El tiempo promedio de permanencia de un CISO (Director de Seguridad de Información) en una empresa es de 26 meses y con la baja oferta de talento en la industria de la ciberseguridad, esto no debería ser una sorpresa. Bajo su dirección se deben enfrentar grandes desafíos: el ransomware, los cambios repentinos en el modelo de trabajo en las organizaciones producto de la pandemia, la gran cantidad de alertas de vulnerabilidades y el incremento en el nivel de ataques, entre otros.
Para los que están asumiendo el cargo CISOs, el desafío es aún mayor ya que deben evaluar rápidamente el estado de la ciberseguridad de la organización para así tomar medidas inmediatas.
Lumu Technologies, compañía de ciberseguridad creadora del modelo Continuous Compromise Assessment, que permite a las compañías medir compromisos confirmados en tiempo real, identificó los seis principales objetivos que debería trazarse durante su primer mes de trabajo:
- Entender los riesgos conocidos y trabajar para comprender los ocultos: Es importante conocer dónde está la organización en términos de riesgos. Esto incluye comprender dónde están los compromisos identificados y qué tipo de acciones se han hecho para minimizarlos, luego será necesario enfocarse en identificar los que aún no se han podido determinar.
Para Rubén Bayud, director de ventas para Latinoamérica de Lumu Technologies, “Estas son las tareas más importantes y urgentes que tiene un nuevo director de seguridad en una empresa; el mayor riesgo está en lo que no sabemos. Sin conocer nuestro panorama real de ataques, los planes de mejora no serán medibles y las decisiones que tomemos podrían ir en contravía con la realidad a la que nos enfrentamos”.
- Conocer la superficie de ataques: Independientemente del sector en el que se encuentre la empresa, comprender el escenario al que están expuestos es crucial. Saber qué tipo de exposición tiene su sitio web, las aplicaciones móviles, así como cuántos dispositivos hay en la empresa, qué tipo de sistemas manejan, dónde están ubicados y el peligro asociado a cada uno de estos. El primer paso es hacer una identificación y recuento de activos y el impacto que pueden tener para el negocio de la organización.
- Evaluar recursos y presupuesto: Este punto se puede analizar desde dos perspectivas:
- Talento Humano: La ciberseguridad es un área que está en constante evolución, por lo que es importante saber qué habilidades hay en la empresa, cuánto tiempo llevan, qué talentos hay, dónde hay oportunidades de capacitación y desarrollo del personal. El objetivo es identificar las brechas que existen y lo que se necesita para defender la organización de manera eficiente en el corto, mediano y largo plazo.
- Activos tecnológicos: Los CISO’s tienen la tarea de evaluar las herramientas con las que cuentan; cuáles agregan valor y cuáles están obsoletas, pero lo más importante es identificar cómo están alineadas con la evolución del negocio. “En muchas ocasiones los equipos de seguridad compran soluciones por motivos tecnológicos, porque los analistas de la industria lo recomiendan, o porque es una tendencia de la industria. Sin embargo, lo importante es tener claro que la ciberseguridad existe como una necesidad de protección empresarial y este debería ser el foco de la gestión”, explica Rubén Bayud.
- Socios y proveedores: Es clave saber quiénes son los aliados. Contar con un verdadero apoyo hace la diferencia cuando hay que enfrentar un compromiso. Resulta necesario saber a tiempo quienes solo tienen la intención de vender, qué tecnologías están evolucionando para resolver problemas fundamentales en ciberseguridad y quién realmente está comprometido por luchar por la empresa.
- Estar en alerta: Esta actitud permite al CISO desarrollar un plan para los 90, 180 días y para el próximo año. Este es un ciclo que se repite constantemente como resultado de la capacidad de los ciberataques para evolucionar constantemente.
- Implementar tácticas para encontrar amenazas: El CISO debe actuar bajo el supuesto de que el atacante puede estar dentro de la organización y actuar decididamente para detectarlo antes de que haga daño.
“Este es un tema crítico para la sobrevivencia del negocio. Muchas veces se enfocan en lo superficial del negocio, cuando lo importante es tener iniciativas que busquen continua e intencionalmente al adversario”, expresa el representante de Lumu Technologies.
Las responsabilidades del CISO en las empresas son muy grandes. Sin embargo, la información que se necesita para tomar decisiones usualmente existe. El objetivo es hacer todo lo posible para acceder a los datos precisos y tomar decisiones empresariales razonables y aceptables.