La Evolución del CISO
De acuerdo con el estudio de KPMG “Perspectivas de la Alta Dirección 2022”, los directores generales del 38% de las empresas considera que los ciberataques ocupan el 2º lugar entre los elementos que podrían frenar la ejecución de su estrategia de negocios, con el 45% de probabilidad, siendo el número 1, la capacidad para atraer y retener el talento humano (con el 52%), y el tercero, la falta de innovación, con el 39%. (KPMG Presenta: Perspectivas De La Alta Dirección En México 2022, 2022)
En este mismo estudio, los ejecutivos de la alta dirección de las empresas consideran que los ciberataques pueden afectar a sus empresas en tres áreas fundamentales: sus estrategias de transformación digital, su capacidad para alcanzar los flujos de ingresos esperados y su reputación.
Amén de decir que, en términos económicos, el ciber crimen, el ciber activismo y el ciber terrorismo ya representan un tamaño significativo para la economía mundial, lo cierto es que dentro de las organizaciones (empresas, ONGs, instituciones de gobierno y educativas, etc) existe un abismo cultural y de conocimiento entre los especialistas en ciber seguridad y el resto de los miembros de estas organizaciones.
Basta decir que el 95% de los ataques empiezan por las personas y no por los elementos tecnológicos (Why Human Error Is #1 Cyber Security Threat to Businesses in 2021, 2021). De este modo, la falta de preparación, la indiferencia y el desconocimiento sobre como contar con una buena ciber defensa personal (no corporativa), son los jinetes del apocalipsis que campean sobre las operaciones de negocio hoy en día; y es que como suelen decir los expertos en beisbol, “contra la base por bolas, no hay defensa”. Es decir, no importa el nivel de presupuesto, ni el monto de inversión que se realice en tecnología de seguridad si no se cuenta con la cultura y capacitación a los colaboradores. Es indispensable desarrollar procesos que eviten y prevengan que un usuario dé clic en un correo malicioso, conecte un USB con virus o proporcione información que revele alguna vulnerabilidad a un especialista en ingeniería social. Vale citar a los expertos cuando dicen que existen dos tipos de organizaciones (y/o de personas): las que ya saben que ya fueron hackeadas y las que aún no saben que lo fueron.
En ese sentido, hoy en día el CISO (o el responsable de seguridad en una organización), debe dejar de ser un rol predominantemente técnico, para volverse un protagonista en las decisiones de negocio de la empresa. Su rol debe tener tres objetivos:
- Habilitar con elementos de seguridad las estrategias de transformación digital.
- Proteger los flujos de ingreso esperado.
- Proteger la reputación y otros activos de la organización.
Actualmente las actividades de un CISO son:
- Justificar las inversiones en proyectos de ciberseguridad en términos de los elementos ya mencionados.
- Gestionar el portafolio de proyectos desde un punto de vista de valor económico, y no solo de retorno de inversión.
- Alinearse con las prioridades estratégicas y de riesgo operativo de la organización.
- Convertirse en un conocedor de las diversas estrategias tecnológicas que habilitan la transformación digital, como el cómputo en la nube, la inteligencia artificial, la movilidad, las agile devops, la IOT, etc; y cómo pueden ejecutarse en forma segura proyectos usando estas tecnologías.
Por último, debe saber que para contar con un portafolio de alto impacto en ciberseguridad hay que considerar el factor humano en la organización.
Hoy en día, el CISO debe conocer que las tecnologías que formarán la columna vertebral y que le permitirán lograr los resultados de negocio que se esperan de su estrategia de ciberseguridad son:
- Firewall humano
- Identidad Digital
- Seguridad en aplicaciones
- DevSecOps y orquestación
- SOAR
Todo ello sustentado en un modelo de arquitectura de negocio.
Un cambio de paradigma necesario
Las organizaciones deben reconocer que los CISOs tienen posiciones cada vez más ejecutivas deben participar en las sesiones de concejo de las empresas. Sin embargo, la mayor parte de sus actividades siguen siendo tácticas y operativas. Los ejecutivos que realizan esta función tienen un alto nivel de estrés laboral y las manos llenas de responsabilidades no resueltas. Esta deficiente orientación en el uso del tiempo y recursos causa que el problema se perpetúe: el CISO no tiene el tiempo suficiente para hacer una correcta gestión de riesgos y desarrollar el modelo arquitectónico de seguridad necesario.
Esto ocurre porque todas las actividades relacionadas con la seguridad de información se ejecutan por sus colaboradores directos. Este enfoque también genera el llamado “shortage” de personal especializado en seguridad de información. Se dice que, a finales de 2020, solo en EEUU existían 879,000 especialistas en seguridad de información y que existía una demanda no satisfecha de otros 359,000 especialistas.
En México el tiempo promedio de búsqueda de un CISO es en promedio de 6 meses. Y el tiempo que un CISO dura en un empleo es de 2 años aproximadamente.
Otra estadística relevante de la industria es el hecho de que entre el 85% y el 95% de los incidentes de seguridad se dan originado por factores asociados al elemento humano.
Así pues, esta nueva realidad implica para las empresas la necesidad de enfocar de manera diferente la función de seguridad de información. Número 1, implica que este conocimiento debe permear a TODA la organización, y número 2, implica que es necesario que las funciones tácticas y operativas de seguridad dejen de ser responsabilidad del CISO y se deleguen a todas las funciones de supervisión de la empresa.
En resumidas cuentas, cito algunos ejemplos posibles de esta “operacionalización” de la seguridad:
a) Las gerencias de recursos humanos y los supervisores directos deben ser los responsables de que los empleados de la empresa estén debidamente entrenados para defenderse de ataques de ingeniería social, y el CISO tiene la responsabilidad de supervisar el programa y aprovechar la información que este genera para enriquecer el análisis de riesgos.
b) Las áreas de operación de redes deben ser responsables de operar los firewalls, el CASB, el DLP y otros servicios de red que proporcionan seguridad a la empresa, bajo los lineamientos otorgados por el CISO.
c) Las áreas de desarrollo de aplicaciones deben ser responsables de diseñar y construir software de forma segura desde el diseño y construcción, de acuerdo con los lineamientos y supervisión establecidos por el CISO.
d) Cada colaborador de la empresa debe ser responsable de clasificar y calificar la información que maneja, y protegerla en consecuencia, el CISO únicamente debe proporcionar el conocimiento y tecnologías necesarias para apoyar esta tarea.
e) La unidad de respuesta a solicitudes e incidentes de seguridad debe ser parte de la mesa de ayuda de la empresa, siendo el CISO el responsable de capacitar una unidad especializada dentro de la mesa de ayuda, así como proveer de todas las herramientas necesarias para soportar esta función.
f) El análisis forense de fugas e incidentes debe ser función de las áreas de investigación de fraude de las empresas.
En resumen, en una empresa segura el CISO no debe ejecutar estas funciones, sino sólo capacitar, asesorar y supervisar. Si una empresa desea alcanzar un estado mínimo de seguridad, la función operativa de la seguridad debe dejar de ser responsabilidad del CISO.
Por supuesto, y como nota de aclaración, los presupuestos para estas funciones NO deben ser asignados a la función de seguridad, sino a las diferentes funciones operativas de la empresa.
De este modo, el CISO puede dedicar su tiempo a labores más estratégicas y de alto impacto, que realmente lleven a la organización a lograr una mejor postura ante los riesgos.
Transformación Digital de la Función de Seguridad
Como todos sabemos la transformación digital no consiste solo en aplicar tecnología a un problema conocido. Es necesario pensar en una solución y llegar al fondo del problema, para entonces, proceder a automatizar. Siendo así, empecemos por lo primero: ¿Qué es lo que espera la alta dirección de la función de seguridad de información a cargo del CISO?
• Una mejor y eficiente alineación de los controles (administrativos y tecnológicos) de seguridad con las iniciativas de negocio de la empresa (p.e. transformación digital).
• Incrementar la resiliencia de los servicios y productos de la empresa, a través de la mejora en la postura de riesgo de la empresa.
• Reducir las incidencias y los costos asociados con fraudes y penalizaciones.
• Incrementar los niveles de cumplimiento de forma eficiente.
Para lograr estos objetivos, el departamento del CISO debe ser capaz de contar con tiempo y recursos para ejecutar las siguientes funciones:
• Gestión de riesgos (considerando la gestión del riesgo de incumplimiento regulatorio).
• Gobernanza de arquitectura de seguridad.
• Gobernanza y gestión de identidad/accesos.
• Gestión y desarrollo de conocimiento de seguridad.
• Oficina de proyectos estratégicos de seguridad.
• Unidad especializada para tratamiento de incidentes de seguridad (línea punteada).
En conclusión, si las organizaciones desean mejorar su seguridad, deben partir del criterio de hacerla una responsabilidad de todos.
Consulta nuestro curso “Transformando al CISO”
Gracias por leerme y nos vemos en la siguiente!
Referencias
KPMG presenta: Perspectivas de la Alta Dirección en México 2022. (2022, January 28). KPMG International. Retrieved April 19, 2022, from https://home.kpmg/mx/es/home/sala-de-prensa/press-releases/2022/01/kpmg-presenta-pad-2022.htmlWhy Human Error is #1 Cyber Security Threat to Businesses in 2021. (2021, February 4). The Hacker News. Retrieved April 19, 2022, from https://thehackernews.com/2021/02/why-human-error-is-1-cyber-security.html