Es esa época del año en que inevitablemente reflexionamos sobre lo que pasó. Hacemos una lista de asuntos para el próximo año, definimos prioridades y cómo alcanzarlas. Durante los últimos meses, tuve la oportunidad de conversar con CISOs de diferentes países y de estas conversaciones surgieron nueve temas prioritarios para 2022.
#1: Mejorar la comunicación entre los directivos
Existe el potencial de optimizar la comunicación entre los equipos de alta dirección, los consejos asesores, los equipos de liderazgo ejecutivo y los CISOs. Si bien algunos informaron que tenían oportunidades adecuadas para interactuar, la mayoría de los CISOs que escuchamos compartieron que las conversaciones que tenían a menudo no estaban estructuradas y a menudo no tenían una cadencia regular. Como era de esperar, también hubo una sensación de que el rol de CISO sigue siendo más valorado cuando hay una crisis y, por el contrario, empujado hacia abajo en la lista de prioridades cuando no está sucediendo un incidente.
Las tres formas en que esto podría mejorarse como se discutió en los encuentros a los que asistimos son: 1) un modelo de gobierno estructurado con representación de alto nivel 2) un conjunto acordado de KPIs (indicadores de desempeño) que reflejen los requisitos de negocio y 3) oportunidades regulares para demostrar cómo la seguridad es un habilitador del negocio.
#2: Garantizar que la seguridad sea resistente al cambio empresarial
Los CISOs revelaron que la resiliencia es un tema cada vez más importante en un sentido más amplio y, por lo tanto, es esencial que la seguridad sea resistente al cambio y pueda moverse con el negocio. Esto se puede lograr planificando las actividades de continuidad del negocio (BC) / recuperación ante desastres (DR) con anticipación y compartiendo la responsabilidad de ellas. Los CISOs deben incluirse en las actividades de BC/DR, ya que su aporte sigue siendo esencial en este proceso, pero existe una clara necesidad de más acciones, como ejercicios “table top” que sean participativos de la dirección ejecutiva.
#3: El riesgo debe ser un problema compartido
En más de una ocasión, los CISO dijeron que cuando el tema del riesgo surgió durante las discusiones de la junta, el equipo de seguridad fue descrito como una pequeña isla por sí sola. Establecer la propiedad del riesgo y el reconocimiento del riesgo con los colegas de negocios a menudo puede ser difícil, pero para mitigar los riesgos futuros, existe una gran necesidad de identificar a varios propietarios de riesgos en el negocio y no simplemente delegarlo en la o el CISO.
#4: Preparándose para “La Gran Resignación”
Hubo una opinión de que la contratación de nuevo personal era difícil y puede llevar meses concretar una nueva contratación, lo que a menudo conduce a la situación indeseable de correr con equipos esbeltos. Actualmente se está escribiendo mucho sobre la “gran renuncia”, que es probable que continúe interrumpiendo todas las industrias en este nuevo año. Por lo tanto, es justo decir que es probable que este problema empeore antes de mejorar. Algunos CISOs están viendo el trabajo remoto como una posible solución; Los equipos distribuidos se ven como una necesidad en algunas circunstancias, pero también existe la necesidad de que los equipos se reúnan cara a cara de manera regular.
#5: Mantener a las TIs fuera de la oscuridad
Para muchos CISOs, un problema creciente que debe ser abordado es de nuevas soluciones creadas sin el conocimiento de los equipos de seguridad, incluso cuando se establecen directrices claras que prohíben tal comportamiento dentro de las empresas. Con frecuencia, la velocidad y la disponibilidad tienden a prevalecer sobre los factores de seguridad. Como resultado, se enfrentan constantemente al problema del “shadow IT” o TI en la oscuridad, que aumentará a medida que más y más empresas se mueven en la nube. La solución comienza con poner a disposición las herramientas correctas en términos de funcionalidad y usabilidad y también contar con controles que permitan la detección de uso indebido de herramientas no corporativas
#6: ¿Luz al final del túnel para la gestión de riesgos de terceros?
Esto sigue siendo un problema, especialmente en torno a las evaluaciones de terceros que a menudo son muy largas, en un formato no estándar y realizadas con plazos muy cortos para una respuesta. La buena noticia aquí es que se está trabajando para producir marcos que garanticen una certificación estandarizada para terceros, como en el sector de servicios financieros del Reino Unido, con la Declaración de Supervisión del Banco de Inglaterra – SS2/21: Outsourcing y gestión de riesgos de terceros, que entra en vigencia el 31 de marzo de 2022. El progreso en esta área seguramente será muy bienvenido, dado lo mucho que los CISOs necesitan poder confiar en los procesos probados, pero los CISOs aún deben asegurarse de que su alcance de áreas de riesgo sea lo suficientemente amplio como para incluir a cualquier proveedor o empleado que tenga acceso de inicio de sesión remoto a cualquier aplicación empresarial. Eso incluye a cualquier subcontratista que pueda trabajar para el contratista, ya que el intercambio de credenciales es común en todas las empresas.
#7 Más enfoque en los datos y la privacidad
Este es un problema en el que no se reconoce el valor de los datos. La privacidad se está regulando cada vez más con la entrada en vigor de la regulación regional y local. El juicio de Schrems también requerirá que los CISO se centren más en los datos y en dónde se almacenan.En los últimos años ha habido un gran enfoque en las reglas GDPR de la UE, lo que ha revelado las áreas en las que los CISOs han estado enfocando su energía cuando se trata de datos y privacidad. En términos generales, estos incluyen verificar la identidad del usuario, verificar el estado de todos los dispositivos del usuario y asegurar el acceso a cualquier aplicación.
#8 Gestión de la deuda de seguridad
Los CISOs dejaron en claro que el tema de la deuda técnica o la deuda de seguridad está ganando importancia. La necesidad de gestionar sistemas más antiguos mientras se adapta al nuevo entorno y el riesgo y el costo en que esto incurre es especialmente importante a considerar en el área de tecnología operativa (OT).Además, algunos sistemas OT no se pueden parchear fácilmente o incluso no tienen herramientas de seguridad básicas como anti-malware instalado en ellos. Finalmente, este problema es especialmente pertinente cuando los sistemas todavía utilizan software obsoleto sin actualizaciones que sigue siendo crítico para la organización. Citando a Dave Lewis, Consultor de CISOs en Cisco, en su presentación de la Cumbre Virtual de Ciberseguridad 2021 a principios de este año, “Deuda de seguridad, corriendo con tijeras” para rastrear y abordar la deuda de seguridad, las organizaciones deben desarrollar e implementar procesos definidos y repetibles. Deben buscar estrategias como el modelo de confianza cero, confiar pero verificar, saneamiento de entradas y salidas, y por supuesto, asegurarse de ejecutar parches.
#9 Ransomware, ransomware y más ransomware
Este es el principal problema táctico que preocupa a los CISOs. Para obtener información sobre lo que puede hacer para proteger su empresa contra el ransomware, consulte el reciente estudio de Cisco Secure sobre el tema. Este informe, les ayudará a decidir dónde enfocar sus esfuerzos. El Security Outcomes Study vol.2, se realizó de forma independiente y se basa en una encuesta con más de 5.000 profesionales activos de TI, seguridad y privacidad en 27 países. Encontrará las cinco principales prácticas para aumentar la eficiencia de la seguridad de la información de su empresa, principalmente contra los ataques de ransomware.
Nos encantaría escuchar lo que piensas. ¡Haz una pregunta, comenta y mantente conectado con Cisco Secure en redes sociales!