Forescout ha dado un paso adelante en el ámbito de la ciberseguridad con el lanzamiento de su Automated Security Controls Assessment, una revolucionaria característica dentro de su plataforma 4D que busca transformar el método tradicional de auditoría hacia un modelo de verificación continua. Esta funcionalidad, que ya está disponible, pretende evaluar de manera permanente la eficacia de los controles de seguridad, así como la confianza y el cumplimiento normativo a lo largo de toda la superficie de ataque, abarcando tanto activos gestionados como no gestionados.
La nueva propuesta de Forescout se presenta en un momento en que muchas organizaciones aún dependen de hojas de cálculo y revisiones manuales para demostrar su cumplimiento normativo. Este enfoque tradicional ha demostrado ser insuficiente en un entorno donde los dispositivos, las identidades y las regulaciones cambian constantemente. Forescout ofrece una alternativa mediante una plataforma que permite la recolección de evidencia en tiempo real, proporcionando una visión continua del estado de los controles, en lugar de una evaluación estática y esporádica.
Inicialmente, la evaluación se centrará en los CIS Benchmarks, ampliamente utilizados como guía de configuración segura para diversos sistemas y dispositivos. Estos estándares, definidos por el Center for Internet Security, sirven como una base reconocida sobre la cual medir el cumplimiento y la eficacia de los controles a partir del contexto actual de los activos que la plataforma descubre.
Un aspecto diferenciador de esta nueva capacidad es su capacidad de gestionar no sólo activos de TI tradicionales, sino también entornos OT, IoT e IoMT, incluyendo dispositivos no gestionados. Este enfoque es vital, ya que muchas brechas de seguridad surgen en activos que las herramientas convencionales no alcanzan. Con esta nueva funcionalidad, Forescout no sólo busca mejorar la auditoría sino también proporcionar una visibilidad completa del inventario, crucial para reducir puntos ciegos y mejorar la seguridad operativa.
Desde una perspectiva comercial, Forescout responde a una queja común entre los equipos de Gobierno, Riesgo y Cumplimiento (GRC): los esfuerzos y el tiempo invertidos en demostrar cumplimiento son a menudo excesivos y poco eficientes. Forescout promete reducir hasta un 80% el esfuerzo necesario para preparar auditorías al automatizar la recolección de datos y la generación de reportes, aunque esa cifra proviene de la propia compañía y no de una validación independiente.
Automated Security Controls Assessment no se presenta como una simple herramienta para crear informes, sino como un sistema para mantener una preparación constante ante auditorías, mostrando evidencia y brechas en tiempo real. Esta capacidad es especialmente valiosa en sectores regulados, donde mantener una coherente postura de seguridad entre auditorías es tan importante como superarlas.
El anuncio de Forescout refleja una evolución en la ciberseguridad empresarial hacia un modelo donde las herramientas de cumplimiento sean parte de la operación diaria, integrándose con los controles técnicos y basándose en el estado actual del dispositivo y el contexto de la red.
Si bien queda por ver cómo esta innovación será adoptada por organizaciones fuera de su base actual de clientes, la tendencia del mercado es clara: en un entorno con más regulación y activos conectados, el modelo de verificar la postura una sola vez al año es cada vez menos viable. Forescout parece decidido a tomar liderazgo ofreciendo un enfoque que apuesta por menos papeleo y más telemetría en tiempo real.
