CIBERSEGURIDAD

El papel cambiante del CISO en tiempos inciertos

COVID-19 ha alterado drásticamente el mundo de la ciberseguridad y ha agravado la amenaza que se cierne sobre las empresas que cambian cada vez más activos en línea, más allá de la seguridad del firewall. En esta nueva realidad, donde los ciberataques son constantes y las barreras de seguridad porosas, la garantía para mantener la seguridad de las organizaciones ahora está más allá de la simple prevención.

La pandemia ha demostrado ser un momento embriagador para los actores de amenazas, ya que las empresas han tenido que poner en marcha rápidamente la infraestructura de trabajo remoto para respaldar a sus fuerzas de trabajo distribuidas. Esto ha dejado una amplia oportunidad para que se descubran nuevas debilidades, mientras que los ciberdelincuentes han explotado adicionalmente la ansiedad que sienten las poblaciones en torno al COVID-19, dejándolas vulnerables a los ataques de ingeniería social. Aunque la pandemia puede estar disminuyendo en ciertas regiones, los equipos de seguridad ahora también tienen que navegar por cómo los dispositivos de trabajo remoto se están devolviendo a las redes de la empresa, manteniendo la seguridad.

Dado que las organizaciones son tan vulnerables a los ciberataques como lo han sido siempre, se ha puesto la responsabilidad y las expectativas en los líderes técnicos para mantener la seguridad de sus empresas. La ciberseguridad ya no puede verse como un costo de mantenimiento, sino como una parte integral del presupuesto de la empresa para mantener las operaciones. Los directores ejecutivos y los miembros de la junta ahora deben enfrentar la realidad de que un ciberataque exitoso puede arruinar toda la trayectoria ascendente de su empresa.

A raíz de esta crisis de ciberseguridad, los CISO han asumido un papel fundamental, actuando como generales en la primera línea del campo de batalla cibernético. Esto es cierto incluso en el ámbito del estado-nación, ya que el espionaje empresarial y otras estrategias de ciberataque contra las industrias occidentales se atribuyen cada vez más a actores extranjeros hostiles como China, Rusia e Irán. Más allá de la geopolítica, los sindicatos criminales bien organizados están llevando a cabo ataques de alto perfil contra las empresas para obtener enormes ganancias financieras, utilizando métodos que solo están creciendo en escala y sofisticación a medida que buscan debilidades.

Mientras que el trabajo se ha vuelto más difícil para los equipos de seguridad en entornos de trabajo remotos, los malos actores tienen muchas opciones para elegir entre puntos de acceso remoto y activos en la nube vulnerables o mal configurados, así como la TI en la sombra que quedó fuera del alcance de los equipos de seguridad. Para proteger a sus organizaciones en este clima, los CISO deben ser proactivos en la detección de amenazas y la investigación de incidentes. Más allá de esto, ahora también es fundamental contextualizar los ataques y proporcionar información más allá de la hora y la fecha de un incidente.

Los CISO deben poder saber de dónde vino el ataque, quién es el responsable y por qué la empresa fue un objetivo. Lo más importante es que deben saber si todavía están bajo ataque. Es esta información sobre la que las empresas ahora se mantienen seguras.

El arte de este proceso radica en la investigación. Las investigaciones ahora deben revelar la causa y la naturaleza de una amenaza, los indicadores relacionados para prevenir futuros ataques y, cuando sea posible, los actores y motivos detrás de la intrusión. Los CISO que no puedan descubrir y proporcionar este contexto no podrán mantener a sus organizaciones seguras en medio de un panorama de amenazas cada vez más peligroso. Es vital que los equipos de seguridad inviertan ahora en los recursos que necesitan para poder encontrar esta información, ya sea personal nuevo o tecnologías de vanguardia.

La inteligencia empresarial es clave para la investigación

Al igual que los robos físicos, los ciberataques dejan rastros y es en estos rastros donde se puede identificar a los atacantes. En un entorno digital, estas serán las huellas dejadas en la infraestructura cibernética (dominios, IP, certificados, etc.) que tendrán pistas vitales sobre la naturaleza de un ataque. Estas huellas proporcionan una base sobre la que se puede construir la investigación. Sin embargo, estos rastros por sí solos no solo adivinarán quién ha apuntado a una organización.

Más allá de las pistas de infraestructura cibernética, los equipos de seguridad deben expandirse más allá de su ritmo tradicional si son el atributo que ha atacado a su organización. En la actualidad, los equipos de seguridad operan en departamentos aislados y solo se comunican con el liderazgo más amplio de la empresa cuando la organización se encuentra bajo una amenaza activa.

Esta segmentación evita que los equipos de seguridad construyan una visión global de un ataque, que siempre tendrá una contextualización en el estado de la empresa en general. En lugar del simple razonamiento de causa y efecto que subyace a la prevención, la atribución exige una comprensión más amplia de las circunstancias de una organización. Por ejemplo, los equipos de seguridad deberán averiguar por qué los atacantes eligieron a esta empresa para atacar. ¿Qué hizo que este negocio fuera un objetivo tan atractivo en términos de valor y vulnerabilidad? ¿Quién identificó primero esas vulnerabilidades y cómo las vieron antes de que los empleados de la empresa pudieran reparar el problema?

Los piratas informáticos a menudo se dirigen a varias organizaciones, por lo que los equipos de seguridad también deberán mirar más allá de su propia empresa para comprender dónde y cómo se pudo haber originado el ataque.

La atribución instala confianza

A medida que las organizaciones se presentan como peones involuntarios en los conflictos cibernéticos de los estados nacionales y los grupos ciberdelincuentes se vuelven más sofisticados, las demandas impuestas a los CISO y sus equipos solo aumentarán. Las brechas de alto perfil seguirán apareciendo en los titulares a un ritmo constante y el liderazgo de la empresa buscará que el CISO describa la base de seguridad de la organización en tiempos inciertos.

Si bien los CISO tendrán que establecerse como líderes confiables en la atribución de amenazas, habrá variables que ayudarán a determinar su éxito. Por un lado, la capacidad de su equipo, la calidad del personal que disponen y las soluciones tecnológicas que emplean. Por otro lado, la voluntad del liderazgo de la empresa para reconocer la importancia de la ciberseguridad y qué tan bien se pueden integrar los equipos de seguridad en el panorama empresarial más amplio.

A medida que las empresas continúen digitalizando y moviendo sus activos en línea, y los entornos cibernéticos se vuelvan cada vez más peligrosos, se aprenderán estas lecciones; la pregunta es cuán dolorosamente.

Contribuido por Fabian Libeau, VP EMEA, RiskIQ

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar