Fomentar una cultura de seguridad colaborativa para evitar convertirse en el “chivo expiatorio principal del incidente”


Incluso hace apenas una década, el papel del director de seguridad de la información (CISO) era más sencillo. Pero muchas cosas han cambiado en ese tiempo y el panorama de amenazas ha cambiado drásticamente, lo que ha obligado a los CISO a evolucionar.

Los nuevos cambios regulatorios también añaden complejidad. La Ley de Resiliencia Operacional Digital (DORA) de la UE ha aumentado la supervisión de los proveedores externos, y las nuevas reglas de la SEC exigen que las empresas que cotizan en bolsa informen incidentes importantes de ciberseguridad en un plazo de cuatro días. Ambas regulaciones hicieron que las juntas directivas fueran más responsables de la ciberseguridad. Pero la carga final suele recaer en una sola persona: el CISO.

Sin embargo, depender únicamente de un “chivo expiatorio principal de incidentes” para mantener seguras a las empresas es insostenible para la industria. Esta tarea se ha convertido en una responsabilidad demasiado grande para una sola persona. En cambio, el CISO debe tomar la iniciativa y asumir la responsabilidad de la postura general de seguridad de la organización.

Desafíos del CISO

Los reguladores están aumentando el riesgo. Desde DORA y NIS 2 en la UE hasta las nuevas normas de divulgación de la SEC en EE. UU., el mensaje es claro. La junta será responsable de los riesgos de seguridad. Sin embargo, el CISO es legalmente responsable de las violaciones de las políticas de privacidad y ciberseguridad, no toda la junta. Las recientes acusaciones contra el CISO de SolarWinds, Timothy G. Brown, son un excelente ejemplo de esta nueva tendencia.

Gartner informa que el 86% de las organizaciones atribuyen las violaciones de seguridad al CIO, CISO o puesto equivalente. Pero la responsabilidad debe distribuirse en toda la organización, no sólo en una persona en la cima. Con 5360 infracciones anunciadas solo este año, es esencial comprender su responsabilidad por el riesgo cibernético y su papel en el mantenimiento de una seguridad sólida. Los CISO deben priorizar la creación de una cultura de seguridad sólida en toda la empresa, incluida una capacitación integral para ayudar a distribuir la responsabilidad.

Aunque las empresas suelen estar formadas por miles de empleados e incluso miles de máquinas, los CISO suelen ser considerados chivos expiatorios cuando se produce una infracción. Si bien la responsabilidad final de la ciberseguridad recae en el CISO, el quid de la cuestión radica en aclarar las responsabilidades. Las redes modernas son muy complejas, con más dispositivos, aplicaciones y cuentas administradas por individuos. Asignar la propiedad de esta gran cantidad de activos se ha vuelto extremadamente difícil para los CISO. Los inventarios incompletos hacen imposible identificar quién es el responsable, y la falta de un centro centralizado o una fuente única de información empeora aún más la situación.

A medida que proliferan las regulaciones de ciberseguridad con un fuerte enfoque en la gobernanza y marcos como el NIST Cybersecurity Framework (CSF) 2.0 introducen nuevas e importantes capacidades de “gobernanza”, todos en una organización deben comprender su papel en la seguridad. tú entiendes. Las organizaciones deben priorizar la gobernanza. Porque la gobernanza permite a las organizaciones establecer una responsabilidad más clara, fortalecer su postura general de seguridad y reducir la carga de responsabilidad exclusiva del CISO.

Fomentar una cultura de seguridad positiva

Las discusiones sobre la responsabilidad en materia de ciberseguridad a menudo desembocan en un juego de culpas. Pero construir una cultura de ciberseguridad sólida requiere algo más que culpar a los empleados por errores como hacer clic en enlaces de phishing o usar contraseñas débiles. Los departamentos de TI son vistos como socios del negocio en general y deben pensar en la ciberseguridad de la misma manera. Esto requiere responsabilidad colectiva y acción proactiva en toda la organización.

Los incidentes de seguridad rara vez son el resultado de las acciones de una sola persona, por lo que debemos aprender de ellos y poner fin a la caza de brujas de los responsables. Es importante adoptar una mentalidad de reparar primero y cambiar la percepción de la ciberseguridad de un esfuerzo de equipo individual a un esfuerzo de toda la empresa.

La creciente importancia del cumplimiento requiere que la industria adopte un enfoque proactivo. Cada persona, independientemente de su puesto, debe comprender cómo la gobernanza se alinea con los objetivos comerciales. Alentar a las personas a asumir la responsabilidad de su ciberseguridad puede ayudar a mejorar la gestión general de la postura de seguridad.

Los equipos de ciberseguridad deben ayudar a todos a comprender su papel en la postura de ciberseguridad. Se espera que este cambio reduzca el alcance explosivo de los incidentes y fomente una cultura organizacional resiliente y consciente de la seguridad.

Empoderar a las personas para la seguridad colectiva

Para inculcar una cultura de seguridad positiva, las empresas deben actualizar periódicamente sus inventarios de activos y mecanismos de control, combinados con una base integral de conocimientos de seguridad. Esto crea una única fuente de verdad, una instantánea en tiempo real, que le ayuda a cumplir con las políticas y le permite identificar tanto las fortalezas como las áreas que necesitan atención.

La creación de este centro centralizado facilitará la priorización de tareas y aclarará las responsabilidades del equipo de seguridad y dónde se deben llevar a cabo las acciones. Una mayor responsabilidad convierte al CISO en una influencia clave para los demás. Con estos datos, los CISO pueden cumplir con confianza sus responsabilidades de seguridad. Por ejemplo, al inspeccionar un servidor, un CISO puede identificar y priorizar problemas, determinar quién es el responsable e identificar otros dispositivos potencialmente vulnerables administrados por la misma persona. Luego puede trabajar con esa persona para mejorar la seguridad optimizando las herramientas de seguridad e implementando soluciones adicionales según sea necesario para cerrar brechas de seguridad potencialmente críticas.

Una comprensión integral de la postura general de seguridad de la organización permite a los CISO responsabilizarse de manera efectiva y fortalecer su postura de seguridad. Si bien una cultura centrada en la seguridad ciertamente ayuda a lograrlo, los CISO también deben implementar programas de capacitación. Actualmente, esto es un requisito para ciertas empresas como parte de DORA.

El mayor énfasis en la responsabilidad en materia de ciberseguridad presenta una oportunidad para cambiar la cultura de la culpa que oscurece la gestión de la postura de seguridad. Hoy en día, los CISO necesitan herramientas que puedan facilitar una postura de seguridad proactiva y priorizar acciones de mejora. Sólo entonces podrá impulsar la responsabilidad de la seguridad en toda su organización identificando a los propietarios de los activos y tomando medidas correctivas efectivas.

Esto reduce la probabilidad de un ataque exitoso contra la organización, protege al CISO de ser procesado personalmente y, lo que es igualmente importante, protege a la organización de sanciones severas por parte de los reguladores.

Nick Lines, evangelista de la seguridad, Panacea



Fuente: https://www.scmagazine.com/perspective/foster-a-cybersecurity-culture-to-avoid-becoming-the-chief-incident-scapegoat-officer