Talking Cyber Security with the Board of Directors

Charla sobre la seguridad cibernética con la junta directiva

Entrevista con Josh Shaul, vicepresidente de Productos de seguridad de web

¿Cuáles son los elementos básicos que los miembros de la junta necesitan conocer actualmente sobre la ciberseguridad?

Los miembros de la junta reconocen la creciente importancia de la ciberseguridad. Hay mucho interés y preocupación al respecto. Ese es el motivo por el que la incluyen en su agenda. Sin embargo, es probable que tengan grados muy diferentes de conocimientos técnicos, por lo que sus concepciones de los asuntos serán muy dispares. Por tanto, cuando el director de sistemas de información o de seguridad informan a la junta sobre la postura de ciberseguridad de la empresa, suele hacer falta algún tipo formación y ajuste de niveles.

Los miembros de la junta deberían, antes de nada, tener una idea del panorama de las amenazas y de cómo va cambiando, lo que incluye tener algunas nociones básicas sobre los tipos de ataques y defensas. Deben ser conscientes de cómo los diferentes ataques (DDoS, malware, ataques web) exigen diferentes defensas. La seguridad es algo complejo.

En segundo lugar, deben reconocer que las defensas tradicionales del firewall perimetral son insuficientes cuando la actividad de la empresa se realiza online y está muy conectada con los clientes y partners, a veces de todo el mundo. El perímetro tiene que tener aberturas, pero cuando las redes y aplicaciones están abiertas a los clientes, también están abiertas a los ataques. Como las empresas son cada vez más distribuidas, la seguridad también debe ser distribuida.

En tercer lugar, deben reconocer que no hay nada como una defensa sin ninguna fisura. "¿Es la empresa segura?" es una pregunta que se responde con un sí o no. Las cuestiones que se deben plantear son: ¿Es la empresa lo suficientemente segura como para funcionar sin problemas? ¿Cuánto riesgo estamos dispuestos a aceptar? ¿Cuánto estamos dispuestos a invertir para reducir el nivel de riesgo?

En cuarto lugar, deben saber que el éxito es local. Las noticias sobre importantes infracciones nos siguen recordando lo costoso que puede resultar un fallo, y hay lecciones que aprender de lo que les ocurre a los demás. Sin embargo, la ciberseguridad debe centrarse en las posibles amenazas y vulnerabilidades específicas para la empresa, aun en presencia de la cobertura en los medios de comunicación.

En un mundo ideal, ¿qué sería lo que al director de servicios de información o de seguridad les gustaría decir a la junta acerca de la postura de seguridad local?

Deberían hablar sobre tres temas: defensas, clientes y respuesta.

Defensas. Tenemos defensas efectivas. Nos adaptamos a los cambios en el panorama de las amenazas. Tenemos visibilidad de nuestros activos digitales y redes. Hemos adoptado todas las medidas posibles para protegernos de ser la próxima víctima de un ciberataque. Además de las defensas perimetrales, tenemos una protección global en la nube que protege nuestros activos y comunicaciones dondequiera que se encuentren. También realizamos un seguimiento de las comunicaciones internas y nos protegemos contra amenazas internas con el mismo rigor que aplicamos a las externas. Y, lo que es más importante aún, estamos realizando pruebas y validaciones constantes de nuestras defensas con "fuego real". Contratamos a hackers expertos para que intenten hackearnos y corregimos inmediatamente lo que resulte ser hackeable.

Clientes. Estamos constantemente supervisando el acceso de nuestros clientes a nuestra empresa, y queremos que tengan una experiencia excelente, y segura, cuando interactúen con nosotros. Conocemos sus comportamientos online normales, y observamos detenidamente para detectar cualquier acceso anormal. Nos aseguramos de que son realmente los clientes los que están interactuando con nuestros sistemas y no bots que los suplanten. Además, avisamos a los clientes cuando nos damos cuenta de que los defraudadores pueden haber robado sus credenciales o incluso identidades. De este modo, estamos protegiendo a nuestros clientes, su privacidad y sus datos, y manteniendo así su nivel de confianza.

Respuesta. Estamos preparados, incluso para lo peor. Nuestro equipo está formado. Sabe cómo responder cuando se produce un ataque o infracción. Tenemos nuestra estrategia preparada, en la que se incluye a quién vamos a informar e involucrar, incluido el órgano de gestión y el personal de comunicaciones y legal de la empresa. Sabemos cómo vamos a reunir pruebas y realizar las investigaciones forenses. Realizamos ejercicios realistas de respuesta a incidentes. No nos vamos a quedar sin saber lo que hacer, porque tenemos claros nuestros procesos de respuesta ante incidentes, que hemos practicado una y otra vez.

Para resumir: Estamos protegidos de la mejor manera posible, estamos protegiendo a nuestros clientes, y estamos preparados, incluso para lo inesperado. Podríamos pensar que esto es un "mundo ideal". No son muchas las organizaciones que pueden decir honestamente todas esas cosas hoy en día.

¿Por qué no? ¿Cuál es el principal obstáculo?

La respuesta rápida es generalmente la falta de presupuesto para un programa de seguridad más completo, pero eso solo es el síntoma que asoma a la superficie. Si ahondamos un poco, el problema es la falta de contexto y dirección. Muchas organizaciones tienen dificultades para determinar qué nivel de seguridad necesitan, o bien cuánto riesgo están dispuestos a aceptar, o cuánto están dispuestos a invertir para que el riesgo sea de un nivel aceptable.

Para conseguir superar esos obstáculos, recomendamos la creación de declaraciones formales sobre el apetito por el riesgo de la empresa. Por ejemplo, una agencia gubernamental del Departamento del Tesoro tiene un apetito por el riesgo global relativamente bajo con respecto a la tecnología, que se desglosa de esta manera:
  • Ningún apetito por el riesgo de acceso no autorizado a los sistemas, por lo que los controles han de ser lo más estrictos posibles.
  • Poco apetito por el riesgo respecto a la disponibilidad de la empresa, lo que significa que si los sistemas se vienen abajo, necesitan volver a estar activos cuanto antes.
  • Apetito por el riesgo moderado respecto al uso de soluciones tecnológicas innovadoras que permitan satisfacer las demandas de los usuarios, por lo que se puede experimentar dentro de ciertos límites.
Una empresa comercial que funciona de forma ininterrumpida y que trata de ampliar mercado en todo el mundo tendría un apetito por el riesgo muy diferente. La cuestión es que debe decidir en qué punto se encuentra para establecer algunos límites útiles y para actuar de manera acorde. Para un área tan importante como la ciberseguridad, el seguimiento y la aprobación del apetito por el riesgo se deberían extender entre todo el equipo ejecutivo. Además, el equipo debería asegurarse de que la junta comprenda sus decisiones.

Esas declaraciones de principios rectores son un potente método de gestión. Ponen estacas en el suelo, ayudan a priorizar los objetivos y las acciones, y proporcionan una base para la toma de decisiones. Después de haber acordado cuál es el panorama general establecido en los principios, las partes interesadas estarán más dispuestas a aceptar y más dispuestas a acordar cómo se desarrollan los detalles. Asimismo, los responsables de la gestión de las actividades y de tomar decisiones tácticas, en este caso el director de servicios de información y de seguridad, tienen una base mucho más sólido sobre la que apoyarse y formas más convincentes de explicar y justificar sus acciones.

Cuéntenos algo más sobre cómo se puede determinar el apetito por el riesgo.

Este concepto ayuda a contar con algunos puntos de referencia externos, indicadores de referencia del sector de la práctica de seguridad o modelos de madurez para la ciberseguridad más generales. Terceros de confianza pueden evaluar las funciones de seguridad de una empresa, y a veces sus presupuestos ajustados, en comparación con los colegas y competidores del sector. Los resultados permitirán identificar y justificar las acciones necesarias, especialmente para evitar figurar entre los más vulnerables a los ataques del sector.

Los modelos de madurez organizan las defensas, así como los procesos operativos y de gestión en niveles de capacidad, normalmente unos cinco. Una organización podría realizar una evaluación y concluir: "Estamos en el nivel dos y este nivel es demasiado bajo. El nivel de exposición del negocio es demasiado alto". El modelo de madurez puede indicar qué funciones adicionales se necesitan para alcanzar el nivel tres. Las declaraciones del apetito por el riesgo de la empresa deberían ayudar a alcanzar el nivel de madurez objetivo.

Una técnica útil es probar las declaraciones de apetito por el riesgo con escenarios locales y evaluaciones realistas. Por ejemplo, una empresa podría pensar a primera vista que tiene de atender a todos sus clientes online de forma ininterrumpida sin excepción. Pero, si se produjera un ataque importante, ¿estaría dispuesta a dejar sin servicio un sistema clave y a bloquear al 30 % de sus clientes para preservar el acceso para el resto?

Otro ejemplo, tal vez la empresa desee tener tolerancia cero con respecto al acceso no autorizado a su red. Sin embargo, ese es un objetivo imposible, incluso para las agencias de seguridad gubernamentales más seguras. En la mayoría de las organizaciones, ese acceso ya se ha producido y se está produciendo ahora. Su desafío consiste en encontrar a los intrusos y que no consigan su objetivo. De esta forma, la pregunta realista que hay que plantearse con respecto al apetito de riesgo es: ¿Cuáles son los tipos de intrusiones que más necesitamos reconocer y contener?

Situaciones como estas se deben prever con antelación y entrar a formar parte de la estrategia de respuesta. La planificación de escenarios debería incluir ponerse en el lugar de los atacantes y anticipar qué activos pueden ser los más vulnerables. Si puede evitarlo, no querrá tomar decisiones clave sobre la marcha mientras esté siendo objeto de un ataque y en medio de la "confusión de la guerra".

El proceso de desarrollo y prueba de las declaraciones de apetito por el riesgo es iterativo, a menudo centrado en los costes, e impulsado por las realidades de lo que se necesita para cumplir los objetivos de seguridad. "Necesitamos el nivel de seguridad X". "Esto costará 30 millones de dólares". "Bueno, en ese caso, podemos vivir con menos de X". Las declaraciones del apetito por el riesgo también puede que se tengan que modificar como consecuencia de los ataques, ya sea reconociendo la necesidad de contar con una seguridad mejor o reconociendo la realidad de que la organización no está a la altura de su perfil de riesgo.

Por último, y lo que es muy importante, las declaraciones del apetito por el riesgo no pueden ser genéricas o teóricas. Deben ser lo suficientemente específicas de la situación de su empresa como para guiar a las personas en la toma de decisiones y concesiones, incluso las más difíciles.

Ha mencionado la visibilidad del entorno informático. Ese debe ser un elemento fundamental para una ciberseguridad efectiva.

Sin duda lo es. Cuanto más completa sea su visibilidad (de activos, conexiones, actividad de la red, vulnerabilidades), mejor podrá proteger todo el entorno. Sin embargo, no es tan sencillo.

Para contar con seguridad integral, se necesita un inventario exhaustivo de las redes, los sistemas y los datos de la empresa con los que comenzar, y eso supone un desafío en varios frentes. Un ejemplo común es la ubicación de los datos confidenciales. Muchas organizaciones no saben dónde están almacenados. Otro es la superficie de la red de la empresa (todas las conexiones, partners, URL) que podría implicar el entorno informático. En una empresa grande que haya tenido actividad online durante un largo periodo de tiempo, realizar un inventario completo puede ser algo muy difícil.

Incluso aunque se cuente con un buen inventario, la visibilidad del entorno de una empresa puede ser incompleta, por varios motivos:
  • Quizás no sepa dónde buscar o qué buscar. En ese caso, se podría buscar asesoramiento de expertos.
  • Puede que no se sepa cómo buscar. En ese caso, también se pueden utilizar herramientas tecnológicas para la supervisión de la infraestructura.
  • Puede que la empresa no desee buscar por miedo de lo que se pueda encontrar...
Esto es un tema delicado y quizás "una verdad incómoda" de la comunidad de la seguridad. Puede haber rincones oscuros que estas organizaciones no deseen alumbrar, porque se verían obligados a solucionar lo que encontraran, y esto podría resultar difícil y costoso. A veces puede parecer que es mejor no conocer el problema que se tiene. Pero este no es el caso.

No localizar los problemas no es lo que se debe hacer. La ignorancia no sirve como excusa después de una infracción. Sin embargo, encontrar problemas y no solucionarlos puede ser algo aceptable. Es una cuestión de prioridades. Ninguna empresa tiene el dinero, el personal y los recursos necesarios para arreglarlo todo. Y el conflicto entre capacidad defensiva, coste y el riesgo para el negocio es inevitable. Por lo tanto, vuelve a salir el tema del apetito por el riesgo. Con total visibilidad y conocimiento, puede concentrarse en la solución de vulnerabilidades que conlleven el mayor riesgo. La empresa podrá funcionar sin problemas según su nivel de apetito por el riesgo.

Para terminar, háblenos de las conclusiones clave para los directores de servicios de información y de seguridad.

En primer lugar, a la hora de trabajar con la junta, no se limite al estado de las defensas técnicas y el riesgo de ataque. Hable también de la protección del cliente y la preparación de la organización de seguridad y los procedimientos de respuesta ante incidentes en caso de ataque. Todos estos temas se tratan con debida diligencia.

En segundo lugar, la junta debe entender que la empresa nunca puede estar completamente segura. Sin embargo, puede funcionar dentro de un nivel de apetito por el riesgo aceptable y especificado de forma explícita. En términos generales, el director ejecutivo y la junta deberían ser capaces de mostrar la estrategia de seguridad y el apetito por el riesgo de seguridad a los interesados: clientes, empleados, reguladores y accionistas.

En tercer lugar, los líderes de seguridad suelen esforzarse por obtener los recursos que necesitan para cumplir con sus responsabilidades. A muchos les resulta difícil que los guardianes financieros sepan cuál es el valor empresarial y la necesidad de programas de seguridad. Esto ayuda a tener una cadencia regular de comunicación con el equipo ejecutivo y la junta sobre la ciberseguridad y el apetito por el riesgo. La clave para desbloquear los recursos puede ser realizar comparaciones con sus homólogos del sector. Sin embargo, debe tener en cuenta la realidad de que las necesidades de seguridad acorde a los riesgos puede que no incluyan todo lo que los líderes en seguridad desearían conseguir.

Y, en cuarto lugar, cuando las funciones de seguridad y el apetito por el riesgo están claros, los programas y procesos de ciberseguridad pueden ayudar a las empresas a establecer los límites para la acción. La seguridad no debe ser simplemente "no debe", sino también "tiene libertad para actuar e innovar online". El personal relacionado con la ciberseguridad debe participar desde el principio en la concepción y el desarrollo de las nuevas iniciativas empresariales. La ciberseguridad debe permitir el progreso de la empresa, pero impidiendo a la vez el progreso de sus adversarios.

Related CIO Content