Frente a un número cada vez mayor de ciberamenazas sofisticadas, los CISO necesitan multiplicar las capas de seguridad para proteger los sistemas de información contra los riesgos de compromiso.
Una proliferación de herramientas tecnológicas que añaden complejidad operativa a las dificultades cotidianas de la gestión del riesgo cibernético.
A ello se añade un marco reglamentario cada vez más denso, con exigencias de cumplimiento cada vez más estrictas, como el DORA, la Ley de Ciberresiliencia, el RGPD y próximamente el NIS 2. Todos estos textos imponen ahora obligaciones que ya no se limitan a la aplicación de medidas de seguridad, sino que afectan también a aspectos de documentación y trazabilidad.
En este contexto, la gestión de ciberseguridad puede resultar complicada para el CISO, y una mala gestión puede acarrear costes adicionales para la empresa. ¿Cuáles son estos costes? ¿Cómo pueden anticiparse y evitarse?
UNA GESTIÓN CIBERNÉTICA CADA VEZ MÁS COMPLEJA Y COSTOSA
Nuevos requisitos
Mientras que en el pasado la protección de los sistemas se reducía a menudo a simples medidas preventivas, la diversidad y sofisticación de las amenazas actuales exigen estrategias más elaboradas.
Como explica Baptiste David, Jefe de Estrategia de Mercado de Tenacy : "Los ciberdelincuentes no sólo están demostrando una gran capacidad de innovación, sino que también parecen tener cada vez menos límites éticos. Esto es evidente cuando se ven instituciones como la Cruz Roja o los hospitales atacados en plena crisis del COVID-19 ".
Se trata de un cambio de paradigma que exige que las empresas se adapten. Mientras que hace 10 o 15 años las empresas adoptaban un enfoque minimalista, por ejemplo instalando un antivirus sin ninguna medida de seguimiento, esto ya no es suficiente hoy en día. El software antivirus, entre otras muchas herramientas, requiere ahora documentación y seguimiento, y debe formar parte de una estrategia más amplia en ciberseguridad. Baptiste David insiste en este punto: " Cumplir es hacer, pero también es informar, y también es hacer un seguimiento y documentar ".
En un contexto de escasez de personal y bajo el peso de estas limitaciones normativas, dirigir ciberseguridad parece una misión peligrosa. En el mejor de los casos, el resultado es una visión fragmentada del sistema de información y, en el peor, un aumento del riesgo para la empresa.
Un montón de soluciones sin sentido
El primer efecto de una mala gestión es llevar a una inversión significativa en soluciones de seguridad que, en lugar de ofrecer una protección adecuada, simplemente se apilan unas sobre otras.
Es habitual invertir en varias soluciones de protección antimalware con la esperanza de beneficiarse de una doble barrera, cuando en realidad estas herramientas podrían entrar en conflicto y reducir la eficacia de la detección.
Riesgos de incumplimiento
Cumplir la normativa significa documentar y mantener las soluciones ciberseguridad utilizadas en la empresa. Sin una buena gestión cibernética, es difícil evaluar en qué punto se encuentra una organización en términos de cumplimiento normativo.
Este es especialmente el caso de los operadores de importancia vital (OIV), que están obligados a cumplir la Ley de Planificación Militar (LPM ) o se enfrentan a sanciones. Con este fin, la ANSSI y otros departamentos gubernamentales pueden realizar controles de seguridad para garantizar la correcta aplicación de las normas. En caso de incumplimiento, el operador afectado recibirá un requerimiento para que cumpla la normativa. Si el incumplimiento persiste, puede dar lugar a sanciones económicas que oscilan entre 150.000 y 750.000 euros.
La perspectiva de perder negocio
En un caso más extremo, el incumplimiento puede llevar a la pérdida de la certificación y, por extensión, a la pérdida de socios comerciales. Por ejemplo, la norma ISO 27001 se exige para las licitaciones. La pérdida de estas homologaciones puede dificultar la captación de nuevos clientes, al tiempo que compromete las relaciones comerciales existentes.
Daños a la reputación
Las multas o sanciones públicas también dañan la reputación de una empresa. De hecho, la mala prensa sobre problemas en ciberseguridad puede provocar una pérdida de confianza entre clientes, socios e inversores. Esto ocurre sobre todo después de una violación de datos importante.
Dependencia excesiva de una sola persona
Las empresas tienden a depender en gran medida de su CISO para gestionar la ciberseguridad de sus sistemas de información. Sin embargo, esta dependencia puede plantear un problema si no se establece ningún mecanismo de supervisión, dejando a la empresa vulnerable en ausencia o indisponibilidad del CISO.
Por ello, la importancia de una buena gestión radica en la implantación de una herramienta de seguimiento centralizada como Tenacy : al no depender de una sola persona, permite compartir la información dentro de los equipos. Esto puede dar lugar a planes de acción, indicadores y una hoja de ruta que ofrezca una dirección clara. Si un CISO abandona la empresa o si se incorporan nuevos miembros al equipo, una gestión estructurada facilita la transferencia de competencias y la integración de estos nuevos recursos.
¿CÓMO ANTICIPAR Y LIMITAR LOS COSTES DE GESTIÓN?
Definir sus objetivos y prioridades
Cada empresa, en función de su estructura, misión y prioridades, tiene necesidades específicas en términos de ciberseguridad. Para algunas, la prioridad puede ser proteger los puestos de trabajo, mientras que para otras puede tener más que ver con la gestión de identidades y accesos.
La identificación precisa de las necesidades de la organización permite determinar las áreas prioritarias y dirigir los recursos. Por tanto, los CISO deben plantearse una serie de preguntas.
- ¿Cuáles son los riesgos asociados a los sistemas de información actuales?
- ¿Cómo medir la eficacia de las medidas de seguridad?
- ¿Cuáles son las herramientas y los indicadores para vigilar, detectar y responder a los incidentes de seguridad?
- ¿Están los empleados suficientemente formados y son conscientes de las amenazas potenciales?
- ¿Cómo se alinean los objetivos de seguridad con los objetivos generales de la empresa?
Una vez establecidos los objetivos, deben ser validados por la dirección y las funciones y responsabilidades de cada parte deben establecerse en unaGISP (Política General de Seguridad de la Información).
Basar la cibergestión en hechos
Un sistema de información es un entorno en constante evolución, lo que obliga a los CISO a adaptarse constantemente.
Como explica Baptiste David, " los CISO no deben fiarse exclusivamente de sus instintos o convicciones. Aunque las lecciones aprendidas de experiencias anteriores sean importantes, hay que tener en cuenta que lo que ha funcionado en el pasado en un contexto determinado no siempre es transponible a otra empresa".
Por eso es importante adoptar un enfoque basado en hechos y datos.
Si tomamos el ejemplo de una solución antivirus, no basta con comprarla. Se necesita :
- garantizar su despliegue;
- controlar su eficacia en tiempo real ;
- introducir indicadores claros para evaluar su cobertura funcional y el nivel de protección en la empresa, como el número de ataques registrados o el número de ataques de malware detenidos.
Ahora más que nunca, los CISO necesitan utilizar herramientas para gestionar las acciones de su empresa ciberseguridad. Para ello, la solución Tenacy ofrece una serie de funciones que permiten supervisar los objetivos y las acciones de seguridad en tiempo real, mediante cuadros de mando específicos.