Los CISO discuten la ciberseguridad en el entorno COVID-19


Un panel de discusión electronic patrocinado por la Serie de Aprendizaje Digital Sloan CIO del MIT cubrió una variedad de temas, desde la protección de los trabajadores remotos hasta la suplantación de identidad y la forma de gestionar el riesgo.

Bloqueo de contraseña

Imagen: vicky_81, Getty Visuals / iStockphoto

Se pregunta a los CISO qué tan segura es su organización contra los ataques cibernéticos. Sin embargo, en lugar de tratar de determinar eso, Mars &#39CISO dijo que prefiere reformular la pregunta, y con una nota de precaución.

VER:
Seguridad de confianza cero: una hoja de trucos (PDF gratuito) (TechRepublic)

«No lo es, qué tan seguros estamos, sino qué tan listos estamos para responder». Andrew Stanley, quien fue uno de los tres participantes de CISO en la mesa redonda del MIT Sloan CIO Electronic Studying Series el miércoles sobre «Mantener nuestras organizaciones ciberseguras en el entorno COVID-19. ¿Qué tan seguros estamos?»

Sin embargo, incluso con una gran defensa en profundidad, es probable que surjan problemas «y socaven todo el gran trabajo que hemos hecho», dijo Stanley. Entonces, se trata de cuán bien un CISO puede anticipar eventos de seguridad «y, en última instancia, su capacidad de responder y restaurar».
Si bien eso puede generar discussion con el directorio de una organización, agregó: «He descubierto que eso … ha sido en última instancia exitoso para mí».

El panel también estuvo compuesto por Katie Jenkins, CISO de Liberty Mutual, y Danny Allan, CTO de Veeam Software.

El moderador Keri Pearlson, director ejecutivo de ciberseguridad de la Sloan College of Management del MIT, les preguntó a los panelistas qué factores incluyen al evaluar qué tan segura es su organización.

«No creo que haya una visión definitiva sobre cuán seguros estamos», respondió Jenkins, y dijo que su enfoque es hacer tanto una autoevaluación como una evaluación independiente. Tiene que haber una visión holística que incluya una variedad de elementos, incluida la seguridad de sus socios y las personas con las que hace negocios, dijo.

Esta es una pregunta que generalmente proviene de una junta directiva o un CEO, dijo Allan. «La respuesta uncomplicated es que nunca estamos tan seguros como me gustaría que estuviéramos porque hay tanta complejidad y tantos componentes para estar seguros».

VER:
Política de mejores prácticas del certificado SSL (TechRepublic Top quality)

Allan dijo que hay dos preguntas que le gusta usar: ¿Estamos más seguros que ayer? «En última instancia, la seguridad es un proceso iterativo, por lo que siempre estamos buscando el» sí «en eso». Dijo que también trata de evaluar si su equipo de seguridad está siendo proactivo o reactivo. «Nunca quieres ser reactivo», dijo.

La pandemia ha cambiado la lente, pero no la posición de la seguridad de Liberty Mutual, dijo Jenkins. «Nos ha puesto en una posición de evaluar rápidamente nuevos tipos de riesgo que podrían cambiar nuestra postura de seguridad», por ejemplo, el riesgo de terceros y la seguridad de plataformas de colaboración como Zoom, dijo.

Su equipo cambia sus ejercicios contra el phishing cada trimestre, por lo que el último fue enviar a los empleados un correo electrónico con la marca de Zoom, pidiéndoles a los empleados que actualicen sus credenciales. Si lo hicieron, se les notificó que habían fallado en el ejercicio, dijo Jenkins.

Los ejercicios contra el phishing han sido «muy controvertidos para nuestro equipo», dijo Stanley. «Una parte de mí quería aprovechar la crisis» y mostrar a los empleados que ahora son más vulnerables, dijo. Pero «en la cultura de Marte, eso es profundamente alienante «, y el liderazgo sintió que period injusto y explotador, dijo.

Si bien el equipo de seguridad normalmente realiza estos ejercicios cada seis semanas, Stanley dijo que esperaron 10 semanas debido a la pandemia, «como resultado, vimos un aumento en las vulnerabilidades». Pero, dijo, también encontraron una disposición a cambiar los comportamientos como resultado.

En respuesta a una pregunta sobre las métricas que usan los líderes de seguridad, Allan dijo que su organización united states Marco de seguridad cibernética del NIST, que aboga por medir, proteger y responder.

VER:
Ataque de ransomware: por qué una pequeña empresa pagó el rescate de $ 150,000 (TechRepublic)

«No existe una métrica única que me brinde consuelo», dijo Jenkins. «Observamos la tasa de fracaso de los ejercicios de phishing, pero pueden ser engañosos». Dijo que es importante «retirar los detalles» para ver si, por ejemplo, dentro de la población whole, resulta que las nuevas contrataciones están fallando con más frecuencia «. Eso me dice que necesitan capacitación adecuada para solucionarlo. Miro la historia detrás de la métrica para entender lo que está sucediendo «.

La gestión del riesgo en una organización implica una discusión sobre cuánto dinero quiere gastar la organización, dijo Stanley. Eso inevitablemente lleva a tratar de cuantificar cuánto obtendrá la organización a cambio de su gasto, dijo. «Todavía discutimos y debatimos si debemos llegar a un punto de cuantificación y ponerle una cifra en dólares. Me resisto a eso. Si alguien me empuja a cuantificarlo, será de una compañía de seguros».

El riesgo es casi imposible de cuantificar, coincidió Allan. «Todos quieren el mismo resultado y que la organización tenga un buen desempeño, por lo que si puede ponerse de acuerdo sobre ese marco y proporcionar conciencia y transparencia, entonces puede construir sobre &#39¿qué hacemos a continuación?&#39 &#39&#39, Dijo. aceptación del riesgo «.

Pero si un líder de seguridad puede proporcionar transparencia sobre qué y dónde están los riesgos para las líneas de negocio, eso puede ayudar a la organización a determinar lo que está dispuesto a aceptar, dijo. «La seguridad no debería estar tomando esa determinación, sino las líneas de negocio».

Ver también



Enlace a la noticia initial