La serie Vectra Masked CISO ofrece a los responsables de seguridad un lugar donde exponer los mayores problemas de seguridad y asesorar a sus homólogos sobre cómo superarlos.
Lo he visto innumerables veces. Otro CISO entra en una reunión de la junta y se lía con las estadísticas que muestran su estado de cumplimiento. Genial, cumplen el 75% de la norma ISO 27001, pero ¿qué le dice esto a nadie sobre su nivel de riesgo?
El problema del cumplimiento de la ISO
La verdad es que puede pasarse años implantando los 114 controles de la norma ISO 27001, y un atacante decidido podría saltarse sus defensas en unas pocas horas. Como los adversarios actualizan continuamente sus TTP (Tácticas, Técnicas y Procedimientos) y engañan a los empleados falibles, ningún grado de cumplimiento cubrirá todas sus bases. Entonces, ¿por qué los CISO se aferran a las cifras de cumplimiento como a una vieja manta de seguridad?
Los consejos de administración tienden a responder bien a las señales claras de progreso, que son notoriamente difíciles de medir en seguridad. Pero debemos cambiar la conversación. En la ecuación clásica de gestión de riesgos, Riesgo = Amenaza x Vulnerabilidad, no tengo ningún control sobre la motivación, la habilidad o los recursos del actor de la amenaza. Podría dedicar todos mis recursos a una estrategia de cumplimiento exhaustiva y aun así no tener éxito.
Ser "hilo conductor
En lugar de ello, los enfoques deben estar ORIENTADOS A LAS AMENAZAS. Esto significa identificar sus activos más valiosos, quién es susceptible de atacar a su organización, y priorizar las actividades para mitigar los riesgos identificados. Los CISO deben medir la seguridad en función de su capacidad para descubrir si han sido vulnerados, utilizando métricas significativas como el tiempo medio hasta la vulneración al probar la seguridad, o el tiempo medio para detectar amenazas. A continuación, los CISO pueden trabajar para reducir estas cifras a un nivel acordado.
Para obtener estos datos, son esenciales los ejercicios exhaustivos de los equipos rojos. Los equipos rojos ponen a prueba la tecnología, el personal y los procesos, buscando puntos ciegos y encontrando formas poco ortodoxas de vulnerar su seguridad. Así es exactamente como actuaría un actor de amenazas capaz. De este modo se obtienen datos muy valiosos sobre lo que ha pasado desapercibido, para que los CISO puedan priorizar en consecuencia y reducir el tiempo medio de detección de una brecha. Pero actualmente, pocas organizaciones realizan ejercicios de equipo rojo, alegando que no son lo suficientemente maduras. Esto es música para los oídos de un atacante, y no le van a dar el respiro necesario para madurar antes de atacar. Los ejercicios de equipo rojo deben llevarse a cabo cuando la madurez no permita priorizar mejor la mitigación de las amenazas del mundo real.
No hay ningún otro sector que invierta tanto sin medir objetivamente los resultados. Uno no conduciría un coche si no lo sometiera a pruebas de choque, así que ¿por qué desplegar una estrategia de seguridad sin ver si se puede eludir? Incluso los reguladores son ahora conscientes de este hecho, con programas como TIBER-EU, que exigen a los bancos realizar pruebas de equipo rojo para garantizar que van más allá de una simple línea de base de cumplimiento.
Sensibilización en la próxima reunión del Consejo de Administración
En su próxima reunión del consejo de administración, mantenga las cifras de cumplimiento como una nota a pie de página. En su lugar, anime a las partes interesadas a pensar en el impacto empresarial de una brecha junto con la probabilidad de que los atacantes se dirijan a su empresa. Además, discuta la probabilidad de que se produzca un ataque con éxito. Al director general le importará si aparece en la portada de The Times cuando su empresa se vea afectada por un ransomware. Lo mismo le ocurrirá al director financiero si no puede operar mientras los sistemas están caídos.
En lugar de intentar demostrar que se cumple la normativa y que la ejecución de los proyectos va por buen camino, aproveche las reuniones para debatir sus puntos débiles y presentar al consejo opciones para mitigarlos, presionando para que se apruebe el presupuesto necesario. En el dinámico entorno de amenazas actual, es posible que los planes tengan que cambiar a mitad de año, por lo que es crucial que el consejo comprenda los riesgos que está aceptando al optar por no invertir.
Este blog apareció originalmente en The Register.