El informe de Verizon de 2020 proporciona una estrategia general de éxito para los CISO y los líderes de seguridad de la información

Es de vital importancia no descuidar los principios fundamentales, la mayoría de las organizaciones todavía no tienen como objetivo un cumplimiento exitoso de seguridad de datos. Lo que no saben es el inmenso valor que tiene llegar a comprender estos bloques de construcción fundamentales.

Para ello, Verizon refleja en su informe del 2020 los 7 principios básicos a seguir para una seguridad de datos de calidad:

1. El éxito se logra por diseño, no por suerte.
2. Todos los controles deben ser efectivos.
3. Los controles tienen dependencias y funciones con los sistemas de control, no en aislamientos.
4. Para que los controles sean sostenibles, su entorno de control debe ser también sostenible.
5. Los indicadores de desempeño operativo deben medirse e informarse.
6. La entrada, la actividad y la salida de todos los procesos centrales deben ser consistentes y predecibles para respaldar la detección, prevención y corrección oportuna de las desviaciones del desempeño.
7. Se debe realizar una mejora continua hacia la madurez adecuada de procesos y capacidades.

En 2020, la atención se ha centrado en el CISO y en el uso de estas herramientas para adoptar un enfoque sostenible a largo plazo de la seguridad de los datos. Esa visión de futuro requiere estrategia para tener éxito, y la estrategia es un trabajo duro, que se debe trabajar constantemente. 

Nombraremos tres ideas principales a destacar:

Cambio de la tecnología a las personas

Los equipos de seguridad tienen que administrar más soluciones de seguridad constantemente. Esa es una carga cognitiva sustancial para cualquier equipo, especialmente para uno que lucha continuamente con la brecha de habilidades. Las empresas están tratando de consolidar proveedores y soluciones, lo que supone un aumento del coste económico.

Aunque estas herramientas automatizan controles de seguridad difíciles o imposibles, no funcionan por sí mismos. Se requiere tiempo y experiencia para implementar, ajustar, administrar y actuar sobre la información proporcionada o para garantizar que la tecnología esté ofreciendo la protección deseada. Con tantas herramientas para administrar, el valor de la automatización se pierde a medida que los analistas dedican su tiempo a administrar la tecnología y no el riesgo.

Al desarrollar una estrategia de seguridad se debe crear un enfoque centrado en las personas. Esto significa invertir dinero y tiempo en el desarrollo de las habilidades del equipo de seguridad y aumentar el número de empleados. Además es recomendable crear experiencias que mejoren el modelo comercial, los objetivos comerciales y las metas de seguridad. Y por último, dedicarle esfuerzo a menos áreas será más beneficioso que agregar más herramientas. 

Equilibrar el trabajo estratégico con las necesidades tácticas inmediatas

Parte imprescindible del trabajo de TI es reducir la “extinción de incendios”, ¿y cómo lo conseguimos? En primer lugar es importante abordar los problemas inmediatos que enfrenta un equipo de seguridad. Sin embargo, también se necesita una buena planificación estratégica a fin de implementar los proyectos que ayudarán a avanzar en los objetivos de seguridad a largo plazo y así reducir la extinción de incendios.

Equilibrar el trabajo estratégico y táctico es un área de crecimiento para los CISOs. El enfoque y los incentivos en TI tienden a estar en la ejecución táctica más que en la planificación estratégica a largo plazo. Un obstáculo adicional para el éxito de un CISO con la planificación a largo plazo es la permanencia media corta de alguien en ese puesto. 

Entonces, ¿cómo podemos romper el ciclo? Asegurandonos de que todo el trabajo de seguridad, desde las ganancias rápidas hasta el desarrollo de políticas, respalda el entorno de seguridad de los datos. Verizon enumera los cinco elementos de ese entorno:

1. Modelo de negocio de seguridad
2. Estrategia de seguridad
3. Modelo operativo
4. Marco de seguridad
5. Programa de seguridad

Para que el entorno de seguridad de datos esté completo tiene que garantizar que el programa de seguridad se alinee con el modelo operativo, y a su vez, el modelo operativo garantiza que el programa de seguridad se adhiera al marco de seguridad. El desafío del líder ejecutivo de seguridad es comprender cada uno de los cinco componentes y asegurarse de que estén alineados y se refuercen entre sí. Al hacerlo, el entorno de seguridad de los datos tendrá una dirección definida y objetivos bien conocidos. Es más fácil decirlo que hacerlo, por eso el CISO debe dedicarle esfuerzo continuo.

Definir las condiciones de victoria

Cada proyecto o actividad en un entorno de ciberseguridad necesita un propósito y un resultado definidos. A menudo, se implementa una solución tecnológica para satisfacer una necesidad táctica inmediata o responder a un evento de seguridad urgente. Pero no es el estado final deseado de un sistema de seguridad, sino temporal. Definir las condiciones de victoria proporciona un objetivo necesario para desarrollar una estrategia. En la ciberseguridad para saber cómo ganar y cuáles son las reglas se proporciona un contexto para desarrollar una estrategia para lograr la victoria. 

Cada empresa, y su CISO correspondiente, miran hacia el futuro y describen su propio entorno de seguridad de datos exitoso y que funciona bien, acorde con su política de seguridad. El líder de seguridad debe diseñar el mecanismo de puntuación mediante el cual se mide el éxito y luego determinar el camino para llegar allí. 

Por último, un cuadro de mando no es suficiente para desarrollar una estrategia. También es necesario comprender las reglas, o limitaciones, antes de formular un plan.