Nueve temas principales para los CISO de LA en 2022

#1: Mejorar la comunicación entre los directivos

Juan Marino.

Existe el potencial de optimizar la comunicación entre los equipos de alta dirección, los consejos asesores, los equipos de liderazgo ejecutivo y los CISO. Si bien algunos informaron que tenían oportunidades adecuadas para interactuar, la mayoría de los CISO que escuchamos compartieron que las conversaciones que tenían a menudo no estaban estructuradas y, a menudo, no tenían una cadencia regular. Como era de esperar, también hubo una sensación de que el rol de CISO sigue siendo más valorado cuando hay una crisis y, por el contrario, empujado hacia abajo en la lista de prioridades cuando no está sucediendo un incidente.

Las tres formas en que esto podría mejorarse, como se discutió en los encuentros a los que asistimos, son:

1. Un modelo de gobierno estructurado con representación de alto nivel;
2. un conjunto acordado de KPI (indicadores de desempeño) que reflejen los requisitos de negocio; y
3. oportunidades regulares para demostrar cómo la seguridad es un habilitador del negocio.

#2: Garantizar que la seguridad sea resistente al cambio empresarial

Los CISO revelaron que la resiliencia es un tema cada vez más importante en un sentido más amplio y, por lo tanto, es esencial que la seguridad sea resistente al cambio y pueda moverse con el negocio. Esto se puede lograr planificando las actividades de continuidad del negocio (BC)/recuperación ante desastres (DR) con anticipación y compartiendo la responsabilidad de ellas. Los CISO deben incluirse en las actividades de BC/DR, ya que su aporte sigue siendo esencial en este proceso, pero existe una clara necesidad de más acciones, como ejercicios «table top» que sean participativos de la dirección ejecutiva.

#3: El riesgo debe ser un problema compartido

En más de una ocasión, los CISO dijeron que cuando el tema del riesgo surgió durante las discusiones de la junta, el equipo de seguridad fue descrito como una pequeña isla por sí sola. Establecer la propiedad del riesgo y el reconocimiento del riesgo con los colegas de negocios a menudo puede ser difícil, pero, para mitigar los riesgos futuros, existe una gran necesidad de identificar a varios propietarios de riesgos en el negocio y no simplemente delegarlo en la o el CISO.

#4: Prepararse para «La gran renuncia»

Hubo una opinión de que la contratación de nuevo personal era difícil y puede llevar meses concretar una nueva contratación, lo que a menudo conduce a la situación indeseable de funcionar con equipos esbeltos. Actualmente, se está escribiendo mucho sobre la «gran renuncia», que es probable que continúe interrumpiendo todas las industrias en este nuevo año. Por lo tanto, es justo decir que es probable que este problema empeore antes de mejorar. Algunos CISO están viendo el trabajo remoto como una posible solución; los equipos distribuidos se ven como una necesidad en algunas circunstancias, pero también existe la necesidad de que los equipos se reúnan cara a cara de manera regular.

#5: Mantener las TI fuera de la oscuridad

Para muchos CISO, un problema creciente que debe ser abordado es el de nuevas soluciones creadas sin el conocimiento de los equipos de seguridad, incluso cuando se establecen directrices claras que prohíben tal comportamiento dentro de las empresas. Con frecuencia, la velocidad y la disponibilidad tienden a prevalecer sobre los factores de seguridad. Como resultado, se enfrentan constantemente al problema del «shadow IT» o TI en las sombras, que aumentará a medida que más y más empresas se mueven en la nube. La solución comienza con poner a disposición las herramientas correctas en términos de funcionalidad y usabilidad, y también contar con controles que permitan la detección de uso indebido de herramientas no corporativas.

#6: ¿Luz al final del túnel para la gestión de riesgos de terceros?

Esto sigue siendo un problema, especialmente en torno a las evaluaciones de terceros que a menudo son muy largas, en un formato no estándar y realizadas con plazos muy cortos para una respuesta. La buena noticia aquí es que se está trabajando para producir marcos que garanticen una certificación estandarizada para terceros, como en el sector de servicios financieros del Reino Unido, con la Declaración de Supervisión del Banco de Inglaterra – SS2/21: Outsourcing y gestión de riesgos de terceros, que entra en vigencia el 31 de marzo de 2022.

El progreso en esta área seguramente será muy bienvenido, dado lo mucho que los CISO necesitan poder confiar en los procesos probados, pero los directores de ciberseguridad aún deben asegurarse de que su alcance de áreas de riesgo sea lo suficientemente amplio como para incluir a cualquier proveedor o empleado que tenga acceso de inicio de sesión remoto a cualquier aplicación empresarial. Eso incluye a cualquier subcontratista que pueda trabajar para el contratista, ya que el intercambio de credenciales es común en todas las empresas.

#7 Más enfoque en los datos y la privacidad

Este es un problema en el que no se reconoce el valor de los datos. La privacidad se está regulando cada vez más con la entrada en vigor de la regulación regional y local. El juicio de Schrems también requerirá que los CISO se centren más en los datos y en dónde se almacenan. En los últimos años, ha habido un gran enfoque en las reglas GDPR de la UE, lo que ha revelado las áreas en las que los CISO han estado enfocando su energía cuando se trata de datos y privacidad. En términos generales, estas incluyen verificar la identidad del usuario, verificar el estado de todos los dispositivos del usuario y asegurar el acceso a cualquier aplicación. Y como vimos en nuestro Reporte de Privacidad de Datos, los clientes cada vez toman más en cuenta este punto, al grado que pueden evitar una compra o servicio de no tener claro el manejo de sus datos.

#8 Gestión de la deuda de seguridad

Los CISO dejaron en claro que el tema de la deuda técnica o la deuda de seguridad está ganando importancia. La necesidad de gestionar sistemas más antiguos mientras se adapta al nuevo entorno, y el riesgo y el costo en que esto incurre, es especialmente importante a considerar en el área de tecnología operativa (OT). Además, algunos sistemas OT no se pueden parchar fácilmente o incluso no tienen herramientas de seguridad básicas como antimalware instalado en ellos. Finalmente, este problema es especialmente pertinente cuando los sistemas todavía utilizan software obsoleto –sin actualizaciones– que sigue siendo crítico para la organización.

Citando a Dave Lewis, consultor de CISO en Cisco, en su presentación de la Cumbre Virtual de Ciberseguridad 2021 a principios de este año: «Deuda de seguridad, corriendo con tijeras». Para rastrear y abordar la deuda de seguridad, las organizaciones deben desarrollar e implementar procesos definidos y repetibles. Deben buscar estrategias como el modelo de confianza cero, confiar pero verificar, saneamiento de entradas y salidas y, por supuesto, asegurarse de ejecutar parches.

#9 Ransomware, ransomware y más ransomware

Este es el principal problema táctico que preocupa a los CISO. Para obtener información sobre lo que puede hacer para proteger su empresa contra el ransomware, consulte el reciente estudio de Cisco Secure sobre el tema. Este informe les ayudará a decidir dónde enfocar sus esfuerzos. 

Sobre el autor: Juan Marino es gerente de Ciberseguridad para Cisco América Latina. Lidera un equipo de especialistas de seguridad que escuchan y asesoran a organizaciones privadas y públicas con el objetivo de mejorar la postura de ciberseguridad habilitada por capacidades tecnológicas. Durante sus 15 años en Cisco, enfocado en networking y seguridad, ha desarrollado continuamente estrategias efectivas de posicionamiento de soluciones y es un orador apasionado que siempre busca la forma más poderosa, sintética y creativa para esconder la complejidad de la tecnología y traer ideas claras que resuenan y provocan acción. Juan ha sido profesor universitario en materia de telecomunicaciones en la carrera de Ingeniería en Electrónica, y actualmente lleva a cabo disertaciones regulares para la concientización en el ámbito educativo sobre los riesgos y competencias del ciudadano digital.