Josh Shaul, vicepresidente de Productos de Seguridad Web de Akamai Technologies, da respuesta sobre lo que hablan los integrantes del Consejo de Administración de cualquier compañía ante la seguridad cibernética.
Los consejos de administración están profundamente preocupados por cómo la ciberseguridad protege a la empresa y sus clientes. Deben apreciar cómo está cambiando el panorama de amenazas, las limitaciones de las defensas convencionales y cómo configurar una protección avanzada basada en el apetito de riesgo claramente articulado de la empresa. Las políticas y prácticas de seguridad deben permitir el progreso de la empresa mientras previenen el progreso de sus adversarios en el ciberespacio.
¿Cuáles son los conceptos básicos que los miembros de la junta directiva deben saber sobre la seguridad cibernética en la actualidad?
Shaul responde: Los miembros del consejo reconocen la creciente importancia de la seguridad cibernética. El interés y la preocupación son altos. Es por eso que está en su agenda. Pero es probable que tengan diferentes grados de formación técnica y, por lo tanto, su comprensión de los problemas es desigual. Entonces, cuando el Chief Information Officer (CIO) o Chief Security Officer (CSO) informa a la junta directiva sobre la postura de seguridad cibernética de la empresa, por lo general hay algo de educación y acciones por hacer.
En primer lugar, los miembros de la junta deben tener una idea del panorama de amenazas y cómo sigue cambiando. Eso incluye comprender algunos conceptos básicos sobre los tipos de ataques y defensas. Deberían apreciar cómo los diferentes ataques (DDoS, malware, ataques Web) exigen diferentes defensas. La seguridad es compleja.
En segundo lugar, deben reconocer que las defensas de firewalls perimetrales tradicionales son inadecuadas cuando la empresa opera en línea y está altamente conectada con clientes y socios, a veces en todo el mundo. El perímetro debe tener aberturas, pero cuando las redes y las aplicaciones están abiertas para los clientes, también están abiertas al ataque. Debido a que los negocios se han vuelto muy distribuidos, la seguridad también debe ser distribuida.
Tercero, reconozca que no existe una defensa completamente hermética. “¿Es segura la empresa?” No es una pregunta de sí o no. Las preguntas para discutir son: ¿Es la empresa lo suficientemente segura para operar con éxito? ¿Cuánto riesgo estamos dispuestos a aceptar? ¿Cuánto estamos dispuestos a invertir para reducir el nivel de riesgo?
Cuarto, saber que el éxito es local. Los titulares sobre violaciones importantes nos recuerdan lo costoso que puede ser el fracaso, y hay lecciones que aprender de lo que les sucede a los demás. Pero la seguridad cibernética debe centrarse en las amenazas y vulnerabilidades potenciales específicas de la empresa, incluso en presencia de la cobertura de los medios.
En un mundo ideal, ¿qué le gustaría al CIO o CSO decirle a la junta sobre la postura de seguridad local? Shaul afirma que la discusión abarcaría tres temas: defensas, clientes y respuesta.
Defensas. Tenemos defensas efectivas. Seguimos los cambios en el panorama de amenazas. Tenemos visibilidad de nuestros activos digitales y redes. Hemos hecho toda la diligencia posible para protegernos de ser la próxima víctima de un ataque cibernético. Además de las defensas perimetrales, tenemos un escudo global en la Nube que protege nuestros activos y comunicaciones donde sea que estén. También estamos monitoreando las comunicaciones internas y protegiéndonos contra amenazas internas con el mismo rigor que aplicamos a las externas. Y, lo que es más importante, regularmente estamos probando y validando nuestras defensas con “fuego real”. Contratamos a hackers expertos para que intenten piratearnos y arreglar de inmediato lo que resulta ser hackeable.
Clientes. Estamos supervisando constantemente el acceso de nuestros clientes a nuestro negocio, y queremos que tengan una experiencia excelente y segura al interactuar con nosotros. Entendemos sus comportamientos normales en línea, y estamos observando cuidadosamente cualquier acceso anormal. Nos aseguramos de que sean realmente los clientes quienes interactúan con nuestros sistemas, y no los robots que se hacen pasar por ellos. Y notificamos a los clientes cuando notamos que los estafadores pueden haber robado sus credenciales o incluso identidades. Por lo tanto, estamos protegiendo a nuestros clientes, su privacidad y sus datos, y así mantenemos la confianza de nuestros clientes.
Respuesta. Estamos preparados, incluso para lo peor. Nuestro equipo está entrenado. Saben cómo responder cuando ocurre un ataque o una violación. Hemos diseñado nuestro plan de juego, incluido con quién vamos a informar e interactuar, incluida la administración ejecutiva y el personal legal y de comunicaciones corporativo. Sabemos cómo vamos a recopilar pruebas y realizar investigaciones forenses. Realizamos ejercicios de respuesta a incidentes realistas. No vamos a quedar atrapados en nuestros talones, porque tenemos nuestros procesos de respuesta a incidentes bloqueados, y hemos practicado y practicado.
Para resumir: estamos protegidos lo mejor que podemos, estamos protegiendo a nuestros clientes y estamos preparados, incluso para lo inesperado, pero no muchas organizaciones pueden hacer honestamente todas estas acciones hoy. ¿Por qué? La respuesta simple suele ser la falta de fondos para un programa de seguridad más completo. Pero ese es el síntoma a siempre vista, el problema es la falta de contexto y dirección. Muchas organizaciones tienen dificultades para determinar qué tan seguros deben estar, o cuánto riesgo están dispuestos a aceptar, o cuánto están dispuestos a gastar para obtener un nivel aceptable de riesgo.
¿Cuáles son las conclusiones clave para los CIO y los CSO? Shaul menciona:
Primero, cuando trabaje con la junta, cubra más que el estado de las defensas técnicas y el riesgo de ataque. También discuta la protección del cliente y la preparación de la organización de seguridad y los procedimientos de respuesta a incidentes en caso de ataque. Juntos, estos temas representan una diligencia debida.
Segundo, la junta debe entender que la empresa nunca puede estar completamente segura. Pero puede operar dentro de un apetito de riesgo determinado y aceptable a propósito. En términos generales, el Chief Executive Officer (CEO) y la junta directiva deben poder comunicar la estrategia de seguridad y el apetito de riesgo a las partes interesadas: clientes, empleados, reguladores y accionistas.
Tercero, los líderes de seguridad a menudo luchan para obtener los recursos que necesitan para cumplir con sus responsabilidades. A muchos les resulta difícil comunicar el valor comercial y la necesidad de los programas de seguridad a los guardianes financieros. Ayuda tener una cadencia regular de comunicación con el equipo ejecutivo y la junta sobre seguridad cibernética y apetito por el riesgo. La clave para desbloquear recursos puede ser comparaciones con pares de la industria. Pero tenga en cuenta la realidad de que las necesidades de seguridad ajustadas al riesgo pueden no incluir todo lo que a los líderes de seguridad les gustaría lograr.
Cuarto, cuando las capacidades de seguridad y el apetito por el riesgo son claros, los programas y procesos de seguridad cibernética pueden ayudar al negocio a establecer límites para la acción. La seguridad no solo debe ser “tú no lo harás”, sino también “aquí está tu libertad de movimiento para operar e innovar en línea”. El personal de seguridad cibernética debe participar desde el principio en la concepción y desarrollo de nuevas iniciativas empresariales. La seguridad cibernética debe permitir el progreso de la empresa mientras evita el progreso de sus adversarios, concluyó Shaul.
