Por qué el CISO necesita volver a lo básico

El papel del CISO tiene un alcance increíblemente amplio. Son responsables de establecer y mantener la visión, estrategia y programa de la empresa para asegurar que los activos y las tecnologías de la información estén adecuadamente protegidos. Estas responsabilidades por sí solas traen consigo una gran presión, a las que hay que añadir otras, como el equipo de respuesta a emergencias informáticas, la coordinación de la respuesta a incidentes, la gestión de la identidad y el acceso, los centros de operaciones de seguridad, el perímetro digital y la defensa interna, la recuperación ante desastres y el plan de continuidad del negocio, la privacidad de la información, los controles tecnológicos para el cumplimiento de la normativa, las investigaciones de TI y forense digital; la lista podría continuar, pero no es de extrañar que se sientan desbordados, teniendo en cuenta que cada uno de los términos que acabo de mencionar es un campo discreto y extenso por derecho propio.

La responsabilidad del CISO no ha cambiado, pero los requisitos de cumplimiento han aumentado con nuevos reglamentos y directivas

El status quo también ha evolucionado con el tiempo a medida que las organizaciones han luchado por implementar soluciones puntuales a problemas puntuales y han construido silos de seguridad, TI y cumplimiento en el proceso. Esto ha creado un ecosistema caótico donde la entropía se ha acelerado debido a la transformación digital. Estos procesos de transformación son normalmente impulsados por el negocio, y a veces no incorporan seguridad e implican la expansión del panorama de TI, ya que implican la adopción de la nube, la contenedorización, el aumento de la movilidad, etc.

El aumento general de la complejidad derivada de esta situación disminuye enormemente las capacidades fundamentales de una organización, como la visibilidad y la precisión, lo que tiene un efecto catastrófico en la capacidad del CISO para mantener las cosas bajo control.

La responsabilidad del CISO no ha cambiado, pero los requisitos de cumplimiento han aumentado con nuevos reglamentos y directivas, entrelazados con los existentes (y ya de por sí desafiantes).

En mi opinión, los CISOs necesitan volver a lo básico.

Un CISO en dificultades necesita una «fuente única de verdad», que comienza con la comprensión de lo que tiene y continúa con la evaluación de la superficie vulnerable. Esto creará el contexto necesario para priorizar las soluciones y ayudar al CISO a no sentirse abrumado. Este contexto debería normalizarse y propagarse a otros procesos, por ejemplo, la validación de los controles técnicos de cumplimiento.

Estos datos deberían fomentar y potenciar las operaciones de seguridad y la respuesta a incidentes y tener a todos los equipos de operaciones utilizando la misma fuente única de verdad. Esto puede requerir la creación de flujos de información a través de plataformas y tecnologías, lo que puede lograrse aprovechando las API y la automatización transparente.

También es muy importante crear niveles de abstracción para representar eficazmente las amenazas y los peligros y aumentar la conciencia desde múltiples perspectivas cuando todo es normal.

Esto permitirá que la tecnología apoye la armonización de la TI, la seguridad y el cumplimiento, a la vez que ayuda a los ejecutivos a tomar decisiones informadas y a hacer que la seguridad vuelva a ser manejable.

Las recientes noticias sobre las empresas que se enfrentan a graves multas por incumplimiento del GDPR debido a infracciones de datos que implican información sensible demuestran que esta armonización es muy necesaria, y subestimar su importancia puede tener graves consecuencias.

Por supuesto, la tecnología no puede ni debe representar la panacea absoluta. Se trata de un modelo que pretende ofrecer múltiples perspectivas sobre el mismo conjunto de datos coherentes que, sin duda, puede proporcionar una base sólida para armonizar los procesos y las operaciones y aporta información debidamente agregada y altamente procesable que alivia parte de la presión del papel moderno del CISO.

Raúl Benito, Territory Account Manager para España y Portugal de Qualys