Incidentes inaceptables de seguridad de la información: un estudio de caso de tecnologías positivas
Positive Technologies desarrolló y construyó su estrategia de defensa a través de los esfuerzos conjuntos del Director de Seguridad de la Información y los representantes de la alta dirección. A medida que el negocio evolucionó, la empresa pasó con éxito de una gran cantidad de riesgos cibernéticos abstractos a tres incidentes clave de seguridad de la información inaceptables:
1. Introducir código malicioso en el producto. Los ataques a la cadena de suministro son un peligro potencial para todos los desarrolladores de software. Los atacantes pueden obtener acceso a la infraestructura de los clientes después de inyectar código malicioso en los productos de la empresa de TI. Esto afectará negativamente la reputación de la empresa.
2. Robo de fondos de cuentas corrientes. Perder cualquier cantidad de dinero debido a un ciberataque es un acontecimiento desagradable. El hecho mismo de que haya sido robado sugiere que los atacantes ahora tienen acceso a cuentas corrientes, lo que significa que pueden robar mayores cantidades de fondos en el futuro que podrían haberse utilizado para lanzar nuevos productos, etc. Además, si se retiran cantidades críticas para el negocio, no será posible realizar negocios. El año pasado, Positive Technologies logró un evento inaceptable mediante una recompensa por errores: transferir fondos desde una cuenta de la empresa.
3. Fuga de información sensible. Cada empresa determina de forma independiente qué datos se consideran sensibles. Para Positive Technologies, proteger los resultados de las auditorías de los clientes era una prioridad.
Idealmente, la dirección de la empresa puede formular eventos inaceptables en cualquier momento. Al mismo tiempo, el papel de los servicios de seguridad de la información se limita a proporcionar conocimientos técnicos y de ninguna manera determinar qué es inaceptable para la empresa.
Cómo establecer la comunicación adecuada con un CISO
En el camino hacia la construcción de una ciberseguridad eficaz, Positive Technologies ha preparado algunos consejos en forma de preguntas y respuestas. Los directores ejecutivos adjuntos pueden utilizar estas sugerencias para comprender mejor qué preguntas hacerle al CISO, y puede estar seguro de que las respuestas del CISO son similares a las de este artículo.
1. ¿Cuáles son las responsabilidades del CISO para con la empresa?
La responsabilidad del CISO no reside en los informes de respuesta a incidentes y los resultados de las métricas de SLA, sino en tener un inventario de incidentes inaceptables en toda la empresa, incluidos posibles vectores de ataque, pérdidas calculadas y un plan de acción para reforzar la protección de objetivos y sistemas críticos.
2. ¿Cómo comprueba el servicio de seguridad de la información que la empresa esté protegida frente a incidentes inaceptables?
Los sistemas de información certificados, el cumplimiento de los requisitos reglamentarios y los estándares internacionales no garantizan un alto nivel de seguridad. Information Security emplea expertos del mercado para evaluar la seguridad en forma de simulacros cibernéticos o recompensas por errores. Estos expertos buscan formas de provocar acontecimientos inaceptables. Si los expertos no pueden encontrar estos caminos una y otra vez, los gerentes pueden estar seguros de que no pueden suceder cosas inaceptables.
3. ¿Puede la seguridad de la información mantener segura a la empresa ahora? ¿Qué cambiará en un año?
Hoy en día, cualquier empresa puede ser pirateada y pueden ocurrir incidentes inaceptables (la rápida digitalización y el aumento de las conexiones con otras organizaciones significa que los ataques a través de socios también son posibles). Para cambiar esto, necesitamos desarrollar objetivos de seguridad de la información para prevenir incidentes inaceptables y realizar evaluaciones de seguridad independientes de forma regular. El CISO desarrolla un plan de desarrollo de procesos de ciberseguridad que se implementa para garantizar que no ocurran incidentes inaceptables dentro de un año (u otro período de tiempo específico).
4. ¿Cómo depende la seguridad de una empresa de la inversión financiera? ¿Qué tan efectiva es la inversión de nuestro equipo en ciberseguridad?
El nivel de seguridad de una organización no siempre depende de las inversiones en seguridad de la información. La automatización ubicua y las crecientes capacidades de los atacantes garantizan que se produzcan más incidentes cibernéticos en el futuro. Si bien no existe una relación directa entre invertir y establecer una ciberseguridad eficaz, desde una perspectiva empresarial, debería centrarse en lo más importante: evitar que se produzcan incidentes inaceptables. En este caso, la efectividad de la inversión depende de la capacidad de prevenir las actividades operativas y estratégicas de la empresa.
La comunicación exitosa entre la seguridad de la información y la alta dirección es un componente importante de una ciberseguridad eficaz, pero no es el único. En un entorno digital agresivo, también debe colaborar con la comunidad de seguridad de la información. Sólo se puede detener a los ciberdelincuentes si trabajamos juntos, por lo que es importante utilizar listas de verificación revisadas por pares, mejores prácticas y metodologías actuales, y ser parte de la comunidad.