La función del CISO solía centrarse principalmente en la seguridad de la información, o en la creación e implementación de políticas para proteger los datos y la infraestructura de TI de una organización de las amenazas a la ciberseguridad. Sin embargo, a medida que las organizaciones migran rápidamente a entornos de nube, las responsabilidades y desafíos del CISO se han ampliado significativamente. La nube amplía la superficie de ataque general e introduce nuevos desafíos de cumplimiento.
Las amenazas cibernéticas continúan aumentando, junto con una regulación cada vez mayor, lo que amenaza la capacidad de una organización para lograr sus objetivos comerciales. Esto requiere integrar la seguridad en sus esfuerzos de gobernanza, riesgo y cumplimiento (GRC). Muchos marcos de GRC ya incluyen controles de seguridad y mejores prácticas, lo que hace imperativo que los CISO desempeñen un papel en la implementación de dichos controles y garanticen el cumplimiento.
Las reglas de divulgación cibernética cambian el juego
En diciembre de 2023, la Comisión de Bolsa y Valores de EE. UU. (SEC) adoptó nuevas reglas para mejorar y estandarizar las divulgaciones de las empresas públicas con respecto a la gestión de riesgos, la estrategia, la gobernanza y la divulgación de incidentes de ciberseguridad.
Estos cambios fortalecieron significativamente los poderes de la SEC. La barra de presentación de informes se ha reducido para incluir incidentes cibernéticos graves, lo que lleva a más investigaciones y al potencial de mayores multas y sanciones para las empresas. Para las empresas que todavía operan en un entorno local, será mucho más difícil identificar incidentes rápidamente a menos que implementen monitoreo y automatización y hagan que los miembros del equipo de seguridad revisen proactivamente todas las alertas. Puede resultar imposible.
Muchas empresas tienen una combinación de implementaciones locales y en la nube, lo que amplía aún más la superficie de ataque y hace que el monitoreo sea más complejo.
Detectar e identificar incidentes críticos sigue siendo un desafío importante, incluso para las empresas basadas en la nube. Los entornos de nube son inherentemente complejos con integraciones de terceros, múltiples capas, entornos efímeros y cada entorno tiene características únicas. La mayoría de los CISO no revisan las alertas, ni analizan ni revisan los datos de registro, por lo que no conocen todos los incidentes posibles. Un nuevo requisito para informar incidentes cibernéticos importantes a los pocos días de determinar su gravedad otorga a los CISO la responsabilidad de proteger a sus organizaciones y a sus clientes. Hay poco tiempo para elaborar una divulgación que describa con precisión (razonablemente probable) Las últimas reglas de la SEC reflejan cambios en PCI-DSS y SOC2, cambiando el papel que desempeñan los CISO dentro de las organizaciones.
Cambios en las funciones y responsabilidades del CISO
Históricamente, la mayoría de los CISO han recopilado información de los equipos de seguridad y la han resumido para proporcionar a la junta directiva una descripción general del panorama de seguridad dentro de la organización. Este enfoque ha permitido a los CISO hablar sobre el riesgo a un alto nivel y proporcionar respuestas adecuadas a los tipos de preguntas que hace la junta.
El fallo de la SEC impone un mayor nivel de responsabilidad a los CISO, quienes son directamente responsables de garantizar que todos los incidentes importantes de ciberseguridad se identifiquen, evalúen y notifiquen dentro de los plazos establecidos. Los CISO deben poder informar la naturaleza, el alcance y el impacto potencial de un incidente a la SEC dentro de los cuatro días hábiles posteriores a la determinación de su importancia. Los CISO también deben comunicar estrategias de gestión de riesgos y planes de respuesta a incidentes para que la junta tenga una comprensión profunda de la postura de ciberseguridad de la organización.
Estos cambios requieren un enfoque más estructurado y proactivo. Debido a que los CISO no solo brindan todos los datos y el contexto de los incidentes de ciberseguridad a las juntas directivas, los equipos de cumplimiento y los equipos financieros, también tienen la capacidad de determinar rápidamente si un incidente tiene un impacto significativo y debe informarse a la SEC para poder hacerlo. Para hacer esto, necesitan conocer su estado de cumplimiento casi en tiempo real.
Si un CISO no hace divulgaciones oportunas o tiene una mala estrategia de seguridad y cumplimiento, puede enfrentar multas, incluso si el incidente no se convierte en un evento catastrófico de ciberseguridad. Las juntas directivas deben poder confiar en el CISO para responder de forma rápida y precisa a todas las preguntas sobre cumplimiento y seguridad. La propia junta también debe estar familiarizada con los conceptos de ciberseguridad, comprender los riesgos y ser capaz de hacer las preguntas correctas.
Los cambios tecnológicos alinean el riesgo cibernético y el GRC
La seguridad adecuada siempre va un año por detrás de la última tecnología, y los marcos de cumplimiento están aún más atrás. Como resultado, existe una enorme brecha entre la tecnología y el cumplimiento.
Para minimizar esta brecha, los CISO reflexivos alinean sus estrategias de riesgo cibernético con el marco GRC. Esto permite a los CISO y sus organizaciones adaptarse a los rápidos cambios tecnológicos, los marcos regulatorios en evolución y las nuevas formas de construir y mantener redes empresariales. Esta alineación permite a los CISO adoptar un enfoque holístico para la gestión de riesgos y combatir a los ciberadversarios sofisticados, ampliando las superficies de ataque y enfrentando el potencial de graves pérdidas financieras, daños a la reputación e interrupciones operativas causadas por incidentes cibernéticos.
La pregunta es, ¿cómo pueden los CISO asegurarse de tener la información que necesitan para determinar si un incidente es significativo? La mejor y quizás única manera de determinar la gravedad de un incidente y estar preparado para responder es a través de la tecnología. Al implementar controles críticos, recopilar datos e integrarse con la pila de tecnología de seguridad para automatizar el monitoreo de estos controles, los CISO pueden obtener una visión unificada de los riesgos y posibles incidentes en cualquier momento. Esto no sólo le permite cumplir con las regulaciones de la SEC, sino que también mejora su resistencia general a las amenazas cibernéticas.
Fuente: https://www.helpnetsecurity.com/2024/06/11/cisos-grc-frameworks/
