Los cargos presentados por la SEC contra ejecutivos de ciberseguridad por los incidentes cibernéticos de 2020 están provocando repercusiones en toda la industria. Paul Caron, de la consultora de seguridad cibernética S-RM, analiza más de cerca este incidente y explica por qué podría tener un efecto paralizador en la contratación de CISO.
En octubre, la SEC tomó medidas sin precedentes. En lugar de las tradicionales acciones de cumplimiento, que implican demandar a las empresas que violan las obligaciones regulatorias y luego resolverlas al mismo tiempo, demandaron a las víctimas de ataques cibernéticos. Cuando la SEC demandó a SolarWinds, una empresa de software que fue víctima de un importante ciberataque en 2020, también acusó a Timothy Brown, director de seguridad de la información de la empresa, de encubrir las debilidades de ciberseguridad. Afirmó que la empresa defraudó a los inversores.
Si bien el caso está pendiente (SolarWinds presentó una moción para desestimar los cargos), no hay duda de que las acciones de la SEC han causado una preocupación generalizada entre los CISO. Antes de los cargos de la SEC, los CISO eran notoriamente difíciles de contratar, lo que hacía que a muchas empresas les resultara aún más difícil encontrar a la persona adecuada o persuadirla para que aceptara el riesgo potencial de responsabilidad personal. de dinero para hacerlo.
¿Estamos ante tanta presión que hacer afirmaciones falsas o exageradas es una nueva era de responsabilidad personal en lo que respecta al riesgo cibernético? ¿Más común que hace unos años?
La ciberseguridad corporativa inadecuada crea una falsa sensación de madurez y actitud
En el centro de la denuncia contra Brown se encuentran declaraciones y afirmaciones internamente engañosas sobre el estado general y la condición de los controles internos de SolarWinds. Si bien estos pueden parecer actos maliciosos en la superficie, son precursores de una tendencia mucho más amplia y preocupante en la ciberseguridad corporativa. En las grandes empresas, la madurez y la postura en materia de ciberseguridad a menudo se evalúan y rastrean de maneras complejas. Un método común es calificar el dominio de control en una escala simple (piense de 1 a 5, donde 1 es inmadurez y 5 es perfección inalcanzable) y repetir esto anualmente. Muestra cambios en las puntuaciones de madurez y áreas de enfoque cambiante. Desafortunadamente, este tipo de puntuación a menudo oculta riesgos mayores.
El desempeño de los CISO a menudo se juzga por estos puntajes y se incentivan puntajes más altos, lo que puede generar problemas mayores. Por ejemplo, un CISO en una organización con problemas de liquidez puede optar por dedicar el tiempo y la energía de su equipo a resolver riesgos de bajo impacto que son más baratos de abordar. A esto a veces se le llama “perseguir el punto decimal”. En este ejemplo, la puntuación de madurez general aumenta con el tiempo, pero la organización no aborda directamente sus mayores riesgos. O bien, un CISO o su equipo pueden inflar inadvertidamente su puntuación año tras año, creyendo que el rendimiento ha mejorado aunque no se hayan realizado cambios significativos en la postura de seguridad. Cada uno de estos ejemplos tergiversa la postura general de seguridad de una organización y puede exponer al CISO infractor a problemas regulatorios.
¿El fallo de la SEC provocará que los CISO abandonen sus organizaciones?
El puesto de CISO ya es un puesto muy difícil de mantener y cubrir, y el mercado laboral actual dificulta encontrar a las personas adecuadas para estas contrataciones críticas.
Las acciones de la SEC probablemente crearán una amplia brecha entre los CISO y la alta dirección tradicional. Ya existen bifurcaciones inesperadas entre las responsabilidades del CISO y su implementación. Entonces, desafortunadamente, si bien el trabajo normal del CISO es informar los riesgos al CFO y al CEO, en última instancia, no son ellos los que tienen el poder o la autoridad real para hacerlo. La SEC está complicando aún más el panorama de adquisición y retención de talento al demandar a CISO individuales. Eso significa más sanciones y menos zanahorias.
Además, dado que la SEC parece estar transfiriendo responsabilidades de seguridad a los CISO, las organizaciones deben apoyar a los CISO proporcionándoles los recursos (presupuesto y personal) necesarios para mantener programas de ciberseguridad de activos. Debe demostrar que tiene la intención de protegerlos. De lo contrario, sus mejores talentos estarán menos dispuestos a aceptar el riesgo.
Los proveedores deben ser examinados para proteger a los CISO y a las organizaciones
El mayor escrutinio sobre los CISO se debe en parte al papel cambiante del software. Hace diez años, la mayoría de las organizaciones mantenían y administraban sus propias pilas de TI, poseían sus propios servidores y operaban sus propios centros de datos. El software es ahora un servicio. Esto significa que las organizaciones están depositando mucha más confianza que nunca en proveedores externos. Los terceros pueden subcontratar los datos de los clientes a un cuarto o quinto partido, por lo que incluso si el tercero ha sido examinado, la amenaza de una violación de datos persiste. La naturaleza compleja del software moderno enfatiza la necesidad de visibilidad hasta el proveedor del proveedor. Al garantizar la transparencia en cada paso del ciclo de vida de los datos, las organizaciones pueden minimizar el riesgo, facilitar el cumplimiento y reducir la carga para los CISO.
Sin embargo, implementar herramientas de visibilidad requiere tiempo y dinero. Las organizaciones no deberían esperar a que llegue la última tecnología de transparencia para garantizar la seguridad de los datos. Hay varias medidas de bajo costo y de eficacia inmediata que las organizaciones pueden tomar para reducir el riesgo de terceros.
Obtenga una comprensión profunda del panorama de sus proveedores. Las grandes organizaciones con presupuestos de gastos son especialmente culpables de contratar socios antes de investigar a fondo el panorama de proveedores. Identifique las características comerciales que absolutamente requieren un proveedor externo. Esto permite a las organizaciones ver qué procesos ya están realizados por proveedores externos que son innecesarios o que sería mejor realizarlos internamente. Desarrollar un plan de gobernanza para proveedores externos operativamente críticos. Este paso requiere la colaboración entre los equipos de seguridad y TI y los propietarios de empresas para realizar una debida diligencia exhaustiva. Las organizaciones en industrias menos reguladas deben aprovechar un borrón y cuenta nueva al crear gobernanza y adaptar planes a las necesidades únicas de su organización. Proyecto de obligaciones contractuales. Con las plataformas de computación en la nube, los CISO a menudo se apresuran a llegar a acuerdos sin darse cuenta de que varias medidas de seguridad no están incluidas en el paquete básico. Desarrollar una estrategia de salida. En el futuro, si una organización determina que un proveedor externo representa demasiado riesgo, debe romper por completo su relación con el proveedor y asegurarse de que el proveedor ya no tenga ningún dato sobre la organización o sus clientes. En la era de la inteligencia artificial, determinar quién tiene acceso a datos privados se vuelve aún más importante.
Idealmente, estos pocos pasos deberían ser parte de un cambio cultural más amplio que adopte una visión holística de la mitigación de riesgos de terceros, en lugar de ser responsabilidad exclusiva del CISO. Cuando se trata de investigación de proveedores y protección de datos, se debe fortalecer la comunicación entre los equipos de TI, seguridad y administración y distribuir la responsabilidad por igual. Cuando los CISO ya no sean vistos como chivos expiatorios, las organizaciones podrán atraer a los mejores talentos y modernizar sus prácticas de seguridad.
Fuente: https://www.corporatecomplianceinsights.com/sec-charges-disrupt-role-ciso/