¿Que el CISO le reporte al CIO obstaculiza la seguridad?

Reexaminar la estructura de reporte entre el CISO y el CIO podría desempeñar un papel clave en el fortalecimiento de los esfuerzos de ciberseguridad de una organización, según Tarah Wheeler, investigadora de seguridad de la información y fundadora de Red Queen Technologies. Wheeler habló con SearchCIO en la Conferencia Internacional ISSA 2017 en San Diego sobre las principales preocupaciones de seguridad cibernética que enfrentan los CISO y los CIO de una organización. En este Q&A también ofrece consejos sobre cómo capacitar a la gerencia para manejar la respuesta a incidentes, destaca la importancia de implementar principios básicos de ciberseguridad y arroja luz sobre cómo prevenir ataques como la brecha de datos de Equifax.

¿Cuáles son las mayores preocupaciones de seguridad cibernética que enfrentan los roles de CISO y CIO?

Tarah Wheeler: La preocupación número uno para cualquier líder en el clima moderno de seguridad cibernética actual es: ¿Qué no estás escuchando de tu gente? Absolutamente, esa es la primera cosa de la que preocuparse. Parte de la razón es que hemos construido una estructura en Estados Unidos donde a menudo las personas que hacen seguridad le están reportando a las personas que compran la infraestructura. Eso es realmente problemático. Los CIO deben reconocer que las personas que están allí para regularlos probablemente no deberían reportarles a ellos.

Cuando se trata de CISOs, no acepte trabajos si tiene que reportarle al CIO; en lugar de eso, repórtele a un punto más alto en la estructura de liderazgo. Eso asegura que los incentivos estén alineados correctamente para que usted haga un buen trabajo como alguien que regula el uso de la tecnología en su empresa y no meramente permite el uso sin tener necesariamente control sobre el proceso de compra en términos de seguridad.

¿Cómo deberían los profesionales de seguridad preparar a la gerencia para la respuesta a incidentes?

Wheeler: Una de las mejores cosas que puedes hacer es reunir a las personas en una sala y asignarles roles aleatorios. Realice un ejercicio de representación de roles donde alguien descubrió una infracción y luego asegúrese de que las personas que generalmente están a cargo de la toma de decisiones sean quienes descubran y denuncien la brecha. De repente, usted descubre que hay agujeros en su proceso que no sabía que existían.

Además, si usted es una compañía realmente dedicada a garantizar que las personas se mantengan seguras, y especialmente si protege su información personal, debe asegurarse de que todos, incluso hasta el conserje, tengan la capacidad de decir: "Algo muy malo está sucediendo". Y para que eso realmente funcione, debe confiar en su gente. Entrénelos bien, edúquelos bien y asegúrese de que cuando alguien dice: "Tenemos que detener todo y solucionar este problema", usted les crea y los escuche. No permita verse envuelto en una actualización de cumplimiento dentro de tres meses. Si tiene una emergencia, trátela como tal.

Con la introducción de la nueva tecnología, ¿qué tan importante es volver a examinar los procesos de privacidad y seguridad de datos existentes?

Wheeler: Es más importante proteger los datos existentes y los procesos de seguridad existentes que introducir productos adicionales. Los exploits que se están utilizando en este momento para derribar las barreras entre los criminales y los 143 millones de personas a las que se les robó información de Equifax fueron una violación de seis meses en Apache Struts. Esa es una tecnología antigua, y saber cómo aplicar parches a la tecnología que ha estado usando durante una década y garantizar que tenga un proceso seguro continuo es mucho más importante que tratar de comprar la herramienta más nueva y atractiva. Necesitamos asegurarnos de que nuestros fundamentos se manejen primero. Eso protege a la mayoría de las personas por la menor cantidad de dinero. Después de eso, puede volverse loco con la nueva tecnología.

¿Qué deben hacer los CIO y los CISO para evitar infracciones de seguridad como la de Equifax en el futuro?

Wheeler: Voy a referirme nuevamente a lo que dije originalmente [acerca de la estructura de reportes entre el CISO y el CIO], que es que un CISO que reporta a un CIO tiene dificultades para asegurarse de que sean capaces de decirle al CIO que lo está hacienda mal. Cuando hablamos de evitar incumplimientos como este en el futuro, la cuestión más importante que deben hacer los CISO y los CIO es comprender quiénes son sus clientes, y si existe o no un incentivo para proteger su seguridad. No había uno en la brecha de Equifax. Ahí es donde radica el problema.