¿Cómo conciben la seguridad los CISO (siglas en inglés de Director de Seguridad de la Información) o los puestos similares? ¿A qué problemas se enfrentan? Para conseguir la respuesta a estas preguntas, Kaspersky Lab encuestó a 250 directores de seguridad de todo el mundo y sus opiniones resultaron muy interesantes, aunque no puedo decir que esté totalmente de acuerdo con mis colegas.
Por ejemplo, cuando les preguntamos que consideraran los indicadores de ejecución claves de un CISO, no sorprende que la mayoría de encuestados afirmara que su criterio laboral principal es la calidad y la velocidad con la que se gestiona la respuesta a un incidente. En las empresas modernas, ya no se piensa que los ciberincidentes sean fallos de seguridad. Resulta positivo comprobar que la mayoría de los especialistas empiezan a comprender que los incidentes son sucesos normales e inevitables. Hoy, la ciberseguridad consiste básicamente en la supervivencia de la compañía.
Por supervivencia me refiero a contar con un nivel de protección que pueda garantizar que, en caso de ataque de amenaza persistente avanzada, filtración de datos o DDoS masivos, una empresa puede recuperarse por si misma sin daños o pérdidas serias, a excepción del mínimo predefinido. En otras palabras, el objetivo actual de los CISO apunta hacia la respuesta a incidentes.
Por un lado, está genial. Hace solo un par de años, prevaleció una visión de ciberprotección de “día cero” y las empresas pensaron que los CISO podrían blindar la infraestructura para mantenerla alejada de los incidentes. Pero, por otro lado, centrarse únicamente en tecnologías reactivas no es lo mejor. Desde mi punto de vista, los CISO deben establecer un equilibrio. Todos los elementos de arquitectura de seguridad adaptativa son importantes: prevención, detección, respuesta y predicción.
Sobre riesgos
La mayoría de los CISO coinciden en que el mayor riesgo al que se expone una organización tras una brecha es la pérdida de reputación. Estoy totalmente de acuerdo, pues el daño reputacional es la base del resto de consecuencias: disminución de existencias, confianza del cliente o ventas.
La reputación es la razón real por la que no escuchamos nada sobre la mayoría de los incidentes de seguridad. Sí, una empresa puede ocultar un ciberincidente, aunque en algunos países la ley las obliga a revelar cualquier información sobre problemas de seguridad a sus accionistas y clientes.
Aparentemente, los CISO pueden detectar la intención de los ciberincidentes y, por tanto, diferenciar si son ataques “patrocinados por estados” o para conseguir recompensas económicas. Pero yo situaría los ataques internos en primera posición. En cuanto a pérdidas, estos son los más peligrosos, de hecho, la experiencia ha demostrado que un empleado que no sea fiel a la empresa puede causar mucho más daño que unos delincuentes externos.
Influencia en decisiones empresariales
Resultó muy interesante comprobar el nivel de implicación de los directores de seguridad en la toma de decisiones empresariales. Me sorprendí al descubrir que no todos consideraban que estaban lo suficientemente involucrados. Pero ¿qué consideran “adecuado”?
Básicamente, hay dos estrategias. La seguridad puede controlar cada paso que toma la empresa, aprobando cada movimiento o, en su lugar, pueden ejercer de asesores y que la compañía les pregunte si van por el camino correcto.
A simple vista, el control total parece más efectivo y lo sería si la ciberseguridad fuera el objetivo en sí. En realidad, esta estrategia requiere mucho más personal y puede frenar el desarrollo del negocio. Esto puede ser un auténtico reto para las empresas innovadoras que utilizan procesos comerciales que no cuenten todavía con las mejores prácticas para la protección.
Justificación de los presupuestos
Las respuestas a la pregunta “Sin un ROI claro, ¿cómo justificáis vuestro presupuesto?” me preocuparon. Al parecer, la mayoría se justifica mostrando informes de brechas de ciberseguridad y evaluaciones de daños de ataques que ha sufrido la compañía en el pasado. Sí, funciona, al menos la primera vez y puede que la segunda. Pero la tercera vez lo normal es que respondan: “Vale, nos has conseguido asustar. Pero ¿cómo se enfrentan los demás a esta situación?”.
Las empresas deben conocer las experiencias de otras compañías. Desafortunadamente, los “puntos de referencia de la industria y las mejores prácticas” ocuparon el séptimo lugar en la lista de argumentos, aunque dicha información se puede encontrar a simple vista. Por ejemplo, nosotros contamos con una aplicación muy útil, nuestro IT Security Calculator.
Este estudio da mucho que pensar, así que no te pierdas el informe completo (en inglés).