¿Puede su organización obtener una ciberseguridad razonable? Sí, y así es como


Las expectativas de ciberseguridad son vagas y eso tiene que cambiar si existe alguna posibilidad de acercarse a una cantidad razonable de ciberseguridad.

Ciberseguridad y concepto de nerwork seguro.

Imagen: Getty Visuals / iStockphoto

Un axioma de TI: «¿Sabe dónde están sus datos?» ha sido eclipsado por algo más responsable: «¿Están sus datos razonablemente seguros?» Eso es lo que las empresas deben determinar para protegerse en caso de un ataque de ciberseguridad.

«Con las filtraciones de datos en los titulares diarios y los piratas informáticos que desarrollan métodos innovadores para penetrar las defensas cibernéticas, las empresas deben contemplar qué postura de &#39seguridad razonable&#39 implementar para cuando, no si, ocurre una amenaza», dijo Rick Lazio, ex miembro de la Cámara de Representantes de EE. de Representantes y vicepresidente senior de Alliantgroup, y Mike Davis, CISO de Alliantgroup, en su artículo Riesgo de ciberseguridad: ¿Qué implica una postura «razonable» y quién lo dice? en CIO Dive.

Las leyes están vigentes, pero …

Lazio y Davis dijeron que los legisladores y reguladores están respondiendo al creciente número de ciberataques exigiendo a las empresas que cumplan con ciertos estándares de ciberseguridad para lograr una seguridad razonable. Sin embargo, «sin un estándar definido y coherente para usar como referencia, las empresas se quedan vagando por el desierto cuando se trata de cumplir con estas leyes y regulaciones a menudo ambiguas».

Dado que la ciberseguridad y su regulación son objetivos móviles, las empresas tienden a copiar lo que están haciendo otras organizaciones para proteger los activos digitales, con la esperanza de que se considere lo suficientemente bueno. Lazio y Davis tienen preocupaciones reales sobre este enfoque, y agregan: «Con el aumento de los litigios por violación de datos, esta práctica es nada menos que riesgosa, ya que las empresas permiten que un juez o jurado determine la razonabilidad de su postura de riesgo de ciberseguridad después de que ha ocurrido un incidente «.

VER: Lista de verificación: evaluación de riesgos de seguridad (TechRepublic Top quality)

Los dos autores citan el Violación de datos de Equifax 2017 como ejemplo de por qué es una mala concept. Después de que se calmó el polvo, los accionistas demandaron a la agencia de informes crediticios con el pretexto de que se cometió un fraude en relación con la violación de datos, específicamente que los funcionarios de la compañía hicieron múltiples declaraciones falsas o inexactas con respecto a:

  • Vulnerabilidad de sus sistemas internos al ciberataque
  • cumplimiento de las leyes de protección de datos y las mejores prácticas de ciberseguridad y
  • supuestas declaraciones sobre revisiones periódicas y actualizaciones de la plataforma de ciberseguridad de la empresa.

«El juez en el caso de Equifax consideró que las acusaciones eran creíbles y negó la moción de Equifax de desestimar el fallo», dijeron Lazio y Davis. «El juez dictaminó que el caso debe seguir adelante para profundizar en las medidas de ciberseguridad que estaban vigentes en el momento de la violación».

El punto que Lazio y Davis están tratando de hacer es que los funcionarios responsables de la empresa deben asegurarse de que lo que anuncian en seguridad es lo que realmente está en su lugar.

Descubra qué es una ciberseguridad razonable

Lazio y Davis sugieren que un buen lugar para comenzar es determinar qué se consideraría una falta de seguridad razonable. «Este enfoque facilita que una organización mapee los esfuerzos de protección de la seguridad de los datos (incluida la privacidad y los recursos) a un marco conocido».

Un buen primer paso, dijeron, es utilizar el Centro de seguridad de World wide web Controles de seguridad críticos como fuente autorizada. «Uno solo necesita mapear la definición de &#39razonable&#39 a cualquiera de las 20 especificaciones para dar fe de su validez y utilidad».

VER: Los profesionales de la ciberseguridad deberían pasar de los indicadores de compromiso a los indicadores de comportamiento (TechRepublic)

Los controles críticos de seguridad del Middle for Net Security son un conjunto recomendado de acciones para la defensa cibernética que proporcionan formas específicas de detener los ataques. Desde el sitio world-wide-web: «Uno de los principales beneficios de los controles es que priorizan y se centran en un número menor de acciones con altos resultados».

Lazio y Davis dijeron que los controles de seguridad críticos del Middle for Net Security ofrecen un beneficio de dos por uno:

  • Una fuente autorizada reconocida para mapear su entorno de seguridad y cuantificar los riesgos y
  • una metodología y un enfoque reconocidos para demostrar y proporcionar una postura de seguridad razonable y defendible.

El uso de los controles críticos de seguridad del Heart for Net Security también ayuda a simplificar la selección de un marco de riesgo necesario para evaluar el entorno de TI de la empresa, determinar las brechas y proponer soluciones.

Lazio y Davis sugieren los siguientes marcos del Instituto Nacional de Estándares y Tecnología (NIST):

  • Marco de gestión de riesgos: Una fuente de gestión de riesgos empresariales que integra actividades de gestión de riesgos y seguridad en el ciclo de vida del desarrollo del sistema. El enfoque basado en el riesgo para la selección y especificación del manage de seguridad considera la efectividad, la eficiencia y las limitaciones debidas a las leyes o regulaciones aplicables.
  • Marco de seguridad cibernética: Un conjunto de estándares, pautas y mejores prácticas para ayudar a las organizaciones a administrar y reducir sus riesgos de ciberseguridad de una manera que complemente los procesos de ciberseguridad y gestión de riesgos existentes.

Desventaja mínima

Lazio y Davis creen que hay mucho que agradar sobre los controles críticos de seguridad del Heart for Net Safety. Desde el principio, los controles son definitivos y procesables, lo que proporciona una postura de riesgo de ciberseguridad saludable.

Otra cosa que le gustará a la alta dirección es el apoyo que brindan los controles críticos de seguridad durante la resolución de conflictos. Lazio y Davis concluyeron: «La implementación del CIS CSC mostrará el debido cuidado en cualquier lugar de conflicto al demostrar que la organización está practicando la debida diligencia cibernética, incluso sin una postura de riesgo completamente minimizada».

Ver también



Enlace a la noticia authentic