El CISO ante los datos: ¿qué organización debe conservar?

En ciberseguridad, los datos son esenciales. Sin ellos, es imposible que el CISO factualice su posición de seguridad y sepa qué postura adoptar. Mientras que los departamentos de RRHH y finanzas tienen sus propios sistemas de información, ciberseguridad suele trabajar con los recursos de que dispone. Para ser eficaz, ¿qué datos hay que recopilar? ¿Cómo bajarlos al terreno? He aquí una visión metodológica del tema.

Compartir

Recogida interna de datos por el CISO

Si el tema de los datos es tan complejo en ciberseguridad, es porque la naturaleza y la fuente de los datos son muy heterogéneas. No obstante, es posible identificar algunos ámbitos generales de reflexión.

 

Construir su propia base

  • "¿Qué información necesito?
  • "¿Cómo puedo conseguirlos?"

Estas dos preguntas son sin duda las que todo CISO debe plantearse para recopilar los datos pertinentes. El ejercicio consiste en recurrir a los elementos básicos de ciberseguridad (el directorio de la empresa, los activos de reglementaciones , etc.), pero también en detectar los datos específicos que hay que recopilar, revisando la lista de perímetros que hay que proteger y las fuentes que se encuentran en ellos (servidores, aplicaciones, pasarelas VPN, etc.). Los datos abarcan una amplia gama de campos, desde la información sobre amenazas hasta el estado de la seguridad en un lugar físico, pasando por la forma en que los indicadores están interconectados.

Pero el ejercicio no acaba aquí. O mejor dicho, no empieza ahí, en la medida en que lo primero que hay que hacer para tratar correctamente los datos es construir su propio reglamentación utilizando la base de conocimientos disponible (reglementaciones, mejores prácticas...), seleccionando y recopilando los requisitos.

 

¿Cómo se recogen los datos?

Se trata de consolas y herramientas de detección de determinados comportamientos (descarga de herramientas inadecuadas, navegación por sitios no seguros, etc.). Por desgracia, la tecnología no es suficiente, por ambas razones.

En primer lugar, los datos generados por las herramientas no cuentan ni contarán nunca toda la historia, ya que parte de la información está en manos únicamente de individuos (empleados, altos directivos, etc.). Dado que los datos se recopilan principalmente de forma manual, dependen en gran medida de la buena voluntad de los equipos que deben contribuir, por ejemplo rellenando archivos Excel.

Siendo la dimensión humana la principal dificultad, también representa una interesante área de mejora para el CISO. Qué puede ser más eficaz que salir al terreno y hablar de las cosas?

En una fábrica, por ejemplo, el director conoce a la perfección sus líneas de producción, pero a menudo ignora por completo los riesgos. El diálogo es, por tanto, una buena forma de recopilar datos que merezca la pena procesar: aprovechando los conocimientos del director sobre el funcionamiento de la planta, el CISO recopila información valiosa en origen y crea un vínculo para organizar la transmisión de datos.

 

Los CISO también deben interesarse por los datos externos

Los datos no son sólo datos internos Para evaluar su nivel de seguridad, los CISO deben ser capaces de mejorar su práctica profesional colaborando con sus homólogos y manteniéndose al día de las últimas amenazas.

 

En ciberseguridad, la supervisión y la conexión en red son imprescindibles

Hoy en día, no faltan oportunidades para que los CISO se reúnan. CESIN ofrece una conferencia anual abierta a todos, así como reuniones de trabajo trimestrales y un grupo de debate en línea reservado a los miembros. CLUSIF, por su parte, ofrece la oportunidad de participar en grupos de trabajo mensuales, además de asistir a las cinco conferencias y publicaciones anuales.

Para los CISO que no quieran unirse a un club, los eventos organizados a lo largo del año por los expertos de ciberseguridad, como el FIC o el Assises, son otra forma de mantenerse al día sobre una amplia gama de temas: nuevas amenazas, mejores prácticas, las últimas herramientas disponibles en el mercado, etc.

En general, merece la pena explotar cualquier fuente de información, incluidos los seminarios web o los blogs ofrecidos por consultorías especializadas o editores de software. Corresponde a cada CISO probar y seleccionar las ferias, asociaciones y eventos susceptibles de proporcionar la información que más necesita.

 

Integración de la información sobre ciberamenazas

Según el último barómetro corporativo de CESIN ciberseguridad , la Inteligencia de Amenazas está en alza. De hecho, el 29% de las empresas ha integrado un sistema CTI para hacer frente a la oleada de ciberdelincuencia dominada por el ransomware 2020.

¿Qué herramientas debe utilizar para invertir en inteligencia sobre ciberamenazas? La inteligencia sobre ciberamenazas puede adoptar varias formas:

  • acceso a plataformas SaaS de pago por uso (por ejemplo, FireEye), con la opción de acceder a la información de diferentes maneras (por sector, por grupo de atacantes, etc.);
  • suscribirse a los boletines de alerta CERT, incluido el CERT gubernamental;
  • suscribirse a boletines más avanzados, en los que los ataques se desglosan utilizando el marco Kill Chain;
  • suscripción a feeds técnicos, para recibir información formateada en STIX

Aunque la mayoría de estas soluciones no son gratuitas, cualquier CISO puede integrar la Inteligencia de Amenazas a su propio ritmo, y con poco o ningún presupuesto. Se trata de organizar y automatizar la monitorización de las redes sociales, así como de utilizar herramientas gratuitas. Por ejemplo, MISP es una plataforma de inteligencia de código abierto.

 

¿Cómo puede el CISO bajar los datos?

En ciberseguridad, los datos tienen que dar muchas vueltas. Una vez recopilados, comprendidos, procesados, formateados e interpretados, deben transmitirse en su nueva forma al terreno para que puedan seguirse las instrucciones de seguridad. ¿Las normas de conducta o las tareas deben comunicarse por escrito? ¿Oralmente? No hay una respuesta correcta, ya que algunas personas serán más receptivas a una nota informativa, mientras que otras preferirán una explicación verbal. Por tanto, corresponde al CISO mostrar empatía para identificar el modo de comunicación que mejor se adapte a sus interlocutores. Sin embargo, hay dos buenas prácticas que merece la pena mencionar.

  • Adaptación a las herramientas de equipo

En el día a día, el personal operativo ya utiliza su propia herramienta ITSM. Debido a su resistencia al cambio, rara vez adoptan fácilmente una herramienta adicional. Así que, siempre que sea posible, lo mejor es utilizar las herramientas ya existentes para comunicar la información. Así será más fácil consultarla.

  • Creación de comités

La creación de un comité tiene la ventaja de combinar la comunicación oral y escrita (a través de un soporte como un cuadro de mandos o una presentación). Aunque el formato "comité" se utiliza mejor con el ejecutivo, es igual de útil con los equipos operativos. Es una forma eficaz tanto de transmitir como de obtener información. También es una buena forma de concienciar a todos de sus responsabilidades con respecto a los datos que deben comunicar, y de recompensar a los equipos por su contribución a la protección de la empresa.

Tenacy crear un flujo de datos

Tenacy es la primera plataforma SaaS que adopta la forma de un sistema de información de seguridad. Diseñada por CISOs para CISOs, facilita la evaluación de su posición de seguridad y la adaptación de sus acciones, al tiempo que transmite la información pertinente a sus equipos operativos.

Póngase en contacto con nosotros