En una entrevista de Help Net Security, Michael Oberlaender, ex CISO y autor de libros, analiza cómo lograr el equilibrio adecuado entre seguridad y eficiencia operativa.
Oberlaender asesora a las empresas que comienzan su andadura en materia de ciberseguridad y destaca la importancia de alinearse con diversos marcos de trabajo. También presenta su último libro, que ofrece información sobre el papel del CISO y el liderazgo eficaz en materia de ciberseguridad.
¿Cómo equilibrar la necesidad de seguridad con la eficiencia operativa y la flexibilidad en la estrategia de ciberseguridad de una organización?
Es esencial entender que, si bien la seguridad es de suma importancia para cualquier empresa, también debe integrarse en los procesos comerciales generales y la eficiencia operativa; por lo tanto, en lugar de convertirse en un obstáculo en cada proyecto, asegúrese de que la seguridad se convierta en parte del proceso. Imagine una carretera con tres carriles: el de la extrema izquierda (el carril rápido, si no está en Inglaterra o Australia, etc.) es el que imagina que recorre la empresa sin ningún control de seguridad, rápido, pero riesgoso. Cualquier accidente provocará no solo una interrupción total de la carretera durante largos períodos de tiempo cuando ocurra un accidente.
Del otro lado, el carril de la derecha (el carril para camiones, de nuevo, si no se circula por la izquierda) es donde la seguridad está sobrecargada, hay muchos controles, no todos tienen sentido, la implementación es deficiente y se ralentiza todo el tráfico que viene detrás. Ahora, imagine el carril del medio: aquí, tiene controles de seguridad que le permiten moverse más rápido y, al mismo tiempo, de manera controlada; puede hacerlo más rápido cuando sea necesario y volver al modo más lento cuando sea necesario.
La seguridad respalda el negocio, los controles están alineados y tienen sentido, su implementación es fluida, están detrás de escena y siempre puedes obtener ayuda rápidamente. En caso de accidente, puedes moverte hacia la izquierda o hacia la derecha, por lo que en realidad tienes más opciones que en cualquiera de los otros carriles, por lo que esto también es bastante flexible. Puedes ver a dónde quiero llegar con esto, ¿verdad?
De manera similar, es necesario ser flexible con la estrategia de ciberseguridad : desarrolle una estrategia a largo plazo y comience a ejecutarla, pero utilice tácticas para hacerlo: cuando se alinea bien con una oportunidad de negocios, las probabilidades de éxito son mucho mayores que si se hace en medio de una interrupción del negocio. Aprenda a aprovechar las situaciones que se avecinan como grandes oportunidades para el avance a largo plazo de la estrategia de seguridad.
¿Qué consejo le daría a las organizaciones que comienzan a desarrollar una estrategia de ciberseguridad desde cero?
Bueno, eso es lo que he hecho casi con la misma frecuencia con la que he trabajado como CISO anteriormente. A continuación, se indican algunos puntos importantes:
1. Toda empresa es un objetivo y será atacada; es solo una cuestión de tiempo y oportunidad.
2. No es posible pasar de ser un polluelo a un halcón en un solo vuelo; habrá pasos intermedios y es necesario comenzar a construir la plataforma de base antes de llegar al nido del águila. Por lo tanto, es necesario establecer planes sólidos de recuperación ante desastres (DR), luego planes de continuidad empresarial (BCP) y capacidades operativas (como medir su TI, medir sus problemas, medir sus problemas e impactos de seguridad).
Luego, vaya paso a paso (o algunos) a la vez y ajuste los tornillos. Establezca su centro de operaciones de seguridad (SOC), realice copias de seguridad consistentes e inmutables (en sistemas que no estén en línea), implemente algunas funciones antimalware, ordene su gestión de identidad y acceso (IAM), construya su fortaleza con firewalls, DMZ, redes de confianza cero , zonas de seguridad en la nube, desarrolle su visión de cifrado, sistemas de gestión de claves, active el cifrado y realice la rotación de claves. Estabilice, optimice y luego realice las siguientes rondas de actualizaciones.
Este tipo de enfoque escalonado ayudará a las empresas a no verse desbordadas y, al mismo tiempo, a establecer rápidamente capacidades importantes. Un último punto: especialmente para aquellas empresas que nunca se ocuparon de la seguridad: se enfrentarán a una vulneración , no abandonen sus nuevos esfuerzos en materia de seguridad; en cambio, comprendan que esto es parte del juego. Si continúan ignorando la seguridad, llegará un momento en que dejarán de existir.
¿Cómo pueden las organizaciones alinear sus estrategias de ciberseguridad con los marcos y directrices de ciberseguridad nacionales e internacionales?
Es importante entender que existen muchos marcos y directrices de este tipo. Imagínenselos brevemente: ISO27XXX, NIST-800-XXX, NIST CSF, CIS, COBIT, COSO, ITIL, PCI, OWASP, además de una plétora de otros, además de todas las regulaciones. Además, la mayoría de estos marcos son bastante similares cuando se desglosan, con bastante superposición, pero también con serias brechas en otros aspectos.
Debes empezar a elegir uno o dos y dejar que te guíen en tus esfuerzos. Entiende que no tienes que seguir religiosamente cada pieza, sino el tema en general. Cuando creas que realmente has logrado algo, haz una auditoría independiente (contra ese marco) y lo más probable es que encuentres algunas lagunas. Arréglalas en la próxima auditoría. Luego elige otra similar. La curva de aprendizaje será más pronunciada y estarás preparado para la siguiente ronda más rápido.
Fuente y redacción: Mirko Zorz / helpnetsecurity.com
