En el ambiente actual de incertidumbre económica, muchos CISOs se enfrentan a mantener una seguridad más estricta con incluso menos recursos. En nuestras primeras Horas de Oficina de Secureframe | Pregunta a un Experto para CISOs, el CISO de Secureframe Drew Daniels extrajo de sus más de 20 años de experiencia como experto en seguridad de la información para responder preguntas sobre cómo mantener una postura de seguridad y cumplimiento sólida durante tiempos de incertidumbre económica.

Durante la sesión de preguntas y respuestas en vivo de 30 minutos, Drew respondió preguntas sobre temas que van desde las mejores prácticas para salvaguardias técnicas y organizacionales, formas de involucrar a las partes clave de los equipos de liderazgo en iniciativas de seguridad, y cómo los CISOs pueden priorizar y generar valor en sus organizaciones. Si te lo perdiste, recapitulamos algunas de sus respuestas a continuación.

1. ¿Cuáles son algunas actividades manuales y de bajo valor en las que los CISOs trabajan hoy en día que podrían ser automatizadas para que se pueda enfocar más en prioridades más altas?

Drew: Hay dos cosas en las que los CISOs enfocan la mayor parte de su tiempo que me vienen inmediatamente a la mente.

Primero, hay mucho trabajo tedioso y repetitivo en el área de cumplimiento que está listo para ser automatizado. Muchas tareas de cumplimiento son comparaciones sencillas de una lista con otra lista y, debido a que tienen que realizarse de manera regular y frecuente, es algo en lo que los CISOs siempre tienen que estar trabajando. Los equipos de cumplimiento se quedan atascados trabajando en cosas que no disfrutan y que son tediosas y repetitivas. Esas cosas pueden y deben ser automatizadas.

La segunda cosa es que hoy en día, los negocios se mueven muy rápido. Las tecnologías y los riesgos se pueden introducir increíblemente rápido. Como ejemplo, recientemente leí sobre una situación en la que alguien lanzó un nuevo recurso de computación en AWS y publicó código en él para hacer pruebas y olvidó que estaba allí. En 15 minutos ese servicio fue hackeado porque no habían hecho la debida diligencia de seguridad. Es muy fácil para alguien en ingeniería lanzar un recurso en la nube — puedes tener un sitio web, motor de computación o punto final de sistema activo en unos 5-6 minutos. Esta es la segunda razón por la que la automatización es esencial: no puedes operar a la velocidad a la que estos recursos pueden ser detectados y atacados. Necesitas tener automatización que pueda encontrar y reunir estas diferentes señales las 24 horas del día, los 7 días de la semana, para que sepas tan pronto haya una amenaza.

2. ¿Cuáles son algunas de las cosas más valiosas que los CISOs pueden hacer, y cómo pueden enfocarse mejor en esos objetivos de alto valor?

Drew: Los CISOs deberían enfocarse en el riesgo operativo. Las evaluaciones de riesgo son increíblemente importantes y no solo informan dónde están tus amenazas, sino también dónde están tus activos.

¿Qué datos son más importantes para el negocio? Esa es una conversación importante para tener con tu equipo ejecutivo. ¿Son importantes estos datos de clientes? Si lo son, necesitamos gastar dinero y recursos para asegurarlos. Muchas personas no logran presentar datos significativos a los equipos ejecutivos y explicar por qué esas medidas de seguridad importan.

3. ¿Qué tan extensas deben ser las medidas técnicas y organizacionales?

Drew: Hay varias referencias a medidas técnicas y operacionales en GDPR y otras regulaciones de privacidad, así como en algunos otros marcos de seguridad. En general, necesitas realizar una evaluación de riesgos donde identifiques amenazas y activos. Los resultados de esa evaluación te guiarán en las salvaguardias que reforzarán tu postura contra los malos actores. Si una persona de seguridad técnica mirara tus salvaguardias, ¿las consideraría razonables? SOC 2, ISO, incluso NIST y CMMC, así como GDPR, no necesariamente especifican palabra por palabra lo que las organizaciones necesitan hacer. Están buscando que tengas un estándar razonable de seguridad que también sea genuino para tu negocio.

Necesitas observar realmente tus riesgos, amenazas, activos, quién tiene acceso a ellos y cómo fluye la información a través de la organización — los diagramas de flujo de datos son críticos en esta etapa — y ser estratégico sobre las medidas que debes implementar. Dicho esto, la mayoría de las organizaciones necesitan implementar algunos controles de seguridad independientemente de las amenazas, como protecciones entrantes y automatización de cumplimiento para detectar, identificar y procesar esas amenazas. 

4. ¿Cuáles son algunas de las mejores prácticas para redactar e implementar un plan o política de respuesta a incidentes?

Drew: Demasiadas organizaciones crean un plan de respuesta a incidentes y luego lo dejan en el estante y nunca más lo revisan. Las políticas de respuesta a incidentes deben ser manuales que se prueban regularmente, idealmente un par de veces al año, donde pones varios elementos de la política de respuesta a incidentes en escenarios de la vida real, como un ejercicio de mesa. El plan de respuesta debe ser conciso y directo, sin jerga inútil o relleno. Cuando ocurre una crisis, necesitas que alguien pueda mirarlo y saber exactamente qué debe hacer en ese momento para priorizar el evento, evaluar y minimizar cualquier riesgo, y luego hacer un análisis de causa raíz.

Practicar el plan de respuesta a incidentes regularmente no solo asegura que tu plan funcione como debe, sino que también sirve como una función obligatoria para asegurarse de que esté vigente y actualizado. Puede que tengas información de contacto de personas clave — alguien en ventas que esté ayudando a entender si hay consultas de clientes relacionadas con el incidente, alguien en marketing que administre los canales sociales, un líder de equipo o una persona de contacto que ejecute el plan desde la organización del CISO. Si no practicas este plan, no vas a notar que tal vez alguien ha sido promovido a un rol diferente o ha dejado la organización, y si llegas a un lugar donde estás en un incidente real, cosas básicas como esa información de contacto desactualizada pueden dejarte fuera de juego.

Lo segundo que debes hacer es encontrar campeones y hacer que los equipos se involucren en el proceso de respuesta a incidentes. Ingeniería, ventas, marketing: son los mejores ojos que tienes. Son quienes van a detectar algo y pueden ayudarte a cortar estos eventos en una etapa más temprana.

5. ¿Cuáles son algunas de las medidas de seguridad básicas que un CISO debe implementar alrededor de una política de seguridad de la información?

Drew: En mi experiencia, una política de seguridad de la información ha sido un documento orientado hacia adentro destinado a ayudar a identificar y aislar los requisitos que deseas que los empleados respeten. Entonces, una política de seguridad de la información va a incluir prácticas aceptables. También se va a centrar en cómo la organización permitirá que los empleados sean parte del programa de seguridad, no parte del problema de seguridad.

No escribas una política de seguridad de la información que sea genérica y no tenga mucho sentido para tus empleados. Obtén información de otros líderes sobre los requisitos y hazlos responsables. Como mencioné anteriormente, cualquiera puede implementar nueva tecnología si tiene el acceso adecuado. Entonces, a menos que la seguridad esté tomando la decisión para cada una de esas cosas — lo cual no recomendaría porque se convertiría en un cuello de botella — necesitas poder democratizar aspectos de la seguridad de la información al equipo de liderazgo para que sepan: esto se hace, esto no se hace, aprueba esto, no apruebes aquello. Esa es la clave. 

6. Con el estado actual de la economía, todos tenemos presupuestos limitados. ¿Cómo pueden los CISOs priorizar mejor? ¿Qué servicios de seguridad cibernética deberían considerar subcontratar?

Drew: Algunos de ustedes pueden estar enfrentando factores en los que tienen que recortar, y hay un énfasis en la efectividad y eficacia de su programa. Deben ser capaces de mostrar dónde comenzaron y dónde están ahora gastando el dinero y los recursos que tienen sabiamente. ¿Cómo está beneficiando a la organización lo que ha invertido? Deben ser capaces de mostrar KPI y métricas que ayuden a probar ese hecho. Si no pueden hacer eso, es más probable que se encuentren en una situación donde las autoridades presupuestarias digan que no han demostrado que necesitan un presupuesto tan grande. Muchas veces, la seguridad tropieza por usar demasiada jerga técnica y no suficiente diálogo común para que las personas entiendan qué es ese programa y por qué es importante.

Creo que si están haciendo gobernanza, riesgo y cumplimiento (GRC), deberían subcontratar parte de eso. Deberían tener controles y balances en su lugar para asegurarse de que todavía están obteniendo la eficacia del programa que desean, pero todo se remonta a lo que dije al principio. Al final, muchas tareas en el cumplimiento son repetitivas y tediosas y ocurren en una cadencia específica. Si no automatizan, tendrán que dedicar recursos a trabajar en tareas que no creo haber visto nunca disfrutar verdaderamente a una persona de cumplimiento. Personalmente, quiero personas en mi equipo que quieran hacer algo innovador, desafiar su cerebro y adquirir más conocimiento en el espacio.

Es realmente difícil encontrar buenos profesionales de seguridad. Busquen personas dentro de su organización que puedan capacitar y convertir en una persona más de seguridad porque están ansiosas y ya están comprometidas con su visión, misión y valores. A menudo hago esto con DevOps, donde les pido que asuman un rol combinado de SecOps mostrándoles cómo automatizar parte de la infraestructura de seguridad y luego pidiéndoles que la gestionen para la organización.

Los CISOs deberían estar invirtiendo en cosas que les ayuden a automatizar procesos manuales para que puedan enfocarse, ellos y su equipo, en proyectos de mayor prioridad dentro del negocio. Den a su equipo oportunidades de aprender y crecer en su papel haciendo otras cosas además de tareas manuales.

Habiliten a las personas en su equipo para que tengan éxito ofreciéndoles una mano guía sin que tengan que acudir a ustedes por todo. Como ejemplo, en una organización anterior, quería que construyeran un proceso de gestión de vulnerabilidades completamente automatizado que involucrara desplegar algunos recursos de escaneo. Era algo completamente nuevo para el equipo, así que les expliqué cómo lo había hecho en el pasado usando Terraform y cómo se podía hacer de manera bastante simple. Pudieron diseñarlo y construirlo.

Den a su equipo grandes proyectos audaces donde puedan tener una verdadera propiedad y crecer en su carrera mientras actúan como entrenador y mentor para ayudar y proporcionar orientación en el camino.

Manténganse atentos para las próximas Horas de Oficina de Secureframe | Pregunte a un Experto

Vamos a seguir organizando regularmente Horas de Oficina de Secureframe a lo largo de 2023. Manténganse atentos para actualizaciones o vean nuestros webinars pasados a demanda.