Los directores de seguridad de la información tienen enormes responsabilidades. Responsable de la seguridad en toda la organización, tanto geográfica como virtualmente, de día y de noche. Agilizar las numerosas tareas de una empresa durante un ciberataque puede resultar difícil incluso para el CISO más experimentado. Factores adicionales, como la alta demanda y la baja oferta de personal capacitado en ciberseguridad y la necesidad de mantenerse dentro del presupuesto, hacen que muchas funciones sean aún más complejas, lo que dificulta la posición del CISO.
Con demasiada frecuencia, los CISO son responsables cuando los ataques maliciosos ingresan a la empresa. No es de extrañar que la permanencia promedio de un CISO sea de aproximadamente dos años y medio. Cuando se trata de ataques de phishing, es imposible para un CISO controlar las acciones de cada empleado, y el clic involuntario de un empleado en un enlace malicioso no debería determinar el destino de toda la empresa. Si la postura de ciberseguridad de una empresa se basa en que las personas no hagan clic en los enlaces, la empresa enfrenta un problema fundamentalmente grave.
Los enlaces maliciosos son un problema, pero hay algo aún más alarmante. Por ejemplo, la vulnerabilidad Citrix Bleed que se produjo en octubre de 2023 y afectó el acceso de inicio de sesión único para muchas organizaciones en todo el mundo interrumpió a las empresas de agua, los mercados de bonos y las transacciones financieras. En algunos casos, los servicios de ambulancia fueron desviados de los hospitales.
Los implacables ataques cibernéticos de los últimos años han aparecido en los titulares de los principales medios de comunicación casi todos los días, y las agencias de seguridad como el Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido han emitido advertencias. Reconozca que la pregunta que debe hacerse no es si se trata de un ataque malicioso. El actor comprometerá su organización, pero ¿cuándo?
Los ciberdelincuentes están altamente capacitados, operan a tiempo completo y, a menudo, operan en equipos organizados de actores contratados que reúnen conjuntos de habilidades diversas y complementarias. El ciberdelito es un negocio bien gestionado, y el Foro Económico Mundial estima que “el daño causado por todas las formas de ciberdelito, incluidos los costos de recuperación y remediación, será de 3 billones de dólares en 2015 y 6 billones de dólares en 2021, y podría alcanzar los 10,5 millones de dólares”. billones anuales para 2025″. Si el cibercrimen fuera un país, sería la tercera economía más grande después de Estados Unidos y China.
La cabeza de quien lleva la corona es pesada.
Los CISO tienen grandes responsabilidades y no pueden garantizar por sí solos la protección de sus organizaciones. Ni siquiera el mejor equipo de TI puede proteger su organización. Su carga de trabajo es lo suficientemente grande como para que no se pueda esperar que cuenten con personal con la capacitación y los conocimientos adecuados para proteger y gestionar su tecnología.
¿Cómo pueden las juntas directivas ayudar a los CISO a desarrollar resiliencia en sus organizaciones? ¿Y cómo puede un CISO confiar en la junta sin preocuparse por la seguridad laboral cada vez que un miembro de la junta se entera de otro ataque de ransomware? Idealmente, los miembros de la junta, o quienes asesoran a la junta, deben comprender las amenazas actuales, gestionarlas y equilibrar las inversiones en ciberseguridad con los costos financieros y de reputación de los ataques.
El primer paso para que las juntas directivas y los CISO trabajen juntos en defensa es examinar la terminología de ciberseguridad. Los equipos técnicos, la alta dirección no técnica y los miembros de la junta directiva suelen hablar idiomas diferentes. Los CISO que soliciten financiación deben explicar los beneficios de una estrategia de seguridad basada en riesgos. Los miembros de la junta deben comprender estos riesgos y priorizar los recursos junto con otras preocupaciones, como la escasez de habilidades, los problemas de la cadena de suministro y las inversiones en nueva tecnología.
Para garantizar que los CISO y las juntas directivas trabajen juntos de manera eficaz al abordar el delito cibernético, hay cinco preguntas importantes que las juntas directivas deben plantearse.
1. ¿Cómo se mide la madurez de la información y la ciberseguridad dentro de su organización? Debe seguir el Instituto Nacional de Estándares y Tecnología (NIST) de EE. UU. o el Marco de Evaluación Cibernética (CAF) del NCSC del Reino Unido. También es mejor centrarse en la uniformidad del lenguaje en lugar de puntuar en cada escala.
2. ¿Ha estado intentando implementar controles por un tiempo pero necesita ayuda para justificar su presupuesto? A continuación, relacione esto con una evaluación de madurez de las áreas afectadas por la falta de controles. Puede resultar útil contratar una empresa externa especializada en ciberseguridad para evaluar la postura y madurez de seguridad de su organización en esta etapa.
3. ¿Puede proporcionar estadísticas sobre incidentes de ciberseguridad y ataques cibernéticos contra su organización? Todas las organizaciones son atacadas casi constantemente por herramientas automatizadas, a menudo mediante ataques dirigidos o manuales. Los CISO deben poder demostrar cómo defienden su organización y cómo están aprendiendo a hacerlo de manera más efectiva y eficiente.
4. ¿Puede beneficiarse de las partes interesadas centradas en los negocios? Si es así, puede asignar un mentor empresarial de su junta directiva. Los mentores empresariales permiten a los CISO no sólo proteger sus organizaciones, sino también ayudarlas a prosperar.
5. ¿Está maximizando sabiamente sus inversiones existentes en productos, servicios y licencias? Muchas organizaciones utilizan sólo una pequeña parte de estas inversiones.
Básicamente, un CISO respaldado por una junta directiva puede aportar importantes beneficios a una organización. Podemos brindarle una hoja de ruta de seguridad, desarrollar una cultura y una mentalidad de seguridad, integrar la seguridad en nuevos proyectos de TI, garantizar que los recursos se utilicen de manera óptima y reducir los costos a largo plazo. No permita que las barreras del idioma se conviertan en un punto de entrada para actores malintencionados.
Fuente: https://www.informationweek.com/cyber-resilience/the-cybersecurity-crucible-unsung-ciso-struggles-under-fire