pogonici - Fotolia
Principales preocupaciones de CISOs para 2019 abarcan una amplia gama de problemas
Desde manejar los datos y la escasez de personal hasta la adaptación a un conjunto cada vez mayor de responsabilidades laborales, los CISO se enfrentan a una serie de problemas serios en 2019.
Cuando se le preguntó acerca de las principales preocupaciones de CISO que ve ahora, el líder de ciberseguridad Robert LaMagna-Reiter dijo que su propia participación implica dar un giro hacia el lado de negocios. Como CISO en FNTS, una compañía de servicios administrados y de estrategia de TI, LaMagna-Reiter desea que su lista de prioridades se alinee más con los principales objetivos declarados de los ejecutivos de negocios de su compañía. Es un trabajo en progreso y una tarea en la que se centrará en los próximos meses, dijo.
"Nos hemos esforzado por comunicar mejor los riesgos de seguridad... estar mejor alineados, hacer que nuestros KPI [indicadores clave de rendimiento] sean más significativos y hacer que nuestras relaciones sean más significativas para que, a medida que los planes estratégicos de la organización evolucionan, podamos comunicar nuestro valor y los recursos que necesitamos para hacer lo que necesitamos", dijo.
LaMagna-Reiter marcó sus prioridades que están ayudando a mejorar la alineación: garantizar la seguridad de los servicios en la nube para el holding de FNTS, First National of Nebraska Inc. y sus otros clientes; implementar nuevas tecnologías, como la automatización, en sus procesos de seguridad; y alentar a sus empleados a establecer relaciones con colegas del lado de los negocios, como lo está haciendo a nivel ejecutivo.
Dijo que ese trabajo le permite avanzar en el valor estratégico del rol de CISO y la función de seguridad dentro de la organización.
"Es un proceso iterativo que los CISO continúan refinando", dijo LaMagna-Reiter. "En gran parte, nos hemos centrado en los aspectos técnicos desde el inicio de nuestro rol definido dentro de una organización, pero el enfoque estratégico se ha vuelto más importante y una mayor parte del rol como seguridad se ha elevado al nivel de la junta directiva y la gerencia".
A medida que las organizaciones finalizan sus presupuestos de seguridad cibernética para el próximo año, planifiquen sus estrategias para 2019 y modifiquen sus planes de trabajo para los próximos meses, LaMagna-Reiter y otros CISO dijeron que varios temas clave estarán a la vanguardia. Las preocupaciones de los CISOs al encabezar sus listas de prioridades incluyen, primero, la necesidad de evolucionar el rol del CISO a una posición más estratégica y centrada en el negocio, y luego usar tecnologías emergentes, abordar las regulaciones crecientes y las prácticas maduras para extender la seguridad más allá de los límites de la propia empresa.
"Más CISOs están pasando de ser expertos en tecnología a tener que entender realmente el negocio, los riesgos del negocio y cómo la tecnología respalda los procesos del negocio", dijo Ash Ahuja, CISO en residencia y vicepresidente de liderazgo para la ciberseguridad de los socios y la gestión de riesgos en Gartner. Luego, desde la perspectiva de la seguridad y los riesgos, los CISOs deben entender si tienen suficientes monitoreos y controles para que sepan qué hacer cuando algo sale mal, agregó Ahuja.
A medida que avanzan en 2019, 10 preocupaciones de los CISOs están dominando la agenda:
1. Alineación estratégica
Ahuja y otros dijeron que una preocupación de los CISOs es que solo una minoría de CISOs se ha convertido en socios ejecutivos estratégicamente enfocados que alinean la función de ciberseguridad con la estrategia organizacional, pero observaron que muchos CISOs se están moviendo en esa dirección. Para hacer eso, están construyendo cada vez más relaciones con sus colegas ejecutivos, informando a los CEOs y comprometiendo a los miembros de la junta.
Los CISOs deberían estar desarrollando planes estratégicos alineados con la misión de una organización, algo que deberían desarrollar en función de lo que la empresa articula según sus necesidades y su apetito por el riesgo, dijo Mansur Hasib, autor de Cybersecurity Leadership, ex CIO y presidente del programa de tecnología de ciberseguridad en la Escuela de Graduados de la Universidad de Maryland University College. Los CISOs deben usar estos planes para articular el valor que su equipo aporta a la organización.
Hasib dijo que todo esto ayuda a los CISOs a obtener el apoyo y los recursos que necesitan, lo que les permite ofrecer los programas de seguridad que necesitan sus empresas. "Una vez que tienes ese marco, donde todo lo que haces se enlaza con este marco", agregó, "entonces no estarás jugando a busca y dale con todas las nuevas amenazas".
2. Regulaciones
Cumplir con las regulaciones existentes y las nuevas leyes que los legisladores están a punto de aprobar también encabeza la lista de preocupaciones de los CISOs a medida que las organizaciones y sus líderes de seguridad se dirigen hacia 2019. Muchos anticipan que las crecientes preocupaciones del público sobre la privacidad y las violaciones de datos estimularán una mayor aplicación de las leyes, como el Reglamento General de Protección de Datos de la Unión Europea (GDPR).
"Si bien no es un desafío completamente nuevo para 2019, espero ver una creciente demanda y desafíos para cumplir con las normas internacionales de seguridad y privacidad. A raíz de GDPR, otros lo están utilizando como modelo para promulgar estándares de cumplimiento más estrictos", dijo Tom. Conklin, CISO en Druva, una empresa de gestión de datos como servicio. La Ley de Privacidad del Consumidor de California entrará en vigencia en enero de 2020, y deberíamos esperar ver más de lo mismo en los próximos años", agregó.
"Tales regulaciones significan que las obligaciones de la compañía serán más complicadas y deberán cumplir con nuevos estándares", dijo Conklin. Esto obligaría a las compañías a mejorar la seguridad "en todos los ámbitos", continuó. "Los equipos de seguridad y de TI deberán demostrar que han capturado completamente los riesgos para la organización y saber dónde se procesan los datos de la empresa, cómo se utilizan y cómo se protegen".
3. Seguridad en la nube
A medida que más partes de la pila de TI se mueven a la nube, la seguridad continuará dominando la agenda en el próximo año, dijo Ahuja, de Gartner. "Ese panorama cambiante mantiene esos elementos básicos de seguridad como una tarea continua. El trabajo nunca se realiza; eso es algo que los CISOs están realizando".
Los líderes de seguridad dijeron que el trabajo incluye mejorar la seguridad de la red y mejorar las prácticas de administración de identidad y acceso, las cuales se vuelven cada vez más importantes a medida que aumenta el acceso y los puntos de conexión fuera de las paredes de la TI empresarial. Sin embargo, los líderes de seguridad de TI dicen que ese trabajo debe realizarse además del trabajo, no en lugar del mismo, para garantizar la seguridad de los sistemas heredados.
"Estamos en un estado de transición donde se están consumiendo más servicios, pero aún existen sistemas de procesamiento de datos locales heredados. Así que ahora los equipos de seguridad deben ser expertos en ambos frentes", dijo Conklin.
4. Dotación de personal
Omar F. Khawaja, CISO de Highmark Health, dijo que su equipo de 125 miembros es su prioridad número uno. "Si cuido de mi gente, ellos harán lo correcto, y si hacen lo correcto, entonces el negocio y mis clientes estarán felices", dijo Khawaja.
Khawaja reconoció que los problemas de personal deberían ocupar un lugar destacado en la lista de preocupaciones del CISO; la necesidad de atención de alto nivel al personal es algo que aprendió durante sus cinco años en la organización de atención médica. La tasa de deserción del personal hace tres años estaba en el rango del 33% al 50%, aproximadamente el promedio para un campo donde la permanencia habitual de los profesionales de la seguridad es de dos a tres años. Ahora, dijo que su tasa de deserción entre los empleados que busca retener es inferior al 5%. Khawaja acreditó las políticas que diseñó para involucrar mejor a los empleados e identificar los riesgos relacionados con el personal.
Dijo que también está trabajando para empoderar a sus gerentes y empleados para que puedan manejar todos los elementos tácticos de la función de seguridad, lo que le permite centrarse en los elementos estratégicos que se han convertido en el componente principal del rol de CISO. "Se trata de tener a la persona adecuada en el rol correcto haciendo el mejor trabajo de sus vidas", agregó Khawaja.
5. Tecnologías emergentes
Los CISOs están recurriendo a más tecnologías emergentes para ayudarlos a alcanzar sus objetivos de seguridad, dijo el CISO Ahuja. Ellos están utilizando inteligencia artificial, aprendizaje automático, automatización y orquestación. También están utilizando ofertas de seguridad basadas en la nube que pueden recopilar información sobre amenazas en múltiples organizaciones para sortear el aluvión de amenazas potenciales e identificar las que realmente necesitan atención.
Implementar más tecnologías en el proceso de seguridad es una de las prioridades de Gary Hayslip, CISO en la empresa de seguridad de Internet Webroot. "Vamos a poner en marcha un motor de orquestación para ordenar todos los datos y revisar las reglas para identificar lo 'malo' para que podamos ver eso. Luego, uniremos las diferentes tecnologías y crearemos tableros para obtener visibilidad de cosas como el flujo de datos, y si el flujo de datos cumple con un cierto nivel de riesgo que activará un ticket de servicio y un mensaje SMS para alertar al líder de la investigación", dijo, y señaló que esta tecnología automatizaría lo que hoy es un proceso manual en su empresa.
6. Respuesta y remediación
Los analistas de Gartner recomiendan que los presupuestos de seguridad se dividan en tres partes: protección; seguimiento y detección; y respuesta y remediación. Entre otros, Sam Olyaei, director principal de seguridad y gestión de riesgos en Gartner, dijo que esto refleja la realidad a la que se enfrentan los CISO: Que tendrán brechas y, en lugar de centrarse solo en mantener alejados a los actores malos, necesitan gastar más en la detección y remediación para que puedan reaccionar adecuadamente cuando suceda lo inevitable.
7. Expandiendo responsabilidades
Los CISOs también deben darse cuenta de que el alcance de sus responsabilidades se está expandiendo en algunos frentes, dijo Olyaei. "Tienen que manejar otros riesgos, como los riesgos de proveedores o terceros", dijo, señalando que varias infracciones de alto perfil ocurrieron no solo debido a una debilidad dentro de la organización violada, sino también debido a un lapso en el perfil de seguridad de un socio.
Dadas estas realidades, dijo, los principales CISOs están expandiendo su trabajo para incluir evaluaciones de seguridad de terceros. También son responsables de compartir sus propios perfiles de seguridad con terceros. "Se les está pidiendo a las empresas que exhiban certificaciones o requisitos específicos de otras empresas antes de que trabajen juntas", explicó Olyaei.
8. Ataques más grandes
Otra de las principales preocupaciones es el creciente alcance de los ataques. "Una de las cosas más importantes que me preocupan es la escala de los ataques. Creo que es solo cuestión de tiempo antes de que veamos un ataque que cause una gran cantidad de muertes", dijo Hayslip de Webroot. Él cree que el uso creciente de la automatización y la orquestación puede ayudar a contrarrestar esa amenaza, ya que esas tecnologías pueden ayudar a los equipos de seguridad a concentrarse solo en las amenazas reales y no perder el tiempo persiguiendo falsas alarmas. Espera que el impulso en los negocios, y en la sociedad en general, para hablar no solo sobre la conciencia cibernética, sino sobre la ciberseguridad como un problema de seguridad, aumentará la preocupación por las amenazas potenciales y dará energía a las personas para prepararse mejor para frustrar un ataque importante, o al menos disminuir su impacto.
9. Tratar con los datos
Khawaja observa que algunos informes estiman que casi el 50% de los datos que las organizaciones almacenan no tienen uso o valor. La eliminación de datos innecesarios que su organización almacenó es una de sus prioridades "porque eso significaría un 50% menos de lo que tenemos que proteger".
Otros expertos en seguridad dijeron que una administración de datos más sólida es una prioridad para los principales CISOs y sus organizaciones. Como ejemplo de ello, Ahuja, de Gartner, dijo que algunas organizaciones están creando un rol de director de protección de datos que informa sobre la legalidad, pero que trabaja con la oficina del CISO sobre la mejor manera de proteger los datos en consonancia con las crecientes regulaciones.
10. Fortalecer las bases
Muchos CISOs aún luchan con la creación de políticas y prácticas sólidas en torno a medidas de seguridad fundamentales, dijo Olyaei de Gartner. Como resultado, la higiene básica de seguridad sigue siendo una prioridad para los CISOs, tanto los que luchan con esto como los que tienen prácticas más maduras.
El CISO de LinkedIn, Cory Scott, dijo que su función de seguridad "abarca las operaciones tradicionales de seguridad de la información, seguridad de productos, y confianza y seguridad", y señaló que su equipo ha crecido significativamente en los últimos cinco años.
Pero Scott aún se enfoca en la base como parte de su estrategia de seguridad general cuando se dirige a 2019. "No estoy tachando nada de la lista, pero en general estoy satisfecho con la conciencia de que la higiene de seguridad básica –administración de activos, parches y gestión de la configuración, recopilación de la telemetría de seguridad, autenticación multifactor– es lo más importante que se debe hacer bien. Creo que comenzaremos a ver un enfoque básico en 2019, basado en estos aprendizajes".