Informe anual

de seguridad
cibernética de 2023
En HPE, creemos que nuestro éxito individual y
colectivo yace en nuestra capacidad de compartir
conocimientos, ideas y oportunidades. Cuando se
trata de proteger a nuestras organizaciones, todos
nos enfrentamos a los mismos desafíos: escasez
global de profesionales especializados en seguridad
cibernética, una superficie de ataque en expansión,
datos distribuidos y partes interesadas que exigen
una mayor transparencia. Y, cuando se trata de
proteger un mundo entero desde el extremo
hasta la nube, ¿cómo decidimos quién hace qué?
Creemos que la ciberseguridad se ha vuelto una
responsabilidad compartida, ya que un solo fallo en
uno de los eslabones de la cadena puede afectarnos
a todos. Este informe presenta algunos de los
trabajos que hemos llevado a cabo a este respecto
durante 2022 y algunas predicciones para 2023.
Estamos agradecidos por tener la oportunidad
de compartirlo con clientes, partners y compañeros
de profesión.

Informe de seguridad cibernética de HPE de 2023 2

Índice

4 2022 en cifras

5 Introducción

6 Panorama de amenazas

9 Logros e inversiones

12 Repensando el talento

13 Perspectiva de seguridad: 2023 y más allá

17 Recursos del centro de excelencia en seguridad cibernética de HPE

Informe de seguridad cibernética de HPE de 2023 3

2022 en cifras
2600
millones
Nuestro sistema de gestión de información y
eventos de seguridad empresarial registró más
de 2600 millones de sucesos diarios, que nuestro
centro de fusión cibernética se encargó de
clasificar, investigar y resolver.
1000
Todos los días, bloqueamos un promedio de
1060 correos electrónicos de phishing recibidos
en HPE. En total, bloqueamos aproximadamente
mil millones de vectores de amenazas de correo
electrónico.
33
HPE llevó a cabo 33 búsquedas de amenazas
con el fin de descubrir actores de amenazas
persistentes avanzadas dentro de la red.
Los resultados de estas búsquedas se utilizaron
para mejorar nuestras reglas de supervisión de
la seguridad informática.
2200
La plataforma edge-to-cloud de HPE GreenLake
ejecuta constantemente más de 2200 controles
de seguridad independientes con el propósito de
proteger a los clientes y sus datos en tiempo real.
334
El equipo de respuesta de seguridad de productos de
HPE publicó 187 boletines informativos sobre seguridad,
que abordan 334 vulnerabilidades y exposiciones
comunes en 450 productos, incluidas 46 fallos de
seguridad propios de HPE. Todas las vulnerabilidades
y exposiciones importantes se solucionaron de acuerdo
con las políticas de seguridad de HPE. Además,
se pusieron a disposición de los clientes parches para
garantizar el mínimo impacto posible en la seguridad
y disponibilidad de sus entornos informáticos.
98 %
Más de 55 000 empleados de HPE, es decir el 98 %
del personal, completaron la formación anual de
concienciación sobre seguridad cibernética.
1900
Mejoramos la visibilidad de toda la nube, supervisando
continuamente más de 1900 controles de seguridad
en la nube.
58
HPE posee certificaciones globales ISO 27001 en
58 sitios de 36 países, más 11 sitios en 2022 y tiene
la aprobación pendiente para otros 16 sitios en 2023.
Nuestro programa de cumplimiento se ha ampliado
para incluir la certificación SOC 1 y SOC 2 en varios
de nuestros centros de atención al cliente, así como
las evaluaciones FedRAMP para Aruba Central y CSA
STAR para nuestras plataformas de gestión de la nube.
Más del 50 %
En línea con las tendencias del sector, más de la mitad
de los incidentes de seguridad cibernética investigados
por el centro de fusión cibernética de HPE podrían
atribuirse a acciones de los usuarios, como el intento
de instalar software infectado, desactivar herramientas
de seguridad o ejecutar software de criptominería, que
fueron bloqueadas por nuestros controles de seguridad.
Informe de seguridad cibernética de HPE de 2023 4
 Priorizamos la seguridad
En Hewlett Packard Enterprise, ayudamos a que los clientes utilicen la tecnología
para convertir las ideas en valor. Esas ideas necesitan un lugar seguro para florecer.
Por ese motivo, estamos decididos a proteger dichas ideas y los sistemas donde
se cultivan.
En la actualidad, gestionamos más de 2 millones de dispositivos y más de 1 exabyte
de datos en la plataforma HPE GreenLake, una responsabilidad que nos tomamos
muy en serio. El año pasado, fortalecimos nuestra posición en todas las categorías
de seguridad e invertimos gran cantidad de dinero en investigación, controles
y desarrollo de personal en el campo de la seguridad cibernética.
Con el propósito de demostrar aún más nuestro compromiso con respecto a
la seguridad, recientemente adquirimos Axis Security. Esto nos permitirá expandir
nuestras capacidades de seguridad desde el extremo hasta la nube y abordar
la necesidad de mejorar el rendimiento de las aplicaciones y aumentar la seguridad
de las redes a medida que las empresas continúan migrando aplicaciones a la nube.
Este informe enfatiza el compromiso de Hewlett Packard Enterprise con respecto
a la seguridad cibernética y la responsabilidad que todos compartimos.

Antonio Neri
Director ejecutivo de
HPE

Informe de seguridad cibernética de HPE de 2023 5

 Un nuevo enfoque con respecto
a la seguridad cibernética
En la carrera de un director de seguridad informática, es poco frecuente tener
la posibilidad de unirse a una empresa global de tecnología que está transformando
y creando un nuevo mercado de forma activa. Es emocionante y, al mismo tiempo,
supone todo un desafío. Creo que en Hewlett Packard Enterprise, estamos cambiando
la forma en que el sector entiende la nube. La nube no es solo un destino, sino
también una experiencia. Y, gracias a HPE GreenLake, tú también puedes disfrutar
de esa misma experiencia.
Algo que me quedó claro cuando me uní a HPE fue que la responsabilidad
del departamento de seguridad cibernética y gestión de riesgos digitales sería no
solo proteger HPE como empresa, sino también blindar la experiencia de nube que
proporcionamos a nuestros clientes. Gran parte del trabajo en el que se ha enfocado
mi equipo durante los últimos 18 meses ha consistido en comprender el riesgo que
se presenta cuando las cargas de trabajo se migran desde centros de datos locales
seguros a la nube pública, el extremo y cualquier lugar intermedio, como parte de una
experiencia de nube híbrida.
En este 2023, los constantes vaivenes de la situación económica han provocado
un ajuste de los presupuestos en muchos sectores. Además, la escasez global de
candidatos para cubrir la gran cantidad de puestos vacantes continúa sofocando
Bobby Ford hasta los programas de seguridad cibernética más maduros.
Director de seguridad informática
Como líderes en seguridad cibernética y tecnología, tenemos la oportunidad de
HPE
generar un impacto en nuestros negocios y nuestra gente mientras nos ocupamos de
todas estas inquietudes. Este informe muestra algunas de las iniciativas que lanzamos
en el año 2022 para hacer frente a estos desafíos y ofrecer a nuestros clientes una
experiencia segura desde el extremo hasta la nube. Estas iniciativas han sentado
la base desde la que seguir avanzando en 2023 y años venideros, siempre con
el objetivo de ayudarte a transformar tu negocio.

Informe de seguridad cibernética de HPE de 2023 6

Panorama de amenazas
Cada vez más amenazas nuevas y más graves
HPE no es solo una organización global líder en tecnología, sino también un objetivo que los delincuentes cibernéticos intentan infiltrar y atacar todos los días. Sabemos que
debemos estar un paso por delante de nuestros adversarios, por lo que supervisamos activamente diferentes vectores de amenaza, entre los que se incluyen los siguientes:
Existen cada vez más estados nación hostiles.
Las amenazas persistentes avanzadas siguen siendo motivo
de preocupación en numerosos sectores y a escala mundial.
Los actores responsables de la creación de las amenazas
persistentes avanzadas (APT) están bien financiados,
altamente cualificados y bien organizados y pueden ser
organizaciones militares o profesionales de seguridad
contratados. Debido a que estos actores hostiles siguen
fijando como objetivos los sectores de los semiconductores,
las telecomunicaciones y las infraestructuras en busca
de información relacionada con la computación de alto
rendimiento, el Big Data y el aprendizaje automático y
la inteligencia artificial, HPE continúa rastreando y ofreciendo
protección contra actividades relacionadas con las APT con
el propósito de prevenir el espionaje industrial.
El phishing sigue siendo una epidemia.
El elemento humano es siempre el eslabón más débil
en las defensas de seguridad de una empresa. Durante
mucho tiempo, el phishing ha sido un problema crítico en
la seguridad cibernética. En Internet, aparece un nuevo
sitio de phishing cada 20 segundos. En HPE, bloqueamos
más de 1000 intentos distintos de phishing todos los días,
lo que lo convierte en el vector de amenaza más importante
utilizado contra la empresa. Si bien el uso de la tecnología
para identificar y bloquear la mayoría de estos ataques
es clave, la formación de los miembros del equipo para
reconocer estos ataques cada vez más sofisticados sigue
siendo una prioridad. Llevamos a cabo un exitoso programa
anual de formación en concienciación sobre seguridad
cibernética y periódicamente ponemos en marcha campañas
informativas sobre phishing para que nuestros empleados
estén al día.
Realizar ataques de ransomware es
ahora más fácil que nunca.
Antes, los ciberdelincuentes tenían que ser expertos en
programación, diseño de hardware y redes, entre otras
cosas. Todo eso cambió cuando grupos de cibercriminales
comenzaron a desarrollar kits de herramientas de malware
para, después, ponerlas a disposición de otros delincuentes
«como servicio». Debido a esto, ahora basta con hacer un
clic para lanzar un ataque cibernético, como sucede con el
ransomware. Los ciberdelincuentes ya no necesitan contar
con ningún nivel real de sofisticación para llevar a cabo
estas actividades. Solo requieren un objetivo y la intención
de llevar a cabo el ataque. Esto ha ocasionado que, en
los últimos meses, se llevaran a cabo una gran cantidad
de ataques cibernéticos relacionados con el ransomware.
En HPE, contamos con defensas sofisticadas contra estos
vectores de ataque. Además, proporcionamos servicios de
asesoramiento y creamos soluciones para los clientes que
desean obtener las mejores prácticas en torno a la defensa
y la recuperación frente al ransomware.
Informe de seguridad cibernética de HPE de 2023 7
Panorama de amenazas
Cada vez más amenazas nuevas y más graves
Los ataques internos están en aumento.
Independientemente de si es por mala intención o simple
negligencia, los empleados siguen siendo un vector clave
para ataques de toda clase. Estos ataques pueden ser mucho
más difíciles de detectar y, como resultado, pueden infligir
mucho más daño que los ataques externos tradicionales.
Muchas organizaciones pasan por alto los peligros que
pueden ocasionar las amenazas internas. Los ataques
internos representan otra amenaza clave que debe mitigarse.
Como organización importante de tecnología, no solo
debemos ser conscientes de empleados descontentos que
quieran causar daño a HPE, sino también de la posibilidad
de que nuestros empleados sean sobornados por grupos
bien financiados para filtrar información. La formación
de concienciación sobre seguridad cibernética sigue
desempeñando un papel importante aquí.
Las vulnerabilidades alcanzan un nuevo récord.
La cantidad de vulnerabilidades de seguridad notificadas
en hardware y software es impactante y sigue creciendo:
más de 22 000 informes en 2022, en comparación con
los 20 000 de 2021. Como resultado, las empresas están
teniendo dificultades para gestionar las reparaciones,
por lo que la gestión y la resolución, además de los controles
compensatorios adecuados, son aún más importantes que
nunca. En HPE, la gestión de vulnerabilidades se distribuye
en tres áreas: vulnerabilidades de nuestro patrimonio
empresarial, vulnerabilidades de nuestras plataformas
de gestión de la nube y vulnerabilidades de los productos
y servicios que vendemos a nuestros clientes.
La estructura de suministro hace que
la seguridad sea más complicada.
Debido a que las empresas se están asociando cada vez
más con otras organizaciones mediante colaboraciones,
subcontrataciones y otros acuerdos, estas deberían prestar
aún más atención a la gestión de la seguridad de terceros.
Los servicios de gestión de riesgos de terceros de HPE se
han extendido a la cadena de suministro y la seguridad de
adquisiciones globales, lo que ofrece un marco para mitigar
las disrupciones logísticas y proteger tanto la propiedad
intelectual de los clientes como la nuestra. Además, como
proveedor de nuestros clientes, reconocemos el importante
papel que desempeña la seguridad de la cadena de
suministro en las relaciones con los clientes y hemos
incrementado nuestras capacidades para responder
a sus consultas.
Informe de seguridad cibernética de HPE de 2023 8
Logros e inversiones
Un vistazo a los esfuerzos de seguridad que hemos
emprendido y sus correspondientes resultados
Hacer posible la transformación desde
el extremo hasta la nube
Contenedores/máquinas
Hardware Cargas de trabajo
La nube ha demostrado su valor como recurso para reducir los costes de infraestructura virtuales Los clientes son
responsables de
la seguridad de los datos
y soporte, así como para crear aplicaciones y servicios rápidamente. Pero algunos Datos de los clientes Datos de los clientes Datos de los clientes en la nube híbrida

incidentes con una gran repercusión en los últimos años han demostrado la importancia Aplicaciones
e IAM de aplicación
Aplicaciones
e IAM de aplicación
Aplicaciones
e IAM de aplicación

de la seguridad y el cumplimiento para los ecosistemas basados ​​en la nube. Imagen de sistema operativo
de invitado/imagen de contenedor
Imagen de sistema operativo
de invitado/imagen de contenedor
Imagen de sistema operativo
de invitado/imagen de contenedor La responsabilidad
del sistema operativo
HPE es responsable y las aplicaciones
de la seguridad de depende de la oferta
Organización de Redes definidas
En HPE, somos muy conscientes de la necesidad de contar con seguridad desde el extremo la plataforma de nube Organización de Redes definidas Organización de Redes definidas
contenedores por software contenedores por software contenedores por software de servicios
híbrida y la experiencia
asociada Plataforma Sistema operativo Sistema operativo
Sistema operativo
hasta la nube. Por ello, hemos desarrollado una arquitectura de seguridad que la aborda HPE GreenLake Hipervisor Hipervisor Hipervisor
de hardware de hardware de hardware

específicamente. Queremos que la seguridad sea una prioridad en nuestra plataforma Infraestructura de HPE GreenLake HPE es el principal
responsable de
en la nube, HPE GreenLake, y nuestra decisión es firme tanto en lo que respecta a Procesamiento Almacenamiento Conectividad de red
Soluciones
de partners Nube pública la seguridad de la
infraestructura informática

los principios de plataforma segura a través del diseño como a la protección de los datos Centro de datos del cliente o partner de coubicación de HPE
El proveedor de
coubicación o
el propietario del

del cliente como principal criterio para el diseño. Seguridad de las instalaciones Seguridad de la conectividad centro de datos es
responsable de
la seguridad física

Nuestra herramienta clave para lograr nuestros objetivos de seguridad es aprovechar un

enfoque basado en riesgos e impulsado por el cumplimiento para la resiliencia cibernética El modelo de responsabilidad compartida en materia de seguridad de HPE GreenLake
y la protección de datos. Además, nuestra plataforma está totalmente alineada con los
estándares y las mejores prácticas del sector.

Este planteamiento ha sido crucial, ya que las cargas de trabajo se han alejado de
los entornos de nube pública pura, que, de acuerdo con los clientes, son una solución
imperfecta para todas las operaciones por diversas razones, incluidos los desafíos
relacionados con la confidencialidad y la soberanía de los datos. Mientras la nube híbrida se
vuelve una opción de plataforma cada vez más popular y flexible, HPE es una empresa que
está completamente preparada para proteger estas cargas de trabajo, independientemente
de cuáles sean las características específicas de las operaciones del cliente.
A lo largo de este camino, hemos aprendido que, con frecuencia, surgen preguntas
sobre dónde termina nuestra responsabilidad y comienza la responsabilidad del cliente.
Cualquier malentendido o falta de claridad en estas líneas delimitadoras puede introducir
vulnerabilidades de seguridad y aumentar la exposición a nuevos vectores de ataque. Para
mitigar estos riesgos, desarrollamos el modelo de responsabilidad compartida de seguridad
de HPE GreenLake, que define claramente los roles de HPE y los consumidores de nuestros
servicios. Esto ayuda a reducir el tamaño de la superficie del posible ataque.
Mientras tanto, damos cobertura a nuestras iniciativas de seguridad cibernética mediante
la creación de un equipo de seguridad interdisciplinario que cubre nuestras operaciones
empresariales internas y las operaciones como servicio, dirigido por nuestro director
de seguridad informática, Bobby Ford, quien se replantea constantemente el rol tradicional
de un director de seguridad. Desde el punto de vista de Bobby, la seguridad es una función
que el director de seguridad informática debe emplear para proteger al negocio. Su rol no
solo consiste en imponer controles arbitrarios. Gracias a ello, todo el personal de la empresa
cuenta con las herramientas que necesitan para hacer de la seguridad una parte inherente
de todas las operaciones. Además, Bobby ha adoptado un enfoque poco convencional en lo
que respecta a la contratación de talento, teniendo en cuenta la gran cantidad de puestos
vacantes que el sector de la seguridad cibernética necesita cubrir de manera colectiva.
(Consultar también la sección «Repensando el talento» en la página 12). Al posicionar a HPE
como una empresa «creadora de talentos», en lugar de «captadora de talentos», Bobby está
buscando en lugares inesperados para dotar de personal a los equipos de seguridad.

Informe de seguridad cibernética de HPE de 2023 9

Logros e inversiones
Miembro destacado del equipo
En qué estamos invirtiendo
nuestro dinero y tiempo
Satisfacer las expectativas del sector en lo que respecta a la seguridad
La orden ejecutiva presidencial 14028 de Estados Unidos estableció nuevas normas para ayudar a garantizar la seguridad
de la cadena de suministro, particularmente desde el punto de vista del software. La lista de materiales de software
establece en detalle los componentes utilizados para crear una aplicación de software, y HPE ha trabajado mucho para
desarrollar procesos que recopilen información para completar esas listas y permitir su uso en productos HPE cuando
sea necesario. Además, nuestra iniciativa de la cadena de suministro de confianza, que ahora está disponible en todo
el mundo, expande y protege nuestras ofertas de cadena de suministro, y garantiza a los clientes que nuestros productos
se han fabricado con piezas auténticas y verificables. En la actualidad, seguimos siendo el único fabricante importante
de servidores que produce servidores estándar del sector con una designación de país de origen de Estados Unidos.
Conoce a McKaela Doherty, vicepresidenta,
Adoptar una estrategia de protección por capas centro de excelencia en seguridad cibernética
Hemos creado una cadena de confianza con el propósito de proteger los datos de los clientes (y los nuestros propios)
de principio a fin. Comienza en los niveles iniciales con el silicio de los chips, donde la raíz de confianza de silicio de nuestros
servidores proporciona una huella digital inmutable que evita que el código malicioso corrompa el firmware. Además, McKaela ha ocupado varios puestos de
examinamos a proveedores y terceros minuciosamente con el objetivo de reducir el riesgo de amenazas de seguridad en toda responsabilidad en HPE en los últimos 10 años.
la cadena de suministro. Nuestros dispositivos de red también utilizan la identidad de hardware y la protección de firmware Como vicepresidenta del centro de excelencia
respaldada por hardware para proteger la integridad del dispositivo. Nuestro programa de fin de la vida útil detalla las (COE) en seguridad cibernética, McKaela aplica
políticas para llevar a cabo el desmantelamiento, la restauración y el reciclaje de los activos de manera segura. Las pruebas su visión comercial para crear una comunidad
y análisis independientes de penetración de terceros garantizan que todos estos programas sean altamente efectivos y se cibernética en todo HPE, mediante consultas
alineen con los controles 800-53 del Instituto Nacional de Seguridad y Tecnología (NIST, por sus siglas en inglés). con equipos comerciales y el establecimiento
de sólidos hábitos de seguridad entre los
Conversaciones con los clientes sobre seguridad 60 000 empleados de HPE. Hizo un gran
Desde una perspectiva de seguridad, reconocemos que nuestra relación con los clientes está cambiando, ya que el sector está trabajo para que la organización se enfocara
adoptando plataformas de nube híbrida y que esto genera preguntas sobre quién es responsable de qué. En HPE Discover más en lo externo, demostrando las capacidades
2022, nuestro evento anual más importante para clientes y partners, abordamos estas preguntas directamente en una sesión cibernéticas de HPE e interactuando con clientes
con Bobby Ford, nuestro director de seguridad informática. Durante el evento, dio a conocer el modelo de responsabilidad para compartir ideas y mejores prácticas.
compartida de HPE y enfatizó la importancia de contar con un lenguaje común que los proveedores y los clientes pudieran «Pero lo que más me apasiona es la gente», dice.
usar para comprender las necesidades del otro. Además, Bobby dirigió una mesa de debate con clientes y expertos del sector, «El propósito de nuestros programas de talento
donde se analizaron las expectativas creadas y la realidad detrás de la confianza cero y cómo la transformación en una cultura cibernético es encontrar formas creativas de
que prioriza la seguridad es fundamental para mejorar la resiliencia cibernética. contratar, motivar y mejorar las habilidades de
Nuestro recientemente creado círculo de directores de seguridad de la información reunió a las mejores mentes del campo los miembros del equipo, y ayudar a que HPE
de la seguridad cibernética en múltiples sectores para compartir en privado su sabiduría y las mejores prácticas. Para llegar sea un excelente lugar para trabajar».
a un público más amplio, hemos publicado varios informes técnicos, webinars y artículos en línea que ofrecen orientación
sobre las últimas tendencias, amenazas y soluciones de seguridad cibernética. Además, fue un placer conocer a los clientes
en nuestra nueva sede central de Houston, ya que organizamos recorridos por nuestro centro de fusión cibernética y
analizamos las mejores prácticas para la seguridad cibernética desde el extremo hasta la nube. Informe de seguridad cibernética de HPE de 2023 10
Logros e inversiones
Miembro destacado del equipo
En qué estamos invirtiendo
nuestro dinero y tiempo
Retribuir
HPE trata de ser una fuerza que contribuye al bien común, realizando nuestras aportaciones para mejorar comunidades
de todo el mundo mediante el voluntariado, las donaciones y el respaldo desde la fundación de la empresa. Pero una
de las mejores formas en que podemos retribuir como empresa de tecnología es ofrecer nuestra profunda experiencia
a aquellas personas que puedan beneficiarse de ella. Este año, el equipo de HPE en Galway, Irlanda, hizo precisamente
eso: se asoció con Safe Ireland para concienciar sobre la seguridad cibernética. El equipo creó una campaña publicitaria,
#RedFlagsAreAbuse, y un conjunto de recursos en línea diseñado para evitar que grupos vulnerables se conviertan en
víctimas de abuso a través de la tecnología. Se lanzó en octubre de 2022 y recibió la atención de los medios nacionales.

Invertir en estándares Conoce a Ankush Chowdhary,

director de seguridad de la información
Estamos invirtiendo en la estandarización de nuestra estrategia para diseñar nuestras propias aplicaciones en
de servicios de nube
la nube híbrida siguiendo y avalando los estándares del sector. Nuestro equipo de servicios también ayuda a nuestros
clientes a alinearse con estos mismos estándares con sus compromisos de asesoramiento con respecto a la seguridad. Ankush ha formado parte del mundo de la
Esto incluye el desarrollo de nuevas arquitecturas y metodologías de seguridad que se diseñan para proporcionar seguridad cibernética durante más de 20 años.
una estrategia de protección repetible y probada, alineada con estándares como NIST, CSA e ISO. Estos estándares se Sin embargo, en la actualidad, se enfrenta a
han codificado en nuestro modelo de referencia de seguridad empresarial, que demostramos en talleres de seguridad su desafío más importante como responsable
estratégica que abordan diferentes temas, desde la confianza cero hasta la resiliencia cibernética. de la transformación de la seguridad en
la nube para la plataforma HPE GreenLake.
Ankush, que emplea su experiencia previa
en la construcción de centros de operaciones
de seguridad, programas de supervisión de la
seguridad, respuesta a incidentes y programas
de inteligencia de amenazas para los principales
proveedores de nube pública, ha aportado un
enfoque multidisciplinario muy necesario para
las operaciones de seguridad desde el extremo
hasta la nube de HPE. «La modernización
basada en datos es la clave para lograr el éxito
en el entorno empresarial de la actualidad»,
explica. «Sin embargo, las empresas nunca
tendrán éxito si no cuentan con una plataforma
segura en la que trabajar».

Informe de seguridad cibernética de HPE de 2023 11

Repensando el talento
Cambiar la forma en que invertimos en miembros del equipo
Muchos sectores se enfrentan a una grave escasez de talento, pero este problema es aún mayor en el sector de la seguridad cibernética.
Como señala el director de seguridad informática de HPE, Bobby Ford, los informes sobre la escasez de talento en seguridad cibernética
no son del todo precisos. Él lo ve más bien como una falta de experiencia. Estas son las principales formas en las que hemos trabajado
para crear y desarrollar a nuestros profesionales de la seguridad en 2022.

Abrir las puertas a talentos ignorados

Para 2025, habrá más de 3,5 millones de puestos de trabajo en seguridad cibernética disponibles, pero una larga lista de
requisitos hace que sea difícil ocupar muchos de estos puestos. El resultado es una interminable pelea entre las empresas
por el talento. ¿Y si buscáramos crear el talento nosotros mismos dando oportunidades a quienes las necesitan? Este año,
lanzamos el programa de reinicio profesional en seguridad cibernética, que busca activamente candidatos que puedan haber
sido ignorados porque carecen de la experiencia necesaria para ocupar puestos básicos, que vean la seguridad cibernética
como una nueva carrera profesional o que puedan tener dificultades para obtener un empleo corporativo. No necesitan tener
un título universitario o experiencia en seguridad cibernética. Durante un programa intensivo de seis meses, los participantes
cobran un salario mientras aprenden los aspectos prácticos de la seguridad cibernética integrados en varias funciones
cibernéticas dentro de HPE y se ocupan de trabajos basados en proyectos mientras reciben orientación de los miembros
de nuestro equipo. Nuestra primera promoción recibió cobertura nacional. Se graduaron a finales de 2022 y,
lo que inicialmente era un proyecto piloto, se convirtió en un programa permanente y en crecimiento.

Ofrecer a los recién graduados una primera toma de contacto

con las operaciones de seguridad cibernética
De manera similar, nuestro programa de experiencia de rotación profesional se diseñó para reclutar a los recién graduados
en un programa rotativo de dos años que incluye una exposición global a todas nuestras funciones de seguridad cibernética.
Los participantes del programa adquieren experiencia en lo referente a las nociones básicas de la seguridad cibernética
mediante la participación directa en proyectos, la exposición a diferentes experiencias, una formación y un desarrollo innovadores.
Mientras dura el programa, los participantes rotan entre los diferentes equipos de seguridad cibernética cada seis meses.

Importancia de la diversidad y la mentoría

Gracias a nuestro sólido programa de mentoría y a nuestro eficaz programa de pasantías, estamos observando más interés
que nunca en la seguridad cibernética por parte de un grupo más amplio de trabajadores. En HPE, sabemos que las personas
son nuestra mayor fortaleza y consideramos que la igualdad, la inclusión y la diversidad son primordiales para lograr el éxito
en la disciplina de la seguridad cibernética. Creemos que contar con voces diversas mejora las operaciones de seguridad
cibernética y nos ayuda a superar las desigualdades inherentes de las formas tradicionales de trabajar y a desafiar el statu
quo. Este tipo de pensamiento innovador es cada vez más importante, ya que los ciberdelincuentes adaptan sus técnicas y
exigen respuestas igual de creativas.

Informe de seguridad cibernética de HPE de 2023 12

Perspectiva de seguridad: 2023 y más allá
Este es el camino que, según nosotros, debe seguir el sector
Prioridades
La seguridad cibernética es un tema comercial estratégico que afecta a la toma de decisiones en todos los ámbitos de la empresa.

• Definir objetivos que mejoren la madurez cibernética y se alineen con un marco

de seguridad cibernética estándar del sector, creando un lenguaje común entre
los equipos de seguridad cibernética.

• Establecer un marco de riesgos de seguridad cibernética mediante la definición

de criterios para medir de manera objetiva y consistente la importancia de
los activos, de acuerdo con la opinión de los equipos de riesgo empresarial y
los directivos de la empresa.

• Adoptar un enfoque basado en métricas para evaluar la eficacia de los controles

de seguridad, lo que permitirá a los directivos tomar decisiones informadas en
consonancia con las prioridades comerciales y sopesando bien los riesgos.

• Invertir en la creación y el desarrollo de talentos para ayudar a solucionar

la escasez de talento en seguridad cibernética.

• Proteger infraestructuras imprescindibles contra un número cada vez mayor

de amenazas (y de la consiguiente disrupción económica) para garantizar
la seguridad nacional.

• Gestionar las tensiones geopolíticas y el malware avanzado resultante que se

ha convertido en un producto que amenaza a todas las empresas.

Informe de seguridad cibernética de HPE de 2023 13

Perspectiva de seguridad: 2023 y más allá
Predicciones

«Los ciberdelincuentes duplicarán la automatización a medida que los ataques se vuelvan más
procedimentales y repetibles. Los mercados de la ciberdelincuencia en los que se venden ataques
de implementación de malware como servicios preempaquetados aumentarán en popularidad,
generando más ataques de oportunidad y reduciendo la efectividad de las operaciones cibernéticas».

– Daniel Frye, director de seguridad de la información

«Observamos riesgos en las cadenas de suministro distribuidas que comprenden sitios de fabricación
y ensamblaje en países geopolíticamente adversarios o en países en riesgo de invasión geopolítica.
Esto, a su vez, puede aumentar el riesgo de que componentes falsificados o maliciosos entren en el
ciclo de vida de producción».

– CJ Coppersmith, director de seguridad de los productos

«A medida que las organizaciones adoptan la transformación digital y el Internet de las cosas,
es probable que los atacantes continúen aprovechando la superficie de ataque que esto crea y
los ataques destructivos podrían volverse aún más dañinos».

– Sandya Bhoajaraj, asesora técnica estratégica, seguridad cibernética y gestión

de riesgos digitales

«Debido a que las juntas directivas son objeto de un escrutinio cada vez mayor, la seguridad
mantendrá su estatus como una de las principales preocupaciones. Las presiones presupuestarias
exigirán a los equipos de seguridad hacer más con menos y centrarse en lo que sea más importante
para el negocio».

– Paul De Luca, director, gestión de riesgos cibernéticos

«A la luz de las nuevas regulaciones y decisiones judiciales, los directores de seguridad de

la información, directores de seguridad y otros profesionales de seguridad serán cada vez más
responsables personalmente por no proporcionar las divulgaciones de incumplimiento necesarias
o no proteger los datos confidenciales adecuadamente».

– Brian Schmitt, consejero general asociado, seguridad cibernética

Informe de seguridad cibernética de HPE de 2023 14

Perspectiva de seguridad: 2023 y más allá Miembro destacado del equipo
Predicciones

«El panorama de las amenazas cibernéticas sigue creciendo a un ritmo exponencial. Los actores de amenazas
como los estados nación y los ciberdelincuentes seguirán desarrollando tecnologías emergentes. La investigación
sobre seguridad indica que los actores de amenazas están haciendo evolucionar sus herramientas con inteligencia
artificial y computación cuántica. Las organizaciones deberán adoptar tecnologías como la criptografía cuántica
(o poscuántica) para proteger sus datos en un futuro cercano».

– Travis Murray, director del equipo de inteligencia cibernética

«El aumento del uso de operaciones de inteligencia artificial y aprendizaje automático en seguridad cibernética
ayudará a detectar y corregir actividades inusuales en la empresa».
Conoce a Carlos Camarillo,
– Rohini Chavakula, científico de datos profesional reconvertido en especialista
de seguridad cibernética

«Las organizaciones se enfocarán más en la construcción de arquitecturas de TI que sean resistentes, tengan Carlos nació en Ciudad de México y se crió
capacidad de respuesta y puedan recuperarse de todo tipo de amenazas relacionadas con la TI y la seguridad en el sur de México. Después de pasar por
cibernética, especialmente a la luz de nuevas regulaciones como la ley de resiliencia operativa digital de la Unión la Universidad Iberoamericana, prosiguió sus
Europea para el sector financiero». estudios en la Universidad Heidelberg de Ohio,
donde completó sus estudios universitarios.
– Lois Boliek, directora, servicios de seguridad cibernética
Después, obtuvo su maestría en administración
de empresas en la Universidad de Findlay.
«El perímetro empresarial se expandirá aún más y, en algunos casos, desaparecerá a medida que las organizaciones Carlos regresó a México tras una emergencia
comiencen a invertir en infraestructuras desde el extremo hasta la nube y el trabajo desde casa siga siendo la nueva familiar y dirigió un restaurante local durante
forma de operar. Las tecnologías como SASE y SD-WAN, junto con la confianza cero, desempeñarán un papel más de una década hasta que llegó la pandemia
fundamental en el desarrollo de controles efectivos». y vendió el negocio. A través del programa de
reinicio profesional de HPE, Carlos recibió una
– Tim Ferrell, tecnólogo eminente, servicios de seguridad cibernética oferta de empleo como analista de seguridad
cibernética en nuestra oficina de Houston,
«El seguro contra incidentes de seguridad cibernética se convertirá en una necesidad de negocio habitual en a pesar de su falta de formación formal en
la mayoría de sectores. Sin embargo, frente a un número cada vez mayor de solicitudes de indemnización, seguridad cibernética. «Me encanta estar de
los agentes de seguros aumentarán las primas exponencialmente e introducirán criterios de aceptación previa regreso en el mundo corporativo», comenta,
en torno al cumplimiento y los niveles mínimos de seguridad». «y trabajar para un líder en tecnología de
clase mundial».
– Simon Leech, director, seguridad cibernética y gestión de riesgos digitales

Informe de seguridad cibernética de HPE de 2023 15

Perspectiva de seguridad: 2023 y más allá
Recomendaciones
Desarrolla la resiliencia y adopta la confianza cero

Trabaja para conectar a los

equipos de seguridad más
estrechamente con la empresa para
que comprendan mejor los riesgos
para la organización que su
trabajo ayuda a mitigar.
Clarifica el modelo de
seguridad compartida de
tus operaciones en la nube
y comprende dónde comienzan
tus responsabilidades
y dónde terminan las de tus
proveedores. Invierte en análisis
del comportamiento de
los usuarios, que modelan las
actividades de los usuarios con
el tiempo y descubren desviaciones
de los patrones establecidos,
lo que revela posibles
ataques en curso.
Comprende tu cadena de
suministro en su totalidad e
niveles decisorios, y comprométete
identifica dónde residen los riesgos
cibernéticos de terceros.
Contrata por el talento,
no necesariamente por
la experiencia, ya que esta se puede
desarrollar o mejorar, mientras que
el talento no tanto.
Aprovecha la confianza
cero y SASE para aumentar
Pasa de la protección de
la resiliencia de la seguridad
datos basada en dispositivos
cibernética de tu infraestructura y
a la autoprotección de datos.
preparar mejor a la organización
contra las amenazas.
Las técnicas de cifrado,
tokenización y seudonimización
pueden proteger y enmascarar
los datos en todas sus formas
hasta el momento de su
procesamiento. La seguridad solo
es posible a través
Crea una cultura de
de la combinación
seguridad en toda la
de automatización y diligencia
organización, incluidos los
humana, garantizando que las
soluciones críticas se abordan en
con un sólido programa de
primer lugar y que todas las
formación en seguridad
vulnerabilidades se abordan
cibernética.
en un período de tiempo
adecuado.

Informe de seguridad cibernética de HPE de 2023 16

Recursos del centro de excelencia en
seguridad cibernética de HPE
Informes y contenido en línea de HPE
• Compartir la responsabilidad en materia de seguridad con HPE GreenLake

• Punto de vista del profesional de la seguridad respecto a la seguridad cibernética desde

el extremo hasta la nube

• Informe anual HPE Living Progress

• Alertas de vulnerabilidad de la seguridad de productos críticos de HPE

• Servicios de seguridad cibernética de HPE

• Educación en seguridad cibernética de HPE

• Seguridad de HPE GreenLake

• Empleos en HPE

Calificaciones externas
UpGuard

Comentarios
Esperamos recibir tus comentarios sobre cualquier tema relacionado con la seguridad y el mundo
desde el extremo hasta la nube en constante evolución. Comunícate con nosotros aquí.

Visita HPE GreenLake

© Copyright 2023 Hewlett Packard Enterprise Development LP. La información que contiene este documento está sujeta a cambios sin
previo aviso. Las únicas garantías de los productos y servicios de Hewlett Packard Enterprise figuran en las declaraciones expresas de garantía
incluidas en los mismos. Nada de lo que aquí se indica debe interpretarse como una garantía adicional. Hewlett Packard Enterprise no se hará
responsable de los errores u omisiones que pudiera contener este documento.
a00130859ESE, rev. 1