Por: Juan Marino / Cisco Systems
Es esa época del año en que inevitablemente terminamos reflexionando un poco sobre lo que pasó. Generalmente, hacemos una lista de resoluciones para el próximo año, nuestras prioridades y cómo alcanzarlas. Durante los últimos meses, tuve la oportunidad de conversar con decenas de CISOs de diferentes países y, de estas conversaciones surgieron nueve temas prioritarios para 2022.
#1: Mejorar la comunicación entre los directivos
Existe el potencial de optimizar la comunicación entre los equipos de alta dirección, los consejos asesores, los equipos de liderazgo ejecutivo y los CISO. Si bien algunos informaron que tenían oportunidades adecuadas para interactuar, la mayoría de los CISO que escuchamos compartieron que las conversaciones que tenían a menudo no estaban estructuradas y a menudo no tenían una cadencia regular. Como era de esperar, también hubo una sensación de que el rol de CISO sigue siendo más valorado cuando hay una crisis y, por el contrario, empujado hacia abajo en la lista de prioridades cuando no está sucediendo un incidente.
Las tres formas en que esto podría mejorarse como se discutió en los eventos a los que asistimos son 1) un modelo de gobierno estructurado con representación de alto nivel 2) un conjunto acordado de KPI que reflejen los requisitos comerciales y 3) oportunidades regulares para demostrar cómo la seguridad es un facilitador del negocio.
#2: Garantizar que la seguridad sea resistente al cambio empresarial
Los CISO revelaron que la resiliencia es un tema cada vez más importante en un sentido más amplio y, por lo tanto, es esencial que la seguridad sea resistente al cambio y pueda moverse con el negocio. Esto se puede lograr planificando las actividades de continuidad del negocio / recuperación ante desastres con anticipación y compartiendo la propiedad de ellas. Los CISO deben incluirse en las actividades de BC/DR, ya que su aporte sigue siendo esencial en este proceso, pero existe una clara necesidad de más acciones, como el ejercicio superior tangible para incluir la gestión empresarial en la discusión.
#3: El riesgo debe ser un problema compartido
En más de una ocasión, los CISO dijeron que cuando el tema del riesgo surgió durante las discusiones de la junta, el equipo de seguridad fue descrito como una pequeña isla por sí sola. Establecer la propiedad del riesgo y el reconocimiento del riesgo con los colegas de negocios a menudo puede ser difícil, pero para mitigar los riesgos futuros, existe una gran necesidad de identificar a varios propietarios de riesgos en el negocio y no simplemente delegarlo en el CISO.
#4: Preparándose para “La Gran Resignación”
Hubo una opinión de que la contratación de nuevo personal era difícil e incluso con requisitos amplios, puede llevar meses identificar una nueva contratación, lo que a menudo conduce a la situación indeseable de correr con equipos esbeltos. Actualmente se está escribiendo mucho sobre la “gran renuncia”, que es probable que continúe interrumpiendo todas las industrias en este nuevo año. Por lo tanto, es justo decir que es probable que este problema empeore antes de mejorar. Algunos CISO están viendo el trabajo remoto como una posible solución; Los equipos distribuidos se ven como una necesidad en algunas circunstancias, pero también existe la necesidad de que los equipos se reúnan cara a cara de manera regular.
#5: Mantener al equipo de TI fuera de la oscuridad
Para muchos CISOs, un problema creciente que debe ser abordado es de nuevas soluciones creadas sin el conocimiento de los equipos de seguridad, incluso cuando se establecen directrices claras que prohíben tal comportamiento dentro de las empresas. Con frecuencia, la velocidad y la disponibilidad tienden a prevalecer sobre los factores de seguridad. Como resultado, se enfrentan constantemente al problema del equipo de “TI en la oscuridad”, que aumentará a medida que más y más empresas se mueven en la nube. La solución de los desafíos de TI comienza con la usabilidad, evitando soluciones alternativas arriesgadas
#6: ¿Luz al final del túnel para la gestión de riesgos de terceros?
Esto sigue siendo un problema, especialmente en torno a las evaluaciones de terceros que a menudo son muy largas, en un formato no estándar y realizadas con plazos muy cortos para una respuesta. La buena noticia aquí es que se está trabajando para producir marcos que garanticen una certificación estandarizada para terceros, como en el sector de servicios financieros del Reino Unido, con la Declaración de Supervisión del Banco de Inglaterra – SS2/21: Outsourcing y gestión de riesgos de terceros, que entra en vigencia el 31 de marzo de 2022. El progreso en esta área seguramente será muy bienvenido, dado lo mucho que los CISO necesitan poder confiar en los procesos probados, pero los CISO aún deben asegurarse de que su alcance de áreas de riesgo sea lo suficientemente amplio como para incluir a cualquier proveedor o empleado que tenga acceso de inicio de sesión remoto a cualquier aplicación empresarial. Eso incluye a cualquier subcontratista que pueda trabajar para el contratista, ya que el intercambio de credenciales es común en todas las empresas.
#7 Más enfoque en los datos y la privacidad
Este es un problema en el que no se reconoce el valor de los datos. La privacidad se está regulando cada vez más con la entrada en vigor de la regulación regional y local. El juicio de Schrems también requerirá que los CISO se centren más en los datos y en dónde se almacenan.En los últimos años ha habido un gran enfoque en las reglas GDPR de la UE, lo que ha revelado las áreas en las que los CISO han estado enfocando su energía cuando se trata de datos y privacidad. En términos generales, estos incluyen verificar la identidad del usuario, verificar el estado de todos los dispositivos del usuario y asegurar el acceso a cualquier aplicación. Para obtener más detalles sobre cada uno de estos, a continuación se puede encontrar un enlace a nuestra guía de privacidad de datos que se puede aplicar a áreas fuera de GDPR.
#8 Gestión de la deuda de seguridad
Los CISO dejaron en claro que el tema de la deuda técnica o la deuda de seguridad está ganando importancia. La necesidad de gestionar sistemas más antiguos mientras se adapta al nuevo entorno y el riesgo y el costo en que esto incurre es especialmente importante a considerar en el área de tecnología operativa (OT).Además, algunos sistemas OT no se pueden parchear fácilmente o incluso tienen herramientas de seguridad básicas como anti-malware instalado en ellos. Finalmente, este problema es especialmente pertinente cuando los sistemas todavía utilizan software de fin de vida útil (EOL) que sigue siendo crítico para la organización.Para citar a mi colega de CISO de Global Advisory, Dave Lewis, en su presentación de la Cumbre Virtual de Ciberseguridad 2021 a principios de este año, “Deuda de seguridad, corriendo con tijeras” para rastrear y abordar la deuda de seguridad, las organizaciones deben desarrollar e implementar procesos definidos y repetibles. Deben buscar estrategias como el modelo de confianza cero, confiar pero verificar, saneamiento de entradas y salidas, y por supuesto, asegurarse de ejecutar parches.
#9 Ransomware, ransomware y más ransomware
Este es el principal problema táctico que preocupa a los CISOs. Para obtener información sobre lo que puede hacer para proteger su empresa contra el ransomware, consulte el reciente estudio de Cisco Secure sobre el tema. En este informe, les ayudará a decidir dónde enfocar sus esfuerzos. El Security Outcomes Study vol.2, se realizó de forma independiente y se basa en una encuesta con más de 5.000 profesionales activos de TI, seguridad y privacidad en 27 países. Usted encontrará las cinco principales prácticas clave para aumentar la eficiencia de la seguridad de la información de su empresa, principalmente contra los ataques de ransomware.
