pt;">&nbsp; </span><span style="font-style:italic;">Consistencia&nbsp; de seguridad:</span> Las evaluaciones continuas, como el análisis de las configuraciones de las herramientas de seguridad, la eficacia de detección o la emulación de amenazas adversas, arrojan luz sobre las brechas de seguridad y proporcionan información sobre las mejoras necesarias para el cliente y el proveedor.</p><p style="font-size:11pt;">·<span style="font-size:7pt;">&nbsp; </span><span style="font-style:italic;">Eficacia de la respuesta a incidentes: </span>Las evaluaciones de la vida real de la puntualidad y efectividad de los servicios de seguridad y los mecanismos de respuesta del cliente miden el tiempo para detectar, investigar y responder a los escenarios de ataque probados.</p><p style="font-size:11pt;">·<span style="font-size:7pt;">&nbsp; </span><span style="font-style:italic;">Mejora de la madurez de la seguridad: </span>Los resultados detallados iluminan las fortalezas y brechas del sistema que se pueden convertir rápidamente en planes específicos del cliente para las mejoras recomendadas, así como posibles mejoras del proveedor de servicios de seguridad.</p><p style="font-size:11pt;">&nbsp;</p><p style="font-size:11pt;">La inclusión de una oferta de servicios proactiva y diferenciada por parte de los proveedores de servicios de seguridad mejorará la transparencia del cliente en cuanto al valor de los servicios gestionados contratados. También ofrecerá claramente los resultados de seguridad para los que muchos clientes carecen de claridad. Esto dará como resultado que los proveedores vean mejorar la confianza del cliente y sus tasas e ingresos de adquisición, retención y ventas adicionales aumentarán. (Consulte la figura 2).</p></div></div></div>
</div><div data-element-id="elm_mfwKojCgZWEBsQqOCiFpMA" data-element-type="image" class="zpelement zpelem-image "><style> @media (min-width: 992px) { [data-element-id="elm_mfwKojCgZWEBsQqOCiFpMA"] .zpimage-container figure img { width: 800px ; height: 588.75px ; } } @media (max-width: 991px) and (min-width: 768px) { [data-element-id="elm_mfwKojCgZWEBsQqOCiFpMA"] .zpimage-container figure img { width:500px ; height:367.97px ; } } @media (max-width: 767px) { [data-element-id="elm_mfwKojCgZWEBsQqOCiFpMA"] .zpimage-container figure img { width:500px ; height:367.97px ; } } [data-element-id="elm_mfwKojCgZWEBsQqOCiFpMA"].zpelem-image { border-radius:1px; } </style><div data-caption-color="" data-size-tablet="" data-size-mobile="" data-align="center" data-tablet-image-separate="false" data-mobile-image-separate="false" class="zpimage-container zpimage-align-center zpimage-size-large zpimage-tablet-fallback-large zpimage-mobile-fallback-large hb-lightbox " data-lightbox-options="
                type:fullscreen,
                theme:dark"><figure role="none" class="zpimage-data-ref"><span class="zpimage-anchor" role="link" tabindex="0" aria-label="Open Lightbox" style="cursor:pointer;"><picture><img class="zpimage zpimage-style-none zpimage-space-none " src="/Figure2.jpg" width="500" height="367.97" loading="lazy" size="large" data-lightbox="true"/></picture></span></figure></div>
</div><div data-element-id="elm_kKiUGdhhI15n8GcdF4gflQ" data-element-type="text" class="zpelement zpelem-text "><style> [data-element-id="elm_kKiUGdhhI15n8GcdF4gflQ"].zpelem-text { border-radius:1px; } </style><div class="zptext zptext-align-left " data-editor="true"><div style="color:inherit;"><p style="text-align:center;font-size:11pt;"><b><i><span style="font-size:10pt;">Figura 2: </span></i></b><i><span style="font-size:10pt;">Información crítica sobre el crecimiento de los ingresos con validaciones de ciberseguridad</span></i></p></div></div>
</div><div data-element-id="elm_H4jVwm-3dv1dnT4a9VWPNg" data-element-type="text" class="zpelement zpelem-text "><style> [data-element-id="elm_H4jVwm-3dv1dnT4a9VWPNg"].zpelem-text { border-radius:1px; } </style><div class="zptext zptext-align-left " data-editor="true"><div style="color:inherit;"><p style="font-size:11pt;"><b><span style="font-size:12pt;">Implementación de evaluaciones de validación de ciberseguridad</span></b></p><p style="font-size:11pt;"><b><span style="font-size:12pt;"><br></span></b></p><p style="font-size:11pt;"><span style="font-size:11pt;color:inherit;">Las mejoras recientes y la evolución de las opciones de validación de ciberseguridad ayudarán a disminuir las limitaciones de tiempo, coste y personal que hicieron que las evaluaciones de validación de ciberseguridad fueran menos viables para que un proveedor de servicios de seguridad ofreciera y para que las organizaciones pequeñas (e incluso grandes) las consideraran.</span></p><p style="font-size:11pt;"><br></p><p style="font-size:11pt;">Por ejemplo, el coste de una sola prueba de penetración manual de hace unos años es similar al coste anual de las nuevas opciones de evaluación automatizada de ciberseguridad, con limitaciones mínimas o nulas en el número de evaluaciones que se pueden ejecutar. Aunque el tiempo y el coste para realizar evaluaciones de validación de ciberseguridad han mejorado enormemente, los proveedores aún necesitarán personal para operar las herramientas seleccionadas y ayudar a sus clientes a dar sentido a las oportunidades descubiertas para&nbsp;<span style="font-size:11pt;color:inherit;">mejora. Asimismo, el cliente requerirá la ayuda del proveedor, o de su propio personal, para remediar cualquier hallazgo.</span></p><p style="font-size:11pt;"><br></p><p style="font-size:11pt;">Los proveedores de servicios de seguridad progresivos que buscan diferenciar sus ofertas de servicios con la adición de evaluaciones continuas y proactivas deben considerar las siguientes opciones para la implementación:</p><div style="color:inherit;"><p style="font-size:11pt;"><b><br></b></p><p style="text-align:center;font-size:11pt;"><b>Opción 1:</b>&nbsp;<span style="font-size:11pt;color:inherit;">Usar proveedores de servicios de validación de seguridad preseleccionados (integrados)</span></p><p style="font-size:11pt;"><span style="font-size:11pt;color:inherit;"><br></span></p><p style="font-size:11pt;"><span style="font-size:11pt;color:inherit;">Utilizando este enfoque de implementación, el proveedor de servicios de seguridad preselecciona el proveedor o proveedores de servicios de validación de seguridad que utilizará y qué tecnología de validación de ciberseguridad considera mejor para el cliente y el proceso del proveedor de servicios.</span></p><p style="font-size:11pt;">1.<span style="font-size:7pt;">&nbsp; </span>Preseleccione los socios de servicios de validación de ciberseguridad que incluirá dentro de su oferta de servicios para proporcionar la mejor evaluación de seguridad proactiva, basada en su mercado / industrias objetivo.</p><p style="font-size:11pt;">2.&nbsp; Determine cómo incorporará este servicio de validación en su modelo de precios y servicio.</p><p style="font-size:11pt;">·<span style="font-size:7pt;">&nbsp; </span>Inclúyalo dentro de un plan de servicio específico (por ejemplo, plan premium versus plan de inicio).</p><p style="font-size:11pt;">·<span style="font-size:7pt;">&nbsp; </span>&nbsp;Agréguelo al plan / contrato de servicio seleccionado por el cliente por una tarifa adicional.</p><p style="font-size:11pt;">·<span style="font-size:7pt;">&nbsp; </span>Proporciónelo como una oferta de servicios profesionales independiente, donde la validación de ciberseguridad esté disponible para los posibles clientes para validar a su proveedor actual o para establecer una línea de base de sus capacidades de seguridad interna.</p><p style="font-size:11pt;">3.&nbsp; Defina la frecuencia de evaluación.</p><p style="font-size:11pt;">·<span style="font-size:7pt;">&nbsp; </span>Las eficiencias de automatización y validación hacen plausible la entrega semanal e incluso más frecuente de evaluaciones.</p><p style="font-size:11pt;">·<span style="font-size:7pt;">&nbsp; </span>La frecuencia debe combinarse con la capacidad del proveedor y del cliente para consumir los resultados.</p><p style="font-size:11pt;">·<span style="font-size:7pt;">&nbsp; </span>Independientemente de la frecuencia definida, las evaluaciones deben no programarse para entregar resultados reales y no percibidos como prevenidos.</p><p style="font-size:11pt;">4.&nbsp; Entregar los resultados y recomendaciones.</p><p style="font-size:11pt;">·<span style="font-size:7pt;">&nbsp; </span>El valor demostrado se logrará con la entrega adecuada y oportuna de resultados y recomendaciones: la visibilidad del cliente de los resultados recientes y pasados a través de un portal es fundamental.</p><p style="font-size:11pt;">·<span style="font-size:7pt;">&nbsp; </span>Las reuniones de revisión comercial del cliente deben celebrarse al menos una vez al mes para entregar resultados recientes y explicar las mejoras recomendadas.</p><p style="font-size:11pt;">·<span style="font-size:7pt;">&nbsp; </span>Se debe asignar un gerente de éxito del cliente o un rol similar para garantizar que los resultados y las recomendaciones se entreguen de manera efectiva a los equipos ejecutivos, de redes y de seguridad.</p><p style="font-size:11pt;">·<span style="font-size:7pt;">&nbsp; </span>Nota: Históricamente, la coordinación entre los equipos de red y seguridad ha sido deficiente. La entrega de resultados y recomendaciones a los constituyentes del cliente aumentará la transparencia de los resultados del servicio, aumentará la probabilidad de acción sobre las recomendaciones y aumentará la visibilidad del valor.</p><p style="font-size:11pt;"><br></p><div style="color:inherit;"><p style="text-align:center;font-size:11pt;"><b>Opción 2:</b> Usar proveedores de servicios de validación de seguridad precalificados</p><p style="font-size:11pt;"><br></p><p style="font-size:11pt;">Este enfoque de implementación proporciona al cliente cierto control en la selección de un evaluador perceptiblemente más independiente y aumentará la confianza y la transparencia en los resultados. Sin embargo, el MSSP todavía mantiene cierto control en el proceso de selección de evaluadores precalificados.</p><p style="font-size:11pt;">1.&nbsp; Seleccione varios socios de validación entre los que su cliente pueda elegir para proporcionar el servicio de validación.</p><p style="font-size:11pt;">·<span style="font-size:7pt;">&nbsp; </span>Se recomienda una lista de tres o más proveedores.</p><p style="font-size:11pt;">·<span style="font-size:7pt;">&nbsp; </span>Se recomienda la variación del enfoque de validación; Seleccione un par de opciones de proveedor diferentes de las opciones técnicas enumeradas a considerar.</p><p style="font-size:11pt;">2.&nbsp; Determine cómo incorporará las opciones de servicio de validación en su modelo de precios y servicio.</p><p style="font-size:11pt;">·<span style="font-size:7pt;">&nbsp; </span>Se recomienda que el cliente contrate con usted para el servicio de evaluación. Esto hará proporcionarle acceso a los resultados de la evaluación, para que pueda incorporar el portal de resultados en su entregable al cliente.</p><p style="font-size:11pt;">·<span style="font-size:7pt;">&nbsp; </span>Otra opción es que el cliente contrate con uno de sus socios preseleccionados. Esto es menos deseable, ya que posiblemente le quitará la visibilidad de los resultados y eliminará su capacidad para proporcionar recomendaciones de mejora de la seguridad. Sin embargo, esto aumentará la confianza del cliente en los resultados específicos de la eficacia de su servicio, ya que serán verdaderamente independientes. Si permite este enfoque de contrato, exija al cliente que le permita tener acceso a los resultados de la evaluación para que pueda entregar recomendaciones y aprender cómo puede realizar mejoras en su servicio.</p><p style="font-size:11pt;">3.&nbsp; Definir la frecuencia de evaluación.</p><p style="font-size:11pt;">·<span style="font-size:7pt;">&nbsp; </span>Esto variará según el enfoque contractual mencionado anteriormente.</p><p style="font-size:11pt;">·<span style="font-size:7pt;">&nbsp; </span>Si el cliente contrata a través de usted para el servicio de evaluación, siga las mismas recomendaciones enumeradas anteriormente para la frecuencia proporcionada por el proveedor.</p><p style="font-size:11pt;">·<span style="font-size:7pt;">&nbsp; </span>Si el cliente contrata directamente con el proveedor de evaluación, la definición de frecuencia, momento y tipo de evaluación estará bajo el control de ese proveedor.</p><p style="font-size:11pt;">4.&nbsp; Entregar los resultados y recomendaciones.</p><p style="font-size:11pt;">·<span style="font-size:7pt;">&nbsp; </span>Estos también variarán según el enfoque contractual mencionado anteriormente.</p><p style="font-size:11pt;">·<span style="font-size:7pt;">&nbsp; </span>Si el cliente contrata a través de usted para el servicio de evaluación, siga las mismas recomendaciones enumeradas anteriormente para la entrega de resultados proporcionada por el proveedor.</p><p style="font-size:11pt;">·<span style="font-size:7pt;">&nbsp; </span>Si el cliente contrata directamente con el proveedor de evaluación y usted ha requerido que el cliente le permita acceder a los resultados de la evaluación, siga las mismas recomendaciones para la entrega de resultados mensualmente a través de un administrador de éxito del cliente. El compromiso de los equipos ejecutivos, de redes y de operaciones de seguridad son fundamentales para esta entrega, como se señaló anteriormente.</p><p style="font-size:11pt;">&nbsp;</p><p style="text-align:center;font-size:11pt;"><b><span style="font-size:12pt;">Recompensar a sus clientes por hacer mejoras</span></b></p><p style="font-size:11pt;"><br></p><p style="font-size:11pt;">Con los servicios de evaluación de validación de ciberseguridad implementados, los MSSP pueden ayudar a sus clientes a lograr los siguientes resultados:</p><p style="font-size:11pt;">·<span style="font-size:7pt;">&nbsp; </span>Establecer una base de la postura de seguridad del cliente al comienzo de una asociación de servicios de seguridad.</p><p style="font-size:11pt;">·<span style="font-size:7pt;">&nbsp; </span>Proporcionar una evaluación continua de la mejora de la postura a lo largo de la relación.</p><p style="font-size:11pt;">·<span style="font-size:7pt;">&nbsp; </span>Validar la entrega de los resultados de seguridad contratados.</p><p style="font-size:11pt;">·<span style="font-size:7pt;">&nbsp; </span>Guiar al cliente con recomendaciones específicas con respecto a sus exposiciones que puede remediar para reducir proactivamente su superficie de ataque.</p><p style="font-size:11pt;">·<span style="font-size:7pt;">&nbsp; </span>Recompensar al cliente por lograr mejoras de madurez de seguridad específicas y definidas con tarifas de servicio reducidas.</p><p style="font-size:11pt;">Los hallazgos continuos y específicos del cliente de estos servicios de evaluación permitirán a los proveedores crear más fácilmente consenso y colaboración entre los equipos ejecutivos, de seguridad y de operaciones de red que a menudo no trabajan juntos a la perfección.</p><p style="font-size:11pt;"><br></p><p style="font-size:11pt;"><span style="font-size:12pt;">Los resultados de la evaluación, si se entregan adecuadamente al cliente:</span></p><p style="font-size:11pt;">·<span style="font-size:7pt;">&nbsp; </span>Facilitarán la planificación, las decisiones y el acuerdo entre equipos</p><p style="font-size:11pt;">·<span style="font-size:7pt;">&nbsp; </span>Alentarán a los responsables de la toma de decisiones ejecutivas a asignar los recursos necesarios para efectuar los cambios recomendados.</p><p style="font-size:11pt;">·<span style="font-size:7pt;">&nbsp; </span>Aumentarán la conciencia del valor del proveedor y la satisfacción del cliente</p><p style="font-size:11pt;">A medida que la entrega efectiva de resultados y recomendaciones reúne a los equipos de operación del cliente, también posiciona al proveedor para recompensar al cliente por lograr resultados de madurez definidos.</p></div></div></div></div>
</div><div data-element-id="elm_eQxHURzUCEyYpRnri4BGZw" data-element-type="text" class="zpelement zpelem-text "><style> [data-element-id="elm_eQxHURzUCEyYpRnri4BGZw"].zpelem-text { border-radius:1px; } </style><div class="zptext zptext-align-left " data-editor="true"><div style="color:inherit;"><p style="font-size:11pt;"><b><span style="font-size:12pt;">Implicaciones a corto plazo para los líderes de producto</span></b></p><p style="font-size:11pt;"><b><span style="font-size:12pt;">&nbsp;</span></b></p><p style="font-size:11pt;">De las muchas sesiones de consulta que desde Garner han celebrado con clientes finales, han descubierto que a menudo expresan frustración por no saber qué hace su proveedor de servicios de seguridad por ellos y, por lo tanto, cuestionan los beneficios del servicio. Los clientes han compartido que han pasado meses sin el alcance de su proveedor. También carecen de claridad para comprender si los servicios prestados son efectivos. Estos factores conducen a la rotación de clientes.</p><p style="font-size:11pt;">Del mismo modo, Gartner ha aprendido de las sesiones de consulta con los proveedores de servicios de seguridad que quieren ayudar a sus clientes a tener éxito en el logro de la resiliencia cibernética, previniendo de manera proactiva, detectando eficientemente y recuperándose eficazmente de los ataques cibernéticos. Sin embargo, carecen de claridad sobre cuál es la postura de seguridad del cliente y rara vez ven que los clientes asuman la responsabilidad de mejorar su posición.</p><p style="font-size:11pt;">&nbsp;</p><p style="font-size:11pt;">Esta tendencia de servicio de validación de ciberseguridad proporcionará a los clientes y proveedores con:</p><p style="font-size:11pt;">·<span style="font-size:7pt;">&nbsp; </span>Definición de la línea base de la postura de seguridad del cliente al comienzo de una asociación de servicios de seguridad.</p><p style="font-size:11pt;">·<span style="font-size:7pt;">&nbsp; </span>Evaluación y mejora continua de cómo las tecnologías, los procesos y las personas del proveedor reaccionarían ante un ataque.</p><p style="font-size:11pt;">·<span style="font-size:7pt;">&nbsp; </span>Validación de la entrega por parte del proveedor de servicios de seguridad de los resultados de seguridad contratados.</p><p style="font-size:11pt;">·<span style="font-size:7pt;">&nbsp; </span>Orientación priorizada desde el punto de vista del atacante sobre las áreas de exposición que el cliente o su proveedor de servicios de seguridad deben remediar/mitigar para reducir de forma proactiva la superficie de ataque del cliente.</p><p style="font-size:11pt;">&nbsp;</p><p style="font-size:11pt;"><span style="font-size:11pt;color:inherit;">Acciones recomendadas para los próximos 6 a 18 meses</span><br></p><p style="font-size:11pt;"><span style="font-size:11pt;color:inherit;">1- Identifique un socio de evaluación de validación de ciberseguridad más con el que pueda comenzar a asociarse para comenzar a ofrecer validación de ciberseguridad como parte de sus servicios existentes.</span></p><p style="font-size:11pt;">2- Desarrolle un plan, con un cronograma específico, que detalle y explique los servicios específicos de evaluación de validación que pretende incorporar a su portfolio de servicios de seguridad.</p><p style="font-size:11pt;">3- Prepare una oferta clara explicando sus ofertas de servicios mejorados. Luego, póngase en contacto con los líderes de negocios, seguridad y operaciones de red de sus clientes existentes para asegurarse de que conocen sus nuevas capacidades de validación de ciberseguridad y las características y beneficios relacionados.</p></div></div>
</div></div></div></div></div></div> ]]></content:encoded><pubDate>Fri, 11 Aug 2023 13:38:13 +0200</pubDate></item></channel></rss>