¿Cómo pueden los CISO estar en todas partes?

Dado que proteger una empresa significa conocer cada rincón y cada vínculo con el mundo exterior, una política de seguridad eficaz se basa en una cartografía meticulosa de los perímetros que hay que cubrir. En la práctica, sin embargo, vigilar todas las zonas y agregar la información es una tarea ambiciosa. Las palancas para lograrlo son técnicas, organizativas y humanas.

Compartir

Organización, una de las piedras angulares de la ciberseguridad

Dado que ciberseguridad es un tema interfuncional, requiere tanto el control de lo que ocurre en todas las áreas de actividad de la empresa, como una visión de conjunto. Las herramientas y los procesos bien elegidos son los mejores aliados del CISO.

Crear un catálogo de soluciones

¿Con qué herramientas pueden contar los CISO en su día a día? La guía de higiene informática de la ANSSI constituye sin duda un excelente punto de partida para identificar las herramientas necesarias para alcanzar un nivel de seguridad "estándar" o incluso "reforzado".

Sobre esta base, el CISO puede seleccionar las herramientas más adecuadas para poner en marcha en cada una de las áreas bajo su protección:

  • herramientas de puntuación (como SecurityScorecard o Bit Sight) para filiales ;
  • una herramienta para evaluar la madurez de los proveedores de servicios en materia de gestión de ciberseguridad (como Cybervadis);
  • e-learning y pruebas para empleados...

Sean cuales sean las herramientas elegidas, la introducción de un auténtico catálogo de soluciones tiene la ventaja de armonizar las soluciones dentro de la empresa. Al presentarse como una "receta" a seguir, también anima a todas las partes interesadas a adherirse a ella, sobre todo a aquellas cuyos intereses podrían ser antagónicos.

Idear procesos y aprovechar la colaboración

Saber todo sobre todo: esta es una de las principales necesidades del CISO, que debe mantenerse constantemente al corriente de lo que hacen los equipos. Para ello, hay que poner en marcha procesos como la actualización del directorio de proveedores y mantenerinformado al CISO en tiempo real.

Pero, ¿basta con informar? La respuesta es no. Según el primer consejo de la edición 2021 de la guía del CEIDIG "Lo esencial de la seguridad digital para directivos", la seguridad es "mucho más sencilla y eficaz cuando se pone en práctica desde el principio de un proyecto ".

Por tanto, corresponde al CISO hacer propuestas para intervenir lo más arriba posible, tratando de establecer una colaboración fructífera con todos los departamentos (jurídico y RRHH, por supuesto, pero también las líneas de negocio). A modo de ejemplo, el CISO tiene un papel clave que desempeñar en el procedimiento de selección de proveedores: es la mejor manera de descartar a los proveedores de servicios que no cumplan los requisitos y de garantizar que se alcanza un nivel de seguridad uniforme en toda la superficie que debe protegerse.

La asistencia, una palanca esencial para proteger su empresa

Las herramientas y los procesos son buenos, pero conseguir que se adopten es aún mejor. Dado que ciberseguridad es asunto de todos en las organizaciones, su eficacia depende más que nunca del apoyo humano de que disponga el CISO. Sin embargo, hay que ganarse el apoyo y la buena voluntad de los empleados...

Los empleados son una amenaza y un potencial

Como es lógico, cada empleado representa una única puerta de acceso al sistema de información, con graves consecuencias para la empresa en caso de negligencia o error humano (paralización de la actividad, daño a la reputación, etc.).

Según una encuesta del IFOP publicada en noviembre de 2019 a petición de IDESCI ("Los empleados y la seguridad de los datos en el trabajo"), el 47% de los empleados ya han sido víctimas de phishing. Además, el 34% de ellos tiene acceso, almacena o comparte documentos sensibles o confidenciales (datos contables, documentos personales, etc.).

Al mismo tiempo, los equipos manifiestan su preocupación por ciberseguridad y su necesidad de apoyo. La encuesta revela que el 25% de los empleados no utiliza determinadas herramientas informáticas por temor a problemas de seguridad o confidencialidad. Además, el 86% de los empleados cree que gestionar la seguridad de los datos profesionales a título individual limitaría el riesgo de que la empresa fuera pirateada.

Soluciones para inculcar una cultura de ciberseguridad

Aunque el CISO no puede estar en todas partes, puede crear puntos de contacto con los empleados para animarles a participar en la protección de la organización. Como primer paso, ¿por qué no crear una oficina de seguridad en la que todos los empleados puedan notificar información sospechosa u obtener respuestas a sus preguntas?

Además de sensibilizar, los empleados necesitan recursos y herramientas, que deben ser intuitivos y fáciles de aprender y utilizar. Cuando se trata de intentos de phishing, por ejemplo, una solución sencilla y eficaz es integrar un complemento en las bandejas de entrada del correo electrónico para que todo el mundo pueda informar inmediatamente de cualquier correo sospechoso.

Tenacyla primera solución para una visión de 360

Diseñada por CISOs para CISOs, Tenacy es una solución SaaS adaptable y colaborativa para gestionar ciberseguridad. Crear cuadros de mando, recopilar datos, gestionar el cumplimiento y los planes de acción, supervisar el programa de seguridad y realizar evaluaciones... Tenacy ofrece a los CISO una visión de 360° de su ciberseguridad.

Póngase en contacto con nosotros