La función del CISO solía centrarse principalmente en la seguridad de la información: crear e implementar políticas para salvaguardar los datos y la infraestructura de TI de una organización contra las amenazas de ciberseguridad . Sin embargo, a medida que las organizaciones migran rápidamente a entornos de nube, las responsabilidades y desafíos para los CISO se han ampliado significativamente. La nube aumenta la superficie de ataque general e introduce nuevos desafíos de cumplimiento.
Las amenazas cibernéticas persistentes y crecientes, agravadas por el aumento de las regulaciones, amenazan la capacidad de las organizaciones para cumplir sus objetivos comerciales. Esto requiere la integración de la seguridad en los esfuerzos de gobernanza, riesgo y cumplimiento (GRC). Muchos marcos de GRC ya incluyen controles de seguridad y mejores prácticas, lo que hace imperativo que los CISO desempeñen un papel en la implementación de dichos controles y garanticen el cumplimiento.
Las reglas de divulgación cibernética cambian el juego
En diciembre de 2023, la Comisión de Bolsa y Valores (SEC) adoptó nuevas reglas para mejorar y estandarizar las divulgaciones de las empresas públicas con respecto a la gestión de riesgos, la estrategia, la gobernanza y la divulgación de incidentes de ciberseguridad.
Estos cambios han otorgado mucho más poder a la SEC, en parte al reducir el nivel de presentación de informes para abarcar incidentes cibernéticos importantes, lo que probablemente resulte en más investigaciones y multas y sanciones más altas para las empresas. A las empresas que aún operan en entornos locales les resultará mucho más difícil o incluso imposible identificar un incidente rápidamente a menos que se implemente monitoreo y automatización, y que los miembros del equipo de seguridad revisen activamente todas las alertas.
Muchas empresas tienen una combinación de implementaciones locales y en la nube, lo que aumenta aún más la superficie de ataque y las complejidades del monitoreo.
Incluso para las empresas que operan principalmente en la nube, detectar e identificar un incidente importante sigue planteando un desafío importante. Los entornos de nube son intrínsecamente complejos debido a las integraciones de terceros, las múltiples capas y los entornos efímeros; cada entorno tiene características únicas. La mayoría de los CISO no tienen visibilidad de todos los incidentes posibles porque no son ellos los que miran las alertas, las analizan y revisan los datos de registro. Con el nuevo requisito de informar incidentes cibernéticos importantes a los pocos días de determinar su importancia, las organizaciones y los CISO encargados de protegerlos tienen muy poco tiempo para elaborar una divulgación que describa con precisión el impacto material del incidente (o el impacto material razonablemente probable). Las últimas reglas de la SEC, que se hacen eco de los cambios de PCI-DSS y SOC2, cambian el papel que desempeñan los CISO dentro de sus organizaciones.
Cambiar el rol y las responsabilidades del CISO
Históricamente, la mayoría de los CISO recopilaban información de sus equipos de seguridad y la digerían para proporcionar a la junta directiva una descripción general del estado de seguridad dentro de la organización. Este enfoque les permitió hablar sobre el riesgo a un alto nivel y proporcionar respuestas relevantes a los tipos de preguntas que hacían las juntas.
El fallo de la SEC impone un mayor nivel de responsabilidad a los CISO, quienes ahora son directamente responsables de garantizar que todos los incidentes importantes de ciberseguridad se identifiquen, evalúen y notifiquen dentro del plazo establecido. Los CISO ahora deben asegurarse de poder informar a la SEC dentro de los cuatro días hábiles posteriores a la determinación de la materialidad de un incidente, describiendo su naturaleza, alcance e impacto potencial. También deben comunicar estrategias de gestión de riesgos y planes de respuesta a incidentes para garantizar que la junta esté bien informada sobre la postura de ciberseguridad de la organización.
Estos cambios requieren un enfoque más estructurado y proactivo porque los CISO ahora deben estar al tanto del estado de cumplimiento casi en tiempo real, no solo para proporcionar todos los datos y el contexto de los incidentes de ciberseguridad a la junta directiva, los equipos de cumplimiento y los equipos financieros, sino también para garantizar que puedan determinar rápidamente si un incidente tiene un impacto material y por lo tanto debe ser reportado a la SEC.
Los CISO que no hagan una divulgación oportuna o que tengan una estrategia de seguridad y cumplimiento incorrecta pueden esperar ser multados, incluso si el incidente no se convierte en un evento catastrófico de ciberseguridad. Las juntas directivas deben poder confiar en que los CISO pueden responder cualquier pregunta relacionada con el cumplimiento y la seguridad de forma rápida y precisa, y las juntas directivas mismas deben estar familiarizadas con los conceptos de ciberseguridad, ser capaces de comprender los riesgos y hacer las preguntas correctas.
La tecnología cambiante alinea el riesgo cibernético con el GRC
La seguridad adecuada siempre ha estado un año por detrás de la última tecnología, y los marcos de cumplimiento están aún más retrasados. El resultado ha sido una brecha gigante entre la tecnología y el cumplimiento .
Para minimizar esa brecha, los CISO reflexivos alinean sus estrategias de riesgo cibernético con los marcos de GRC. Esto les permite a ellos y a sus organizaciones adaptarse a los rápidos cambios tecnológicos, los marcos regulatorios en evolución y los nuevos métodos de construcción y mantenimiento de redes empresariales. Esta alineación garantiza que los CISO puedan adoptar un enfoque holístico de la gestión de riesgos que les permita enfrentar ciberatacantes sofisticados, una superficie de ataque en expansión y el potencial de graves pérdidas financieras, daños a la reputación e interrupciones operativas causadas por incidentes cibernéticos.
La cuestión sigue siendo cómo los CISO pueden garantizar que tienen la información necesaria para determinar si un incidente es material. La mejor manera, y quizás la única, de estar preparado para responder determinando la materialidad de un incidente es a través de la tecnología. Implementar controles críticos, recopilar datos y automatizar el monitoreo de estos controles integrándolos con la pila de tecnología de seguridad permite a los CISO obtener una visión unificada del riesgo y los posibles incidentes en cualquier momento, lo que no solo les permite seguir a la SEC pero aumenta su resiliencia general ante las amenazas cibernéticas.
Fuente y redacción: helpnetsecurity.com