Principales lecciones aprendidas en 2023 en materia de ejercicios teóricos de Ciberseguridad Global
Tras haber trabajado con algunos de los clientes más maduros del mundo y haber experimentado crisis cibernéticas reales y simuladas, a menudo me preguntan cuáles son las principales lecciones aprendidas. A continuación, expongo los retos, aliados y elementos más comunes que subestiman los clientes de todo el mundo.
RETOS: Tiempo y perfección
Citando a uno de los CISO más respetados del mundo, el CISO de Equifax, Jamil Farshchi: «El tiempo y la perfección acabarán por aplastarte». Los clientes no se dan cuenta de lo rápido que puede escalar una crisis hasta el punto de perder el control de la situación. Por eso la ciberseguridad requiere una respuesta empresarial completa. En segundo lugar, las partes interesadas exigirán toda la información de inmediato para pensar que pueden tomar decisiones y soluciones perfectas. Nunca tendrán tiempo suficiente para la perfección. Yo les digo a mis clientes que tienen que sentirse cómodos con la falta de información durante una crisis. Tenlo en cuenta en tu estrategia de liderazgo.
ALIADOS: Comunicaciones & Opciones & Preparación
El comentario más repetido tras una crisis o un simulacro fue lo decisivo que resultaba el papel de las comunicaciones. Las empresas que comunican diariamente una "Estrella del Norte" de las prioridades actuales son las que tienen más éxito. Elabore sus planes de respuesta a incidentes, planes de continuidad de la actividad empresarial y otras soluciones teniendo en cuenta la flexibilidad, para citar de nuevo a Jamil Farshchi "opcionalidad... Siéntete cómodo dándoles la vuelta o adaptándolas a medida que aprendes más y avanzan las cosas". Otra lección clave fue la comprensión de lo mucho que puede hacerse con antelación frente a lo que puede hacerse durante una crisis. Reunir a todos estos aliados es la razón por la que se crea una cultura de seguridad centrada en la preparación cibernética continua.
SUBESTIMACIÓN: Detalles a nivel más profundo, autorización y factor humano
En la mayoría de los documentos de IR, BCM, etc. los clientes tienen un cierto nivel de detalle. Pero subestiman la necesidad de más detalles -una o dos capas más profundas- durante una crisis. Por ejemplo, la necesidad de comunicar a los empleados durante la crisis en una 2024 plataformas fuera de banda cuando los portátiles están encriptados. ¿Quién tiene la lista de contactos más reciente? ¿Cuándo se actualizó por última vez? ¿Dónde se almacena esa lista y también está encriptada? Comprender las funciones y responsabilidades de alguien es fundamental, pero lo más crítico es la capa más profunda: quién está "autorizado" a realizar acciones significativas. Por ejemplo, hay que definir claramente quién puede desmontar un servidor, hablar con los medios de comunicación y dar explicaciones a los clientes. Por último, uno de los aspectos que más se pasan por alto en una crisis es el factor humano. En las primeras horas de una crisis es cuando se comete el mayor número de errores debido al aumento del estrés. Su equipo necesitará dormir, comer e irse a casa con sus familias. Prepárese para ello.
Sygnia se centró en cuatro áreas principales durante los ejercicios de ciberseguridad de 2023:
- El primero fue prepararse para los nuevos requisitos de información sobre ciberseguridad de la SEC, haciendo hincapié en la determinación de la "materialidad" del incidente. Quién está autorizado a hacer la determinación y quién es responsable de la divulgación a la SEC. Lo que hace que esto sea un reto son los puntos de vista jurídicos, financieros y operativos opuestos que chocan al mismo tiempo que se intenta proporcionar un cierto nivel de confianza y responsabilidad por parte del inversor.
- En segundo lugar, nuevos manuales y guías de crisis de ciberseguridad que se ponen a prueba y se sumergen en un ejercicio de simulación personalizado. La mayor parte de la madurez del cliente muestra su continua. Estrategia de preparación en materia de ciberseguridad actualizando su documentación y sometiéndola a simulaciones de fuego real.
- En tercer lugar, una mayor comprensión de las funciones y responsabilidades de las múltiples partes interesadas, especialmente cuando el equipo directivo cuenta con nuevos ejecutivos que nunca han realizado un ejercicio juntos. Gran parte de la base es generar confianza y comprensión entre los nuevos ejecutivos y que sientan que tienen un sitio en la mesa.
- Por último, la validación de la postura y la estrategia actuales del cliente, seguida de una comprensión de cómo se comparan con sus homólogos y cuáles son las principales lagunas que deben abordarse. Los clientes más maduros no sólo realizan ejercicios de simulación con las partes interesadas internas, sino que también incluyen a sus principales socios comerciales. En otras palabras, comparan un libro de operaciones con otro para asegurarse de que sus procesos, escalado, autoridad y estrategia están alineados.
Crear un equipo Perspectiva Ejecutiva: El Rol del CISO de seguridad
El papel del CISO ha ido evolucionando a lo largo de los años a medida que la ciberseguridad ha ido adquiriendo un mayor protagonismo para las organizaciones en su intento por ser más competitivas y eficientes. Navegar por los retos de la ciberseguridad a través de la digitalización y la adopción de la nube e innovar con tecnologías emergentes son solo algunos de los motores empresariales a los que los CISO y sus equipos de seguridad aportan su experiencia. El CISO de hoy debe ser capaz de reunir el apoyo de su programa de seguridad e impulsar eficazmente la cultura de seguridad dentro de su organización a medida que se acercan en la presentación de informes al equipo de gestión ejecutiva de nivel C.
Los riesgos cibernéticos son cada vez más perturbadores y costosos. La alta dirección y el consejo de administración se están tomando en serio la necesidad de proteger la organización, sobre todo teniendo en cuenta que la legislación les está penalizando por negligencia. Los CISO tendrán que asegurarse de que la ciberseguridad se discute y se tiene suficientemente en cuenta en el proceso de toma de decisiones a nivel de la C-suite y del consejo, donde se confía en su orientación para influir eficazmente en la cultura de la seguridad. A continuación, es importante que el CISO justifique su gasto presupuestario, a través de un programa de seguridad eficaz que apoye el máximo crecimiento empresarial y proteja el balance final.
El desarrollo de un programa eficaz de ciberseguridad se enfrenta a menudo al reto de crear la estructura organizativa adecuada para un equipo de seguridad. Cuando la ciberseguridad se alinea con el negocio, la creación de un equipo de seguridad requiere tener en cuenta la estrategia de seguridad, las tecnologías y los objetivos para apoyar el programa de seguridad. La estrategia de seguridad determina cómo la organización va a proteger y defender contra los ciberataques y posicionar los servicios de seguridad para satisfacer las necesidades de la empresa. Las tecnologías definen los conjuntos de competencias y la formación necesarios para desplegar adecuadamente y adoptar sistemas seguros. Y los objetivos permiten a los responsables de seguridad alinear a sus equipos internos para mantener las operaciones empresariales y defenderse de los ciberataques.
Para crear un equipo de seguridad es fundamental alinear las necesidades empresariales con la C- Suite y la junta directiva. El papel del CISO es fundamental para influir en los cambios de la cultura de seguridad en toda la organización a través de la concienciación y la formación de los ejecutivos. Crear un equipo de seguridad resistente implica una combinación de planificación estratégica, adquisición de talento y formación continua. Las organizaciones tendrán que empezar a crear sus equipos de seguridad para respaldar su programa de ciberseguridad con una estructura bien definida que garantice que los miembros del equipo comprenden sus contribuciones específicas al programa general de ciberseguridad y buscan personas con capacidad para resolver problemas y que comprendan las amenazas emergentes. La ciberseguridad sigue siendo un campo dinámico, por lo que la formación y el desarrollo de habilidades son esenciales para mantenerse a la vanguardia del panorama de amenazas en evolución y maximizar los 2024 beneficios al invertir en tecnologías de vanguardia. Los equipos de seguridad deben fomentar una cultura de colaboración para garantizar la resistencia en toda la organización con las operaciones de TI, los equipos de desarrollo y los arquitectos empresariales. Con mayores niveles de colaboración en toda la organización, será más fácil inculcar una cultura de ciberseguridad y promover la concienciación sobre la seguridad.
Priorizar el presupuesto de seguridad
La ciberseguridad funciona cada vez más como un motor empresarial en las organizaciones actuales. Sin embargo, los presupuestos siguen siendo una preocupación y, durante una recesión económica, son a menudo candidatos a los recortes. Las cúpulas directivas y los consejos que se ven obstaculizados por la falta de comprensión del programa de ciberseguridad pueden estar más preocupados por el cumplimiento que por las mejores prácticas de seguridad. Los CISO deben justificar el presupuesto de seguridad y posicionar su programa como un motor de negocio en lugar de como un centro de costes.
Los equipos de seguridad deben ser capaces de adoptar un enfoque de riesgos cibernéticos que sea relevante para las amenazas de su entorno, abordar los requisitos reglamentarios y minimizar el impacto empresarial negativo. La postura de seguridad debe evaluarse y supervisarse continuamente con respecto a las mejores prácticas de la industria de la seguridad y las amenazas pertinentes para establecer una comprensión clara de los riesgos cibernéticos que deben abordarse. Las evaluaciones cibernéticas deben abordar los riesgos empresariales a medida que se priorizan para proteger y maximizar los resultados de las organizaciones con una hoja de ruta claramente definida que aborde los riesgos cibernéticos.
A medida que aumentan los ciberataques y se recortan los presupuestos de seguridad, las organizaciones deben centrarse más en las capacidades de prevención y detección para mantener su postura de seguridad. La prevención reduce las posibilidades de que los actores de amenazas se infiltren y se desplacen por la organización, cortándoles el paso en una fase temprana de la cadena de ataque. Y cuando un actor de amenaza puede realizar actividades maliciosas en la organización, la detección temprana puede ayudar a mitigar las consecuencias de un ciberataque.
ara justificar el presupuesto de seguridad, el programa debe comunicarse a la C-Suite y al consejo mediante un enfoque de riesgos cibernéticos priorizados que esté alineado con las necesidades empresariales. Una metodología exhaustiva para descubrir amenazas y vulnerabilidades relevantes, al tiempo que se traducen los riesgos cibernéticos en riesgos empresariales, debe ser clara y concisa para que la C-Suite y la Junta Directiva puedan defender eficazmente el presupuesto porque está alineado con los objetivos empresariales.
Desarrollo de KPI para medir la eficacia/cumplimiento del programa de ciberseguridad
Mantener un programa de ciberseguridad eficaz crea ciberresiliencia en una organización y establece métricas cuantificables de éxito que influyen en la cultura de seguridad y destacan la importancia de la ciberseguridad en la organización. La concienciación sobre la ciberseguridad desempeña un papel importante, y el equipo de seguridad debe ser transparente y estar alineado con los Indicadores Clave de Rendimiento (KPI) y los Indicadores Clave de Riesgo (KRI) que importan a la C-Suite y al consejo. Los controles de seguridad deben desarrollarse para respaldar el programa de ciberseguridad y las métricas de seguridad deben alinearse y rastrearse para comprender la eficacia de los controles.
Los controles de seguridad deben ser adaptables a los constantes cambios del panorama de amenazas y del entorno empresarial. Y el equipo de seguridad debe ser capaz de adoptar los controles apropiados a medida que surjan retos de ciberseguridad. Es esencial que los equipos de seguridad midan y supervisen la eficacia de los controles de seguridad a través de KPI y KRI para permitir la toma de decisiones estratégicas encaminadas a lograr los objetivos del programa de ciberseguridad.
Al disponer de métricas de seguridad transparentes y precisas, se puede validar la eficacia y credibilidad del programa de ciberseguridad. La alta dirección y el consejo de administración sabrán mejor en qué punto se encuentra el rendimiento de la seguridad de la organización y podrán tomar decisiones clave en materia de ciberseguridad. Y lo que es más importante, esto generará confianza en la seguridad de la organización mediante el seguimiento y la mejora continua del programa de ciberseguridad. Las métricas de seguridad proporcionan información sobre las áreas que requieren atención y mejora, aquí hay algunos ejemplos de KPIs y KRIs comúnmente desarrollados:
KPIs
- Tiempo de respuesta a incidentes: tiempo que se tarda en detectar y responder a los incidentes de seguridad.
- Tasa de resistencia al phishing: tasa de éxito de la organización a la hora de resistir intentos de phishing.
- Cumplimiento de la gestión de parches: Porcentaje de sistemas y software que están actualizados con los últimos parches de seguridad.
- Precisión de la detección de amenazas: Precisión de los sistemas de detección de amenazas.
- Eficacia de la formación de los empleados: Éxito de la formación de concienciación sobre ciberseguridad mediante el seguimiento del comportamiento de los empleados, como el reconocimiento y la notificación de actividades sospechosas.
KRIs
- Tasa de exposición a vulnerabilidades: Tasa de nuevas vulnerabilidades descubiertas en los sistemas de la organización.
- Riesgo de seguridad de terceros: postura de seguridad de terceros proveedores y socios.
- Coste de la filtración de datos: Cuantificar el impacto financiero potencial de una violación.
- Anomalías en las cuentas de usuario: Actividades habituales relacionadas con las cuentas de usuario, es decir, múltiples fallos de inicio de sesión / intentos de acceso no autorizados.
- Incumplimiento de la normativa: Cumplimiento de la normativa del sector y de los requisitos legales.
Las métricas de seguridad son importantes para tomar decisiones de ciberseguridad con datos fundamentales de KPI y KRI, lo que lleva a los equipos de seguridad a adoptar enfoques proactivos para hacer frente a cualquier amenaza y vulnerabilidad cibernéticas. Unas métricas de seguridad bien definidas pueden ilustrar la postura general de seguridad a la alta dirección y al consejo de administración para poner de relieve los asuntos de ciberseguridad más apremiantes y la justificación del presupuesto de ciberseguridad.
Reevalúe y actualice periódicamente los parámetros de seguridad para mantener la resistencia frente a las ciberamenazas en constante evolución.
