No existe ningún programa de seguridad perfecto. Ataques como el reciente a Colonial Pipeline en el que los delincuentes explotaron una vulnerabilidad conocida, así lo demuestran. Por ello, los equipos de ciberseguridad no pueden permitirse el lujo de pasar por alto nada. Hay ocho barreras fáciles de pasar por alto que pueden socavar una estrategia de seguridad que de otra manera tendría éxito.
Hablar de riesgo de seguridad, en lugar de riesgo empresarial
La ciberseguridad se ha convertido en un tema de preocupación a nivel directivo, pero con demasiada frecuencia los CISO continúan posicionando la seguridad como un problema tecnológico en lugar de un riesgo comercial, dijo Niel Harper, CISO de UNOPS. Esto puede parecer pura semántica, pero hay consecuencias negativas cuando los líderes empresariales ven la seguridad de una manera tan limitada. “Cuando no se ve un riesgo comercial, no ven cómo la ciberseguridad se integra en todos los aspectos del negocio. Como resultado, los CISO no tienen un asiento completo en la junta directiva, no reportan a los ejecutivos, sino que lo hacen dos o tres niveles hacia abajo”.
Exagerar el cumplimiento
Las empresas deben cumplir con múltiples estándares industriales, regulatorios y legales para poder llevar a cabo sus operaciones. Los CISO no pueden ignorar este aspecto, pero no deben asumir que cumplir con los estándares requeridos confirme que están seguros. “El cumplimiento presenta una falsa sensación de seguridad”, añadió Harper. “De hecho, las infracciones están aumentando a pesar de la adherencia a la regulación de muchas compañías”. Estos requisitos no son dinámicos y, por lo tanto, no pueden abordar las amenazas emergentes o medir con precisión la preparación de una organización.
No poder moverse lo suficientemente rápido
Las empresas están acelerando sus transformaciones digitales con movimientos a la nube, desarrollo de software más ágil y repuestas rápidas a los requisitos de los clientes. No todos los CISO siguen el ritmo y eso ha generado brechas en la postura general de ciberseguridad empresarial, según varios expertos.
“La seguridad debe ser más ágil y los CISO deben pensar fundamentalmente de manera diferente sobre cómo abordan la ciberseguridad”, dijo Tony Velle, CISO de UST y CEO de CyberProof.
Siempre enfocándonos en lo urgente
Una de las mayores amenazas para un programa de seguridad exitoso es verse atrapado por la tiranía de lo urgente. Los equipos de seguridad pueden llegar a estar tan absortos en tratar con las necesidades más inmediatas, incluso si son problemas de bajo nivel, que no tienen la capacidad de abordar las prioridades estratégicas.
Centrarse demasiado en tecnologías en lugar de las partes interesadas y sus necesidades
En una declaración similar, Jinan Budge, analista principal de Forrester, expresa que no priorizar la participación de las partes interesadas puede obstaculizar la implementación de un programa de seguridad sólido. “Sin esto, los CISO no saben qué priorizar o cómo lograr la aceptación. Los CISO que no dan prioridad a la participación tienen más problemas a la hora de enfrentar la resistencia de los ejecutivos e incluso ver recortados sus proyectos”.
Mantener la seguridad dentro del propio departamento de ciberseguridad
Crear un gran equipo de seguridad pero no crear una cultura en toda la compañía es una forma segura de socavar el éxito. Hasta el 85% de los brachas de seguridad de 2020 involucraron un elemento humano. Y, es que, un clic en un enlace incorrecto podría socavar toda la agenda del CISO.
Pasar por alto a sus propios trabajadores de seguridad
De manera similar, los CISO que descuidan a sus equipos y la cultura de su departamento de seguridad encontrarán rápidamente que el programa de seguridad se ve afectado como resultado, dicen los líderes de seguridad veteranos.
“La gente a menudo piensa que la toxicidad del equipo o los equipos que funcionan deficientemente afectan al individuo, pero también afecta la postura y el riesgo de ciberseguridad”, dijo Budge, cuya investigación se enfoca en permitir el éxito del rol de CISO; crear estrategias de ciberseguridad transformadoras; y fomento de programas culturales, de comportamiento y de concienciación sobre la seguridad.
Enamorarse de las cosas nuevas
Los CISO pueden elegir entre un número creciente de tecnologías y procesos emergentes, como la detección y respuesta extendidas (XDR), el análisis del comportamiento, la búsqueda de amenazas y el modelo de confianza cero. Pero esas opciones avanzadas no ofrecerán ganancias de seguridad reales si los CISO no se están ejecutando perfectamente en los elementos más básicos de un programa de seguridad sólido y si no los han ajustado todos a las necesidades específicas de su propia organización.
-IDG.es