El CEO deposita toda la confianza en el oficial jefe de seguridad para mantener a la compañía fuera de encabezados en primera plana y fuera de peligro. Pero a medida que el número de ataques a través de Internet se dispara, esa confianza se ha erosionado lentamente, o por lo menos es cada vez más cuestionada.
Los CEOs no quieren ser sorprendidos o desprevenidos, por lo que están haciendo preguntas puntuales para asegurarse de que sepan qué medidas de seguridad se están tomando.
A continuación, una hipotética sesión de preguntas y respuestas entre un CEO o un miembro del consejo y el CISO. Lucas Moody, vicepresidente y CISO de Palo Alto Networks, y Dottie Schindlinger, Evangelista de Tecnología de Gobernanza en Diligent, nos dieron una idea de estas interacciones.
CEO: ¿Por qué estamos recibiendo más ataques de phishing? ¿Y qué estamos haciendo al respecto?
CISO:Para combatir esta amenaza, la prevención es nuestra mejor defensa. La prevención comienza con la tecnología, y debe incorporar los medios para identificar la repetición de las credenciales corporativas en la naturaleza. Apoyando esta capacidad, también hemos abordado el tema de las personas y el proceso a través de la simulación y educación completa de phishing para preparar a los empleados para ser la primera línea de defensa necesaria para proteger proactivamente la organización.
CEO: ¿Deberíamos estar preocupados por los ataques de ransomware? Tengo la impresión de que nuestra industria no se ve afectada; al menos por lo que veo en las noticias
CISO: Dado el enorme éxito que han tenido los delincuentes cibernéticos con el ransomware, debemos esperar ver un mayor volumen de ataques este año en todas las industrias, desde la asistencia de salud hasta la infraestructura crítica; y es probable que estos ataques se vuelvan más sofisticados. Tenemos una estrategia completa como backup, lista para contrarrestar estos ataques, que suelen presentarse en un contexto de negocio y altamente personalizado para el destinatario.
CEO: ¿Qué pasa con la seguridad de los dispositivos IoT mientras están conectados a nuestras redes corporativas? ¿Cuál es nuestra estrategia respecto a eso?
CISO:Hay más de seis mil millones de dispositivos conectados a Internet en uso en todo el mundo; un número que se espera llegue a casi 21 mil millones en el 2020. A medida que estos dispositivos IoT destinados a consumidores llegan a las oficinas y a las redes corporativas, necesitamos abordar con seriedad, y de manera proactiva, esta importante vulnerabilidad antes de encontrarnos con algunas amenazas reales. Como ustedes saben, el factor humano es siempre el eslabón más débil en cualquier plan de seguridad cibernética, así que necesitamos comenzar a establecer parámetros sobre lo que se puede conectar a nuestra red corporativa y los datos a los que se acceden a través de estos dispositivos. Estamos aprovechando la tecnología de seguridad, que no solo es consciente de las aplicaciones y productos, sino que también puede controlar adecuadamente estos dispositivos para que funcionen de la manera prevista.
CEO: El intercambio accidental de archivos confidenciales de la compañía en aplicaciones SaaS se está convirtiendo rápidamente en un problema. ¿Qué podemos hacer para evitar los peligros?
CISO: La productividad del equipo se basa en el uso de aplicaciones SaaS como Box, Dropbox y Google Drive, y debido a que la adopción de estos servicios es tan desenfrenada, hemos desarrollado estrategias para minimizar el riesgo de pérdida de datos. Por diseño, estas aplicaciones están creadas para simplificar el intercambio de información, lo que significa que las organizaciones de seguridad de la información deben estar bien equipadas para supervisar y prevenir la exposición de la empresa. Acoplar la educación de la mano de obra, con controles preventivos y de detección para identificar datos riesgosos, limitar el intercambio y apoyar el monitoreo de los datos confidenciales expuestos, son pasos importantes. El uso de ejemplos de la vida real para explicar las consecuencias del intercambio de archivos en aplicaciones SaaS es muy eficaz para ayudar a mitigar este problema, y protegerse de aumentar el costo de los negocios o de introducir daños prevenibles de la marca.
CEO: Hablemos del riesgo de infiltrados. Es fácil tener pesadillas sobre estas cosas. ¿Podemos llegar a estar demasiado preparados para esto?
CISO: Tenemos un programa de gestión de riesgos sólido y establecido para identificar dónde es que el riesgo puede llegar a causar mayor impacto dentro del negocio y la marca. Además, contamos con las políticas adecuadas que detallan los comportamientos esperados y lo complementan con un robusto control de acceso aprovechado para segmentar poblaciones de usuarios con datos apropiados para sus roles. Tener las tecnologías adecuadas para detectar anormalidades en el acceso a datos confidenciales, respaldados por un contexto de usuario y de rol es igual de crítico. Finalmente, cuando ocurre un incidente, tener el equipo preparado con los libros de juego en sus lugares, listos para tomar acción inmediata y disruptiva, hará una gran diferencia para mitigar el impacto.
CEO: Ahora, todo lo que oímos es la nube, la nube, la nube. Noticias emocionantes, pero ¿cómo nos estamos preparando para esta transformación?
CISO: Nos hemos preparado para esta transformación en TI a través del desarrollo de una estrategia de seguridad para la adopción de la nube. Si bien esto no es tan simple como desarrollar políticas y estándares y luego empujarlos hacia la empresa, en lugar de eso hemos presentado un enfoque multifacético. En primer lugar, hemos implementado un impulso sostenido para que la relevancia esté al día en los numerosos servicios únicos en categorías como computación, almacenamiento, analytics, mensajería y más. En segundo lugar, cuando se trata de servicios elásticos y programables en la nube, la única manera de abordar las brechas en los estándares de seguridad es a través de la automatización. En tercer lugar, hemos identificado mecanismos para lograr la prevención de amenazas de alta fidelidad dentro de la nube.
CEO: ¿Cómo nos protegemos del robo de identidad y credenciales? ¡Debe haber algo que podamos hacer!
CISO: La verdad es que no todas las organizaciones tienes prácticas sólidas de autenticación y validación, y la gente reutiliza de manera regular sus nombres de usuario y contraseñas a través de múltiples propiedades de Internet. Esto crea oportunidades para que los adversarios distribuyan campañas de recopilación de credenciales, para así poder acumular grandes cantidades de combinaciones de nombres de usuario y contraseñas, u otra información utilizada para la configuración o validación de la cuenta. Una vez robados, normalmente venden esa información en foros clandestinos para amenazar a los actores que desean utilizar los datos robados para promover sus propios esfuerzos. Hemos abordado este problema orquestando un ecosistema de programas y capacidades fuertes, incluyendo la implementación de la autenticación multifactorial (MFA) para aplicaciones expuestas y dispositivos móviles, el aprovechamiento de la tecnología para entender cuándo las credenciales corporativas están en riesgo, así como la interrupción de la reproducción de credenciales en sitios web suplantados.
CEO: La ciberseguridad es compleja y necesita mentes creativas para impulsar la innovación, un problema que se ve exacerbado por una reserva de talento limitada. ¿Qué estamos haciendo para asegurarnos de que, como empresa, construyamos una cartera sólida de empleados hacia la ciberseguridad?
CISO: Depender de la mentalidad de “ya lo hice, ya lo conozco” como competencia continua en una reserva de talento fuertemente apalancada, es negligente. La búsqueda de diferentes perspectivas y experiencias -y permitiendo que la diversidad de pensamiento florezca- crea un ambiente increíble para que los grandes pensadores se unan. Permitimos que la diversidad de pensamientos se convierta en parte de la cultura. Para acelerar nuestro programa de ciberseguridad, hemos ampliado el grupo de talentos accesibles para incluir otras experiencias, dando prioridad a aquellos que sobresalen en la resolución de problemas, creatividad y capacidad de influir y comprender el elemento humano.
CEO: Hoy en día, realmente tenemos una presencia global con empleados basados en todo el mundo. Me doy cuenta de que esto hace que el trabajo de la organización de seguridad sea mucho más difícil. ¿Cómo manejamos esta complejidad?
CISO: La estrategia más efectiva es capacitar a todos los empleados para que estén vigilantes y sean una primera línea de prevención muy sólida. Estamos haciendo que sea una prioridad compartir las mejores prácticas y la inteligencia en toda la organización para mantener a todos informados y preparados. También estamos prestando atención a las costumbres y procesos locales, y siendo extra atentos para trabajar en estrecha colaboración con los equipos locales, y así lograr las mejores soluciones que funcionan para esa ubicación o situación específica. Las soluciones de formación deben estar localizadas para garantizar la eficacia, y tenemos que seguir reclutando para que la diversidad de pensamientos reúna a las mejores mentes para verdaderamente resolver un panorama de amenazas cada vez más complejo y dinámico.
CEO: Todo el tiempo escuchamos sobre amenazas más grandes y mayor urgencia. ¿Cómo conseguimos seguridad adecuada para nuestra organización y nuestros clientes?
CISO: El compromiso proactivo entre las principales partes interesadas antes de que ocurra un incidente garantizará que la organización es capaz de responder rápida y eficazmente a las amenazas cibernéticas modernas. Al final, a lo que nos referimos cuando decimos que es realmente importante conseguir la seguridad adecuada es que debemos liderar dando el ejemplo. No podemos hacer lo mismo de siempre. No podemos decir a los clientes que necesitan llegar a los “cambios de paradigma de la próxima generación” si no hacemos estas cosas nosotros mismos. Debemos pensar primero en la prevención, reducir la superficie de ataque dentro de nuestros propios entornos, aumentar nuestra capacidad de detección e interrupción, y debemos seguir innovando en la automatización de la seguridad en el negocio.
CEO: ¿Cuánta cobertura de seguro de riesgo cibernético necesitamos para asegurarnos de no ser hackeados?
CISO: Hemos recibido orientación sobre tener coberturas de seguro de riesgo cibernético incluidas en nuestras políticas de D&O para ayudar a proteger nuestra responsabilidad personal en torno a la ciberseguridad. Lamentablemente, el seguro de riesgo cibernético solo importa después de haber sido hackeado, y no absuelve a los directores de su responsabilidad de adherirse a la ley. Por ejemplo, el Departamento de Servicios Financieros de NY (a partir del 1 de marzo del 2017) requiere que todas las firmas de servicios financieros que operan en el estado de Nueva York certifiquen que no solo conocen las prácticas de seguridad cibernética de la compañía, sino también que los directores son responsables de asegurar que las prácticas sean aplicadas y efectivas.
Es mi trabajo asegurarme de que usted y la junta directiva estén regularmente informados sobre los programas de seguridad cibernética vigentes y la eficacia de estos. Sabrá sobre cualquier intento exitoso tan pronto como sea detectado, y le proveeré descripciones detalladas de lo que se está haciendo para mitigar y remediar las brechas o fugas. También estoy trabajando con los aseguradores para garantizar que se cumplan los requisitos de la cobertura -como la aplicación de prácticas de comunicación específicas, programas de educación y pruebas de seguridad.
CEO: ¿Qué está haciendo para asegurarse de que no tengamos fugas de datos?
CISO: Las fugas de datos pueden ser tan perjudiciales -si no es más- que los y las brechas de datos. Le proporciono a la junta actualizaciones regulares sobre el alcance completo del programa de seguridad cibernética de la compañía y su plan de comunicaciones de crisis. Mientras tanto, parte de nuestro esfuerzo se enfoca en desarrollar un conjunto de políticas de comunicación para directores y ejecutivos, las cuales deben ser elegidas mediante votación por la junta directiva completa, y formar parte de la nueva orientación y capacitación de los directores. Mejor aún, también me gustaría guiar el consejo -al menos una vez al año- a través de ejercicios de mesa sobre una fuga de datos, que ayudará al consejo a tener una visión directa de la forma en que funciona el plan de comunicación de crisis, y su propia competencia al adherirse a las políticas de seguridad.
-Ryan Francis, CSO (EE.UU.)
