El tema de la ciberseguridad se identifica hoy como un elemento clave al interior de la mayoría de las organizaciones, en particular impulsado por las regulaciones actuales, por la responsabilidad fincada en los gerentes, por el impacto financiero o por la reputación de la empresa.
Sin embargo, los problemas inherentes a la ciberseguridad siguen siendo bastante confusos para muchos Comités Ejecutivos, y al CISO a menudo le resulta difícil ser escuchado y, sobre todo, comprendido.
Hoy en día es de vital importancia que se movilice el Comité Ejecutivo de una organización en materia de ciberseguridad. ¡Concientizar, como primera etapa es primordial, pero ya no es suficiente, se tienen que conseguir resultados! Y la receta para el éxito no es sistemática.
Algunos retos a los que tiene que hacer frente el CISO son: ¿Cómo convencer a la alta dirección y conseguir inversiones? ¿Qué estructura elegir para su programa de ciberseguridad y su seguimiento? ¿Cómo establecer una relación de confianza entre el CISO y el Comité Ejecutivo?
Sabemos que estos retos a veces se pueden comparar con una carrera de obstáculos.
4 PASOS ESENCIALES AL MOMENTO DE RESOLVER LOS PRINCIPALES RETOS QUE COMO CISO DE LA EMPRESA:
PASO 1: INICIACIÓN Y ACULTURACIÓN DE SU COMITÉ EJECUTIVO A LA SEGURIDAD CIBERNÉTICA
Para ello, los equipos a cargo de la ciberseguridad deben primero explicar al Comité Ejecutivo los aspectos estratégicos y desafíos inherentes a las amenazas cibernéticas.
El uso de metáforas a menudo ayuda a transmitir mensajes clave. El objetivo también será explicarles por qué ciertos actores podrían atacar los activos de la organización; así como el impacto financiero de dichos ataques.
Sin embargo, para evitar que esta iniciación se resume a una simple reunión y que el Comité Ejecutivo desee volver a verlo, el CISO también debe llegar con prioridades, algún plan de evolución estratégica, así como varias métricas relacionadas con presupuestos, recursos, objetivos.
Ejemplos de métricas incluyen el número promedio de “empleados de seguridad” por empresa
KIPPEO estima que hay un promedio de 1 empleado de seguridad por cada 900 empleados. Esta cifra incluso se eleva a 1 empleado de seguridad por 5,000 empleados en compañías menos maduras. Es alrededor de 1 de cada 200 en las estructuras más maduras (bancos, etc.).
Otro ejemplo de métrica, “el presupuesto”: En promedio, observamos en las empresas que el 5.6% del presupuesto de TI está dedicado a la seguridad (este presupuesto varía del 1% al 13% dependiendo de las estructuras).
El objetivo de este primer paso es que el Comité Ejecutivo comprenda los problemas, las prioridades para su organización y el plan de acción implementado por el equipo de seguridad.
Si la alta dirección desea volver a ver al CISO, esto ya es una buena noticia y significa que el diálogo está establecido y que las acciones se pueden consolidar a largo plazo. Esto nos permitirá ir al segundo paso.
PASO 2: AUDITORÍA 360 GRADOS
Durante este segundo paso, el CISO tendrá cierta cantidad de mensajes que compartir a su Comité Ejecutivo; por ejemplo:
- El “nivel de resistencia” de la empresa en relación con las amenazas y ataques más conocidos, como Wannacry, NotPetya, ataques de phishing. El objetivo es hacer que las cosas sucedan, pero también establecer el vínculo con el Paso 1.
- “Benchmark view”: este es el nivel de madurez de su empresa en comparación con otras organizaciones que operan en el mismo sector de actividad.
Sin embargo, hay que ser cautelosos ya que algunas reacciones del Comité Ejecutivo en ocasiones pueden ser adversas o presentar cierta resistencia a los cambios. Afortunadamente, la mayoría de las reacciones se pueden anticipar.
PARA LOGRAR SUS OBJETIVOS, EL CISO DEBE VENIR “ARMADO”
En primer lugar, debe ser capaz de proporcionar al Comité Ejecutivo evidencias concretas; demostrando por ejemplo mediante videos, exploits de pruebas de penetración o intrusiones físicas, habiendo ingresado con éxito en sus instalaciones y / o comprometer su infraestructura y sistemas.
En sus esfuerzos, los equipos de seguridad también podrán apoyarse en una referencia reconocida para ganar credibilidad con el Comité Ejecutivo.
Ahora existen diferentes tipos de frameworks en el campo de la seguridad y son reconocidos en todo el mundo, como ISO, NIST o CIS. Cada uno de ellos tiene sus ventajas y desventajas.
Como explican nuestros expertos, el marco ideal no existe, por lo que recomendamos que cada empresa cree su propio marco.
KIPPEO apoya a las empresas en este proceso. Para hacer esto, los equipos de KIPPEO toman como base el Framework del NIST, que luego adaptan según los contextos, sectores de actividad y necesidades de las empresas. El objetivo también es haber preparado un presupuesto y un roadmap.
Además, para garantizar la resiliencia cibernética de la empresa, también recomendamos transmitir la importancia de agregar la esfera cibernética al proceso de gestión de crisis, pero también poner al Comité Ejecutivo en contacto con ciertos reguladores dependiendo del sector de actividad de la empresa. Es esencial presentarle un CERT.
Finalmente, es esencial que cada compañía tenga un plan de respaldo y un equipo (interno o externo a la organización) listo para intervenir y manejar la crisis en caso de algún incidente.
