En 2020, un mundo en vías de digitalización se vio acelerado por la COVID-19, que obligó a las empresas a habilitar fuerzas de trabajo remotas de la noche a la mañana, sin planificación ni preparación.
Este cambio exigía que los directores de seguridad de la información (CISO) garantizaran la seguridad digital en movimiento, reconociendo al mismo tiempo las amenazas nuevas y emergentes, garantizando la continuidad de la actividad empresarial en un lugar de trabajo que ahora cuenta con multitud de sistemas, redes, dispositivos, programas y procesos en marcha.
A medida que los ciberataques aumentan en número y sofisticación, es poco probable que 2021 sea diferente. Basándonos en lo que hemos visto hasta ahora, la pandemia persistirá durante mucho tiempo este año, y el lugar de trabajo virtualizado se expandirá a medida que crezcan las empresas.
Ambas situaciones implican una mayor carga de trabajo para los CISO y más imponderables. Nos dedicaremos a presentar áreas obligatorias en las que los CISO deberán seguir centrándose en 2021, para vincular mejor la ciberseguridad a las agendas empresariales.
1. Hacer de la ciberseguridad un punto permanente del orden del día
A medida que la transformación digital se ha convertido en el componente central de casi todos los procesos empresariales, la seguridad se ha convertido en una preocupación empresarial y, como resultado, la ciberseguridad debería estar firmemente en la agenda de la sala de juntas de todas las organizaciones.
El papel de un CISO ha evolucionado significativamente, pasando de centrarse únicamente en la tecnología a considerar también los riesgos empresariales. Deben comprometerse con sus homólogos de las unidades de negocio, explicándoles la importancia de contar con un sólido programa de ciberseguridad.
Los consejos y foros a nivel de dirección deben servir como medio esencial para implicar a las partes interesadas en el impulso de iniciativas estratégicas.
2. Mantener la inversión en seguridad en la nube
A medida que las empresas siguen migrando a la nube, los CISO deben prepararse contra más amenazas (específicas) -violación de datos, denegación de servicio, API inseguras y secuestro de cuentas, entre otras- simplemente porque la creciente cantidad de información en la nube atrae a la ciberdelincuencia.
La mayoría de los proveedores de servicios en nube incluyen servicios de seguridad integrados para la protección de datos, el cumplimiento de la normativa y la privacidad, funciones de control de acceso seguro para una gestión eficaz de los riesgos de seguridad y protección de la nube pública.
Aun así, es fundamental que las organizaciones construyan una estrategia sólida y permanente para el marco de gestión de riesgos, el diseño seguro de la nube, la gobernanza de la seguridad y la experiencia en la nube, ya que la mayoría de los incidentes se producen debido a la falta de una buena estrategia de seguridad en la empresa.
3. Aplicar una higiene informática básica
La ciberseguridad ya no es responsabilidad exclusiva de los equipos informáticos y de seguridad. La seguridad es tan fuerte como el eslabón más débil.
Por lo tanto, es fundamental garantizar que cada individuo sea consciente y acepte ser parte integrante del ecosistema mediante la comprensión y la práctica de la higiene informática, que proporcionará una postura de seguridad saludable.
La higiene informática es la primera línea de defensa que puede adoptar una organización identificando lo que quiere proteger, dónde se encuentran esas entidades y quién las gestiona. Responder a estas tres preguntas en un formato y un proceso estructurados es la esencia de la higiene informática.
4. Construir una seguridad sin fronteras
Los trabajadores remotos y distribuidos trabajan accediendo a recursos en la nube, desde el uso de plataformas de colaboración hasta aplicaciones esenciales relacionadas con el trabajo.
Los flujos de trabajo se producen principalmente en la red pública o en dispositivos no fiables, ampliando así el perímetro de la empresa más allá de los límites tradicionales de una organización.
La seguridad sin fronteras es la necesidad del momento para garantizar la protección mientras los negocios siguen funcionando desde las mesas de las cocinas y los sofás de los salones.
5. Crear una cultura de ciberseguridad
Una cultura de seguridad es una parte esencial de la cultura corporativa más amplia que anima a los empleados a tomar decisiones y llevar a cabo sus tareas diarias de acuerdo con las políticas de ciberseguridad de la organización.
Los directivos de las empresas deben fomentar una mentalidad organizativa que dé prioridad a la ciberseguridad, capacitando a los empleados con la formación adecuada para identificar e informar de las amenazas, crear comunidades y llevar a cabo sesiones de concienciación sobre ciberseguridad de forma creativa y divertida, y recompensar y reconocer a los empleados que contribuyan a una organización segura.
6. Modernizar la arquitectura de seguridad de la empresa
El panorama actual en la mayoría de las organizaciones está impulsado por los siguientes temas: la expectativa de tener acceso a los recursos de la empresa desde cualquier lugar, cualquier dispositivo y a distancia y la protección de la infraestructura IP, la capacidad de admitir soluciones en la nube y la autorización sin contraseña, la demanda de modelos de red automatizados, de cumplimiento continuo y basados en la confianza cero, y un cambio hacia la seguridad como código y la adhesión a los mandatos de privacidad de datos.
Estos temas están dictando los cambios que deben introducirse en la arquitectura de seguridad de la empresa.
7. Aprovechar al máximo las innovaciones
Las tendencias muestran un aumento de los ciberataques sofisticados que utilizan tecnología avanzada en las áreas de denegación de servicio, malware, phishing, crypto-jacking, inyección SQL, exploits de vulnerabilidades de día cero, watering hole attacks, desinformación en redes sociales y cuentas falsas.
Los hackers con menos conocimientos técnicos recurren a conjuntos de herramientas de pirateo estándar y fácilmente disponibles. Para ir un paso por delante de los ciberdelincuentes, las organizaciones deben invertir en soluciones que utilicen las tecnologías de ciberseguridad más recientes y emergentes, como la IA y el aprendizaje profundo, el análisis del comportamiento de usuarios y entidades, el blockchain, la detección de brechas de nueva generación y las soluciones de red de confianza cero.
Las organizaciones deben ser conscientes y estar atentas a los cambios que se producen a su alrededor, a las vulnerabilidades presentes en el sistema y a las innovaciones tecnológicas que se producen en el espacio de la ciberseguridad para ir un paso por delante de los ciberdelincuentes.
Cada organización debe encontrar su propio enfoque de la ciberseguridad
La prevención, la gestión de riesgos y la mitigación son esenciales, aunque no existe un enfoque único de la ciberseguridad. También debe tenerse en cuenta, en su caso, la escasez de presupuestos, la disponibilidad inadecuada de personal e infraestructuras con formación técnica y las soluciones heredadas.
Los CISO siguen teniendo que protegerse contra el comportamiento de los empleados, que puede ser descuidado, descontento o malintencionado. Aquí, una evaluación del riesgo empresarial y no solo del riesgo tecnológico hará más apreciable la magnitud de lo que está en juego.
El hecho de que la designación de CISO no existiera hace unos años es testimonio de la importancia de la seguridad informática en el mundo actual. Puede que la pandemia haya elevado drásticamente las apuestas para los CISO, pero la "pelota sigue estando con ellos".