¿Qué es primero, la seguridad o el cumplimiento? En un mundo ideal, ambos deberían trabajar juntos sin problemas. He aquí cinco claves que los CISO deben de tener en cuenta para lograrlo.

A medida que proliferan las numerosas leyes de cumplimiento de datos en todo el mundo, los profesionales de la seguridad se han centrado demasiado en marcar sus casillas de requisitos cuando deberían centrarse en reducir el riesgo. ¿Pueden los dos trabajar armoniosamente juntos?

La respuesta depende de la eficacia con la que los líderes de seguridad de TI puedan trabajar con sus auditores y hablar con sus directorios, dicen los expertos. Estas son sus cinco recomendaciones principales:

1. Centrarse en la protección de datos

Es bien sabido que el cumplimiento se trata de proteger los datos regulados, mientras que la ciberseguridad se centra en mantener alejados a los malos. Desde la perspectiva de la protección de datos, la medida de seguridad clave es evitar procesar o almacenar datos regulados que no son necesarios. Si debe almacenar datos regulados, asegúrese de utilizar un cifrado más fuerte que el recomendado, dijo James Morrison, especialista nacional en seguridad cibernética de Intelisys, la división de soporte de infraestructura de la empresa de sistemas de pago ScanSource.

“En mi carrera he visto a pequeños proveedores de atención médica enviar datos de pacientes en texto sin cifrar. Entonces, para crear políticas compatibles, pregunte cómo se manejan los datos regulados desde la cuna hasta la tumba”, explicó Morrison, ex científico informático del FBI. “Debe tener en cuenta dónde se encuentran sus datos, dónde se almacenan, cómo se almacenan y durante cuánto tiempo. Esa es la forma correcta de iniciar la conversación sobre el cumplimiento y la seguridad”.

2. Convierta a los auditores de seguridad en sus amigos

Tan importante como aprender la perspectiva de los auditores es ayudarlos a comprender los conceptos básicos de la ciberseguridad. Como CISO en una empresa anterior, Morrison celebró reuniones semanales con su auditor para mantener una conversación “bidireccional” que incluyera el cumplimiento y la seguridad. Cuando la empresa llevó a cabo su actualización de gestión de seguridad de la información ISO 27001, el equipo de auditoría pudo articular claramente lo que necesitaban del equipo de seguridad. Luego, el propio Morrison reunió la información que solicitaron los auditores. “Los auditores aprecian más si se adopta un enfoque de equipo como este. Y también lo son los directores generales y los directorios”, agregó.

Sin embargo, enseñar los conceptos básicos de ciberseguridad a los auditores es difícil, agregó Ian Poynter, un CISO virtual con sede en la costa este de EE. UU. Esto es especialmente problemático entre los auditores que provienen de las grandes firmas de consultoría, a quienes compara con “personas con portapapeles que hacen preguntas pero no entienden el contexto de seguridad y riesgo”. Caso tras caso, Poynter describió experiencias pasadas en las que sus clientes pasaron sus auditorías de “portapapeles” mientras fallaban fundamentalmente en la seguridad.

Por ejemplo, en un caso, el auditor preguntó si la empresa tenía un firewall y el gerente de TI marcó la casilla “sí” porque tenían un firewall, aunque todavía estaba en el paquete y aún no se había instalado. “Los auditores no entendieron que el firewall en realidad no está haciendo nada, porque tenían un firewall”, dijo Poynter con sarcasmo. “Para auditar correctamente, necesita conocer el contexto en torno a las preguntas y cómo hacer las preguntas”.

Como consultor de empresas más pequeñas, Poynter dijo que es importante comprometerse con auditores que tengan esas relaciones con la seguridad y que entiendan los aspectos de seguridad y cumplimiento en conjunto. Por ejemplo, señaló una empresa que se prepara para gastar tres millones de dólares en un proveedor SOC 2. Al iniciar la auditoría SOC 2 con el proveedor, Poynter proporcionó a ambas partes informes de seguridad y vulnerabilidad que se correlacionaron con los requisitos de auditoría. Esto, dijo, redujo en gran medida el campo de enfoque para el equipo de auditoría y agregó que era un buen ejemplo de cómo el cumplimiento y la seguridad se combinan para mejorar las habilidades comerciales del líder de TI y mejorar la postura de seguridad.

3. Utilice el cumplimiento como base para crear una mejor seguridad

Poynter también advirtió que las listas de verificación de auditoría quedan desactualizadas con regularidad, por lo que simplemente aprobar una auditoría no protege los activos de TI. Tomemos, por ejemplo, las contraseñas, que NIST solía requerir cambiar cada 90 días. NIST ha rescindido esa regla porque las personas no pueden recordar sus contraseñas y, en su lugar, recomendó usar frases de contraseña con números y símbolos que los usuarios puedan recordar.

Avishai Avivi, CISO de la empresa de validación de control de seguridad SafeBreach, está de acuerdo con Poynter. Avivi consideró que los marcos de cumplimiento brindan una base para pensar en los programas de seguridad, pero los mandatos de cumplimiento no son prescriptivos ni califican la eficacia de los controles. Por ejemplo, dijo: “una lista de verificación de cumplimiento le dice que necesita tener un firewall. No le dice qué tipo de firewall es adecuado para su negocio o qué reglas de firewall implementar”.

También señaló los requisitos para las pruebas de penetración anuales, aunque las amenazas evolucionan con mucha más frecuencia que eso. Esta brecha deja a las empresas “cumplidoras” en riesgo de nuevas vulnerabilidades que no saben que tienen. También está abierto a interpretación cómo realizar la prueba de penetración y contra qué recursos informáticos, continuó.

“Teníamos un cliente que solo estaba probando su superficie de ataque externa. Entonces, hicimos una simulación desde la red interna de una oficina corporativa  y les mostramos que si solo una de sus estaciones de usuario final está comprometida puede acceder a todas sus redes de desarrollo y producción”, explicó Avivi. “El cliente siguió las pautas de cumplimiento en términos de segmentación del desarrollo de las redes de producción, pero no había controles de firewall para evitar que alguien ingresara desde una oficina corporativa a esos entornos”.

Los sistemas de control industrial (ICS), NERC CIP y otros estándares son particularmente básicos en sus requisitos, según Jason D. Christopher, director de riesgo cibernético de Dragos. â€œDebido a la falta de detección específica de OT en las redes industriales, es más difícil interpretar las reglas de cumplimiento. Es mucho más difícil tener una conversación de cumplimiento porque es difícil distinguir en una planta si tuvo un incidente de seguridad que requiere un informe o si es un incidente de mantenimiento”.

Los sistemas ICS, como las empresas de energía y electricidad, ya están atrasados porque sus controles de seguridad también se encuentran en el extremo inferior de la curva de madurez, continuó Christopher. Luego describió la curva de madurez del cumplimiento en tres etapas. El rastreo es llenar las casillas de verificación. Caminar es construir un programa en torno a los hallazgos de auditoría y verificar los hallazgos con controles de compensación. En la etapa de ejecución, los operadores de red han superado las reglas de cumplimiento con el flujo de trabajo y la cadena de mando adecuados para respaldar las tareas de seguridad y auditoría. Christopher enfatizó que cuanto más maduros sean los programas de cumplimiento y seguridad, mejor será la colaboración y comunicación entre los auditores, los CISO y la junta.

4. Solucione las vulnerabilidades que encuentre

Es esa etapa intermedia de la madurez, la etapa de caminar, donde las organizaciones en su mayoría se bloquean, dicen los expertos que mencionan muchos casos en los que las organizaciones no hicieron las reparaciones básicas en función de los hallazgos de la auditoría. “Teníamos una empresa que hizo su prueba de penetración según lo exigido por el cumplimiento. Luego, un año después, la nueva prueba de penetración arrojó exactamente el mismo hallazgo de vulnerabilidad porque el cliente no había abordado los hallazgos de la prueba de penetración del año anterior”, dijo Morrison. “Al final, sufrieron una segunda brecha en torno a la misma vulnerabilidad. Esta vez, la empresa tuvo problemas con los organismos reguladores”.

La historia de Morrison suena como un caso famoso que actualmente se encuentra en el Tribunal Federal de Distrito de San Francisco. En él, Joe Sullivan, CISO de Uber, se enfrenta a una pena de prisión por cargos federales porque no denunció una segunda filtración de ransomware que aprovechó la misma vulnerabilidad que la FTC había exigido cerrar después de una filtración anterior. Recientemente, se agregaron más cargos de fraude electrónico en lo que el FBI ahora llama un encubrimiento.

5. Medir las mejoras en la postura de seguridad y riesgo

Más que un simple impulsor para reducir el riesgo, el cumplimiento también se puede utilizar para medir las mejoras en la seguridad y la postura frente al riesgo. Morrison sugirió un tablero de cumplimiento para medir su puntaje de riesgo y usar esas políticas del tablero para mantenerse a la vanguardia de los riesgos cambiantes, como agregar una nueva tecnología o brindar soporte a una fuerza laboral remota. Los tableros también deberían ayudar a los administradores de TI a informar a la alta dirección en el lenguaje comercial de riesgo y recompensa que ellos entienden.

Como explicó Avivi de SafeBreach, “si haces bien la seguridad, probablemente cumplas con las normas. Pero si lo único que le importa es el cumplimiento, probablemente no estará seguro”.

-Deb Radcliff, cio.com