Una perspectiva de CISO: 5 consideraciones claves para defender su negocio contra amenazas cibernéticas

En el mes de octubre tuve la oportunidad de unirme a Tim Orchard y James Hatch de BAE Systems Applied Intelligence en un webcast sobre cómo defender su empresa contra las amenazas cibernéticas.

El componente tecnológico para mitigar el riesgo cibernético es un factor crítico. Como Oficial Principal de Seguridad de la Información (CISO por sus siglas en ingles) de una organización global, y debido al Mes de Concientización sobre Seguridad Cibernética del Departamento de Seguridad Nacional de los EE. UU., quería compartir estas perspectivas con usted.

En el mundo digital globalizado, las responsabilidades del gobierno y del sector privado cambian continuamente y se superponen cada vez más. Las organizaciones y las empresas privadas están trabajando en adquirir más protección, aplicación e inteligencia.

Lo que significa defender un negocio también cambia y las organizaciones deben hacer tres cosas:

  • Enfóquese en lo correcto a través de la inteligencia informática y la gestión de riesgos para comprender de dónde vienen los riesgos
  • Robusto y protegido: tener sistemas de tecnología que son difíciles de penetrar y difíciles de dañar
  • Ser operacionalmente activo para poder tratar los problemas cuando surjan

En respuesta a estos objetivos, describiré cinco componentes críticos que pueden ayudar a su organización a lograr medidas sólidas de ciberseguridad.

1. Comprender el riesgo cibernético subyacente

En Willis Towers Watson, nuestros consultores y corredores cibernéticos trabajan con empresas de todo el mundo para comprender los riesgos cibernéticos y trabajar para comprender de qué se trata ese riesgo subyacente. Hay dos riesgos principales de los que buscamos defendernos, que son tan fundamentalmente diferentes que debemos estar preparados con respuestas para cada uno:

  • Un ataque cibernético externo, donde un hacker o una persona externa está entrando y tratando de comprometer los sistemas corporativos, estos son a menudo de naturaleza maliciosa y van desde la denegación de servicio hasta la integridad de datos o sistemas comprometidos, hasta un intento de hackeo combinado con actividad de ingeniería social.
  • Una violación a la privacidad, a veces como resultado de una amenaza externa, pero a menudo impulsada por un empleado interno que trabaja dentro de la red. Cuando son causados internamente son a menudo accidentales pero, a veces, también pueden ser maliciosos.

El primer paso en la defensa cibernética activa es comprender adecuadamente estas amenazas, su capacidad de protegerse contra ellas y cuantificar la exposición al riesgo que enfrenta. Esto permite que la inversión y la actividad se prioricen de manera efectiva.

2. Aumentar la protección de su organización desde adentro hacia afuera

Estar protegido generalmente significa tener un perímetro de red configurado para protegerse contra amenazas externas, pero también debemos empezar a pensar en incluir esto en el interior. Tenemos que estar protegidos en todas partes, porque muchas amenazas de hoy son internas y externas.

3. Desarrollar una fuerza de trabajo cibernética

La capacitación, en muchos casos, debe ser adaptada e incorporada a la cultura de la empresa para construir -y mantener- una fuerza de trabajo cibernética.

Este es un gran desafío porque estamos tratando con personas y nuestros sistemas no siempre están tan centrados en las personas como deberían estar. Entonces, para comprender el riesgo y determinar qué nivel de control y mitigación necesitamos, primero debemos comprender cuán protegida debe estar nuestra organización, cuán receptivos debemos ser y qué significan esos riesgos para nosotros. La capacitación, en muchos casos, debe ser adaptada e incorporada a la cultura de la empresa para construir -y mantener- una fuerza de trabajo cibernética.

Como especialistas en seguridad, comprendemos cuáles son las amenazas, de quién o de dónde provienen, cuán probable es que suceda el riesgo y qué impacto tendrá en nuestra organización. Esto requiere cierta cuantificación, un área en la que la seguridad es menos madura. La forma tradicional de cuantificar las cosas es mirar al pasado: ¿cuál es el impacto y cómo se relaciona hoy? Esto no funciona muy bien cuando hablamos de seguridad cibernética.

Si bien no tenemos un historial de violaciones y eventos que podamos seguir durante un período largo de tiempo, el intercambio de datos y el creciente papel del gobierno están empezando a cambiar esta situación. Además, necesitamos cuantificar mejor el impacto de una violación y considerar esto de manera integral entre los grupos de partes interesadas a medida que cambian los impactos de las personas, así como el papel y las regulaciones del gobierno. Willis Towers Watson posee una herramienta propia de cuantificación del riesgo cibernético que ayuda a las organizaciones a cuantificar este riesgo.

4. Lo elemental es más difícil, más importante y no hay la suficiente información

Comprender el coeficiente intelectual Cibernético de su organización es una de las primeras defensas en esta batalla

Comprender la administración de riesgos: hacer lo elemental para proteger a su organización contra el riesgo cibernético es cada vez más difícil porque el entorno en el que trabajamos es más complejo. Afortunadamente, estamos heredando algunas herramientas nuevas que son enormes aceleradores para comprender mejor los desafíos tecnológicos. Lo elemental es más difícil, más importante y definitivamente no es suficiente. Ya no vivimos en un entorno en el que hacer las cosas básicas es suficiente para el riesgo de ciberseguridad. Necesitamos dominar los conceptos básicos y adoptar las nuevas tecnologías para mitigar mejor el riesgo cibernético.

5. No podemos eliminar el factor humano

Los hackers, los actores maliciosos, están desestructurados en su enfoque. No están interesados en la tecnología que tenemos para que ellos puedan entender cómo podríamos atrapar su ataque. Están interesados en entender cómo trabajamos para poder esquivar nuestra defensa. Comprender el coeficiente intelectual Cibernético de tu organización es una de las primeras defensas en esta batalla.

La inteligencia artificial es el futuro de la protección avanzada. Existen capacidades que pueden mirar más allá de las reglas y responder al elemento humano, porque al comienzo de una amenaza siempre hay una persona, por lo que no se puede sacar el factor humano de la ecuación.

Nuestras organizaciones son complejas, pero nuestras capacidades aún no están allí. Necesitamos ir más allá del entrenamiento de conciencia de ciberseguridad y las pruebas de phishing. Las organizaciones también necesitan tener una forma de medir los comportamientos de los empleados que crean vulnerabilidades y abordar aquellas brechas de talento y habilidades que serán necesarias a medida que la inteligencia artificial se vuelve más prevalente.

Aprenda máse sobre ciberseguridad integral de Willis Towers Watson.


 

Matt Palmer es Director de seguridad de la información en Willis Towers Watson.

Categories: Ataques Ciberneticos, Español, Tecnología | Tags: ,

Leave a Reply

Your email address will not be published. Required fields are marked *