Conozca lo que los expertos en un foro del Wall Street Journal sugieren que las empresas deben hacer para mejorar su postura en materia de ciberseguridad.
Mantenerse al día con las ciberamenazas es un imponente problema logístico al que se enfrentan las pequeñas y medianas empresas (PYMES): los cibercriminales están cambiando constantemente sus tácticas. Si algo deja de funcionar o no proporciona suficiente retorno para su esfuerzo, los malos siguen adelante. Esto puede funcionar bien para el elemento criminal, pero ¿cómo se supone que los responsables de la ciberseguridad de una PYME deben saber cuándo ocurre esto y, lo que es más importante, si la plataforma de ciberseguridad de la empresa es adecuada?
VER: Una estrategia ganadora para la ciberseguridad (Informe especial de ZDNet) | Descargar el informe en formato PDF (ConsejoTecnologico.com)
The Wall Street Journal (WSJ) ofrece WSJ Pro Cybersecurity, un programa diseñado para pequeñas empresas. Además, el WSJ organiza un foro bianual que informa a los ejecutivos de la empresa sobre los riesgos cibernéticos existentes, que van desde la protección de datos y el cumplimiento de las normas, hasta la defensa de su negocio y la respuesta en caso de que surja una crisis.
Olivia Berkman, escribiendo para Financial Executives International, en su artículo Cybersecurity: Construyendo un Plan para lo Desconocido informa lo que los expertos en el foro más reciente sugieren que las organizaciones hacen para combatir un panorama siempre cambiante de ciberamenazas. Entre los panelistas que participaron en el foro se encontraban Steve Grobman (CTO de McAfee), Andy Ozment (CISO de Goldman Sachs) y Judith Pinto (directora general de Promontory Financial Group. El panel debatió las siguientes prácticas óptimas en materia de ciberseguridad.
Estructurar estratégicamente al personal de seguridad: Los panelistas trabajan para grandes empresas, por lo que su metodología puede no tener sentido desde el punto de vista del personal para las PYMES; dicho esto, el siguiente enfoque puede ser trabajado en directrices o directivas independientemente del tamaño de la empresa:
- La organización es la primera línea de defensa según Ozment. «Estamos incrustados en los procesos; somos parte de la conversación desde el primer día. Y estamos haciendo IT operacional.»
- La evaluación de riesgos comprende la segunda línea de defensa y consiste en un equipo independiente de ciberseguridad que informa directamente al CTO sobre cualquier incidente. Su independencia les proporciona una perspectiva única.
- La auditoría interna es la tercera línea de defensa y el «peine fino» cuando se trata de evaluar las capacidades de una organización para gestionar los riesgos de la ciberseguridad.
«Ozment se da cuenta de que no todas las organizaciones pueden permitirse este modelo», escribe Berkman. «Sugiere que, si una organización tiene un CISO, le dé al menos dos líneas de defensa: una línea que esté dentro de la construcción de TI y otra línea independiente que esté fuera de esa construcción».
Facultar a los empleados para que informen: Berkman escribe que Ozment ofrece dos visiones de gestión de los usuarios, la de un ladrillo o la de un censor. Si faltan ladrillos, entonces la pared se desmorona, y él siente que siempre faltarán uno o más ladrillos. Es mejor considerar a los usuarios como censores; sólo se necesita uno para señalar un problema.
Mida las métricas correctas: El panel sugiere centrarse en dos métricas: el número de incidentes y el número de sistemas vulnerables. En cuanto al número de incidentes, Ozment utiliza un sistema de información de tres niveles, en el que cada nivel tiene un número determinado de incidentes y cuándo debe pasar al siguiente nivel. Ejemplos de los niveles de información podrían ser la gestión interna, el comité de riesgos internos y el consejo de administración de la empresa.
Cuando se trata de vulnerabilidades, los miembros del panel sugieren que se haga un seguimiento de lo siguiente:
- El número de vulnerabilidades en los sistemas orientados a Internet, como los servidores web o los servidores de correo electrónico.
- El número de vulnerabilidades no parcheadas en un momento dado.
- El porcentaje de hardware y software que se acerca al final de su vida útil (es decir, cuando un fabricante deja de dar soporte con actualizaciones.
Planifique para la pérdida de todo: «Nada funciona» rara vez se planifica según los miembros del panel; la idea es que algo (correo electrónico o teléfono fijo) siempre funcionará. «Planificar para el peor de los casos no es suficiente», menciona Pinto. «¿Cómo seguirías comunicándote? ¿Cómo se coordina con su consejo externo o con terceros críticos que le ayuden a responder?»
Berkman continúa diciendo, afortunadamente, que los responsables de las empresas están combinando la planificación de la ciberseguridad-respuesta con la continuidad del negocio, y añade: «La continuidad del negocio, señala Pinto, siempre ha contemplado los peores escenarios, como la pérdida de un edificio o la pérdida de tecnología, y debería incluirse en la planificación de la ciberseguridad y la planificación de la respuesta».
VER: Plan de recuperación en caso de desastre y continuidad de las operaciones (Tech Pro Research)
Todavía no ha llegado el momento
Berkman saca a relucir un buen punto: No existe una forma real de medir eficazmente el éxito de la postura de ciberseguridad de una empresa, pero los productos existen, pero son intensivos en trabajo, requieren expertos y son caros. Eso los hace difíciles de vender a la alta gerencia.
Sin embargo, hay un «sin embargo». «Algunas empresas los han adoptado (productos que miden el éxito) y, como cualquier herramienta, si los adoptas, realmente inviertes en ellos y los usas de manera consistente, puedes obtener mucho valor de ellos», concluye Ozment.
Boletín informativo de consejotecnologico.com
Refuerce las defensas de seguridad de TI de su organización manteniéndose al día de las últimas noticias, soluciones y mejores prácticas en materia de ciberseguridad. Entregado los martes y jueves