¿Ya estamos seguros? Me hicieron esta pregunta en una reunión de la junta hace muchos años. La forma en que se expresó implicaba que estar seguro es una tarea que debe completarse. La gestión de la seguridad cibernética es en realidad más como lavar la ropa, ya que nunca se termina. Entonces, ¿estamos seguros todavía? ¡La respuesta es un rotundo no!» Y colectivamente nunca estaremos seguros. Sin embargo, podemos y debemos aplicar procesos rigurosos de gestión de riesgos, tecnologías de handle innovadoras y equipos talentosos a nuestros desafíos de ciberseguridad.
El tema de esta discusión es la cultura de seguridad cibernética de su organización. Es uno de los elementos más críticos de un programa de ciberseguridad exitoso y, sin embargo, uno de los más difíciles de definir, medir y mejorar. Durante la última década, hemos sido testigos de una cadencia constante de grandes ataques cibernéticos. La mayoría de estos fueron casos en los que las víctimas debían divulgar el evento por ley o reglamento. Otros fueron revelados como resultado de interrupciones comerciales muy visibles causadas por el ataque. Muchas de estas fueron violaciones de datos que involucraron más de 100 millones de registros (por ejemplo, Concentrate on, eBay, Equifax, Cash 1, Marriott, and so forth.), mientras que otras fueron ataques de ransomware que provocaron una interrupción importante en los negocios de sus víctimas (como Maersk y el gobierno de la ciudad). de Atlanta).
Estos ataques fueron costosos y traumáticos para las organizaciones de víctimas, pero también tuvieron al menos un resultado positivo: transformaron la cultura de ciberseguridad de la organización. El cambio de actitudes sobre la ciberseguridad en estos casos puede ser dramático. Un CIO compartió que una decisión de inversión en seguridad que una vez hubiera tomado semanas o incluso meses para tomar ahora, después de la reciente violación de la compañía, solo requería una breve llamada o una reunión rápida.
El valor de una fuerte cultura de ciberseguridad «posterior a la violación» es substance. De acuerdo con la «Estudio del costo de la violación de datos de 2018: impacto de la gestión de la continuidad del negocio«del Instituto Ponemon», cuanto mayor es la violación de datos, es menos possible que la organización tenga otra violación en los próximos 24 meses «. De hecho, las organizaciones que experimentan una violación de 100,000 o más registros reducen su probabilidad de experimentar otra violación de datos en ese período de tiempo de .279 a .015! Con el costo de una violación o ataque importante medido en cientos de millones de dólares, logrando una cultura de seguridad cibernética posterior a la violación sin Experimentar el trauma y los impactos de una violación puede ser un gran beneficio para la empresa.
Medición de la cultura de seguridad
La forma en que medimos y mejoramos la cultura de seguridad de una empresa comienza con una discusión sobre el grado en que los líderes, empleados, usuarios, proveedores e incluso clientes conocen y siguen regularmente las mejores prácticas efectivas de ciberseguridad en siete áreas clave.
1. Experiencia y estructura de la junta
Las juntas pueden desempeñar un papel clave en el establecimiento de prioridades para la gestión de riesgos de seguridad cibernética y garantizar que se aborden esas prioridades. Tener miembros de la junta que estén familiarizados con los problemas de seguridad cibernética o que hayan manejado el riesgo cibernético en sus carreras es sin duda una ventaja. La estructura del comité también puede desempeñar un papel clave. Las juntas generalmente tienen agendas repletas de temas obligatorios de gobernanza, por lo que establecer un comité de riesgos o, mejor aún, un comité de ciberseguridad para enfocarse en cuestiones cibernéticas puede ser un enfoque útil para lograr que el número limitado de miembros de la junta con experiencia cibernética se enfoque en el programa de ciberseguridad. El interés de la junta en el ciberdelincuencia impulsa las prioridades y la intensidad de la actividad en toda la organización y envía un mensaje claro a los líderes empresariales de que la gestión eficaz de los riesgos de ciberseguridad es una prioridad clave.
2. Compromiso y liderazgo del CEO
Una crítica a los CEO de las organizaciones de víctimas es que a menudo carecen de la experiencia y el enfoque para conducir de manera efectiva los programas de seguridad cibernética. Establecer una revisión de gestión de ciberseguridad presidida por el CEO de forma standard (al menos trimestralmente) es una declaración poderosa para los altos directivos de que los riesgos cibernéticos son lo más importante y lo suficientemente alto en las prioridades del CEO para asignar un tiempo significativo para comprender e impulsar el tema. La comunicación periódica del CEO que destaca el papel basic que desempeñan las prácticas de seguridad efectivas en el desempeño y el crecimiento a largo plazo del negocio es extremadamente valiosa para impulsar una fuerte cultura de ciberseguridad.
3. Compromiso y liderazgo de altos ejecutivos
En la mayoría de las empresas, la organización tecnológica, dirigida por el CIO, supervisa la ciberseguridad y desempeña un papel clave en la implementación de controles efectivos. Desde las redes hasta los dispositivos de los clientes y los centros de datos, la organización tecnológica a menudo es el brazo y la pierna del equipo de ciberseguridad para garantizar la cobertura holística y la eficacia de esos controles. El CIO establece el tono de la importancia de estos controles en relación con otras prioridades tecnológicas, como permitir la innovación empresarial y garantizar la confiabilidad de la aplicación. Tener buenas revisiones del programa de ciberseguridad con todo el equipo de liderazgo tecnológico, designar la ciberseguridad como un imperativo estratégico y dedicar tiempo aire significativo a los temas de ciberseguridad en las reuniones de empleados, es un buen comienzo.
4. Ecosistema vs. la empresa
Pocas empresas funcionan independientemente de proveedores, clientes, distribuidores o minoristas, proveedores de servicios externos y otros que no son empleados pero que, sin embargo, interactúan con los recursos tecnológicos de la empresa. Las políticas, las iniciativas de comunicación, las disposiciones contractuales y las evaluaciones de ciberseguridad son algunos de los mecanismos que se pueden usar para expandir las mejores prácticas de ciberseguridad en todo el ecosistema.
5. Conciencia y entrenamiento
Asegurarse de que todos en el ecosistema entiendan cómo aplicar las mejores prácticas de ciberseguridad cuando el uso de la tecnología es esencial. La capacitación anual para todos los usuarios es lo mínimo, pero esa capacitación debe actualizarse continuamente para mantenerse actualizada con el panorama de amenazas de ciberseguridad que cambia rápidamente y usar mensajes de liderazgo de alto nivel para subrayar su importancia para la organización. La capacitación personalizada para grupos especiales como desarrolladores de program, administradores de red y administradores de infraestructura también es valiosa para comunicar las mejores prácticas o detalles técnicos aplicables a esos roles. Un mecanismo de conciencia adicional que he usado en el pasado está enviando una sinopsis diaria de inteligencia cibernética al liderazgo outstanding. Este tipo de mensajes incluye tres o cuatro noticias importantes de seguridad cibernética cada día en términos que la empresa puede entender y que ofrecen un contexto sobre cómo los artículos se relacionan con la organización.
6. Post-Mortems con otras víctimas de ataque
Involucrar a las empresas que han sufrido un ataque importante es otra gran táctica para obtener información sobre nuevas amenazas y controles organizacionales. A menudo, estas discusiones pueden estar bajo un acuerdo de confidencialidad, pero las acciones correctivas o la confirmación de que la cobertura de sus controles ya es adecuada bien valen la pena.
7. Cerrar el bucle
Cada usuario que no sigue las mejores prácticas cibernéticas cuando utiliza los activos cibernéticos de la organización representa un riesgo para la empresa. Al responsabilizar a los individuos y las organizaciones por sus comportamientos cibernéticos, la organización se da cuenta de que las brechas de comportamiento de ciberseguridad serán transparentes para el liderazgo. Las pruebas de penetración periódicas son una herramienta esencial para proporcionar una verificación de la realidad y validar la cobertura y la eficacia de los controles de ciberseguridad. La presentación de los resultados de estas pruebas a través del liderazgo a la junta directiva garantiza que toda la cadena de gestión esté informada y puede ayudar a impulsar cualquier actividad de remediación requerida.
Las organizaciones que se comportan como víctimas de un ataque cibernético importante pueden evitarse ser víctimas de uno. Implemente una cultura posterior a la violación ahora. No esperes a que los actores de la amenaza lo hagan por ti.
Contenido relacionado:
Loaded Armor es un ejecutivo sénior de tecnología y CISO con una profunda experiencia en ciberseguridad y liderazgo y transformación de tecnologías de la información en grandes empresas globales. Loaded ha liderado con éxito la transformación de la tecnología de la información a gran escala a nivel mundial … Ver biografía completa
Más concepts
