4 IMPERATIVOS DE SEGURIDADpara ayudar a los CISO a mantenerse un paso adelante

IDG Communications, Inc. | Contenido patrocinado

1

Introducción¿Podría la descripción del trabajo de un director de seguridad de la información (CISO) ser más amplia? Incluso antes de que la pandemia global afectara el lugar de trabajo, ya se solicitaba a los CISO y sus equipos de seguridad la protección de sistemas y datos en entornos de nube y móviles, administrando el riesgo para trabajadores, socios, proveedores y cadenas de suministro cada vez más digitalizadas.

Los líderes de seguridad deben hacer todo esto sin desviar la atención de lo que Bret Arsenault, CISO de Microsoft, denomina “la parte del trabajo común, pero la más importante”. Estas son las tareas de higiene de seguridad básica (administración de parches, administración de identidad y dispositivos, detección de amenazas y respuesta ante incidentes) que ocupan gran parte del día de un analista de seguridad. Mientras las organizaciones se adaptan a las amplias directivas de trabajo remoto que se implementaron rápidamente a medida que se afianzaba la crisis de salud mundial, la administración de operaciones “de rutina” se ha vuelto cualquier cosa, menos rutinaria.

Los CISO ya hacían gran parte de este trabajo pesado con menos recursos, debido a la escasez continua de habilidades de ciberseguridad. A mediados del año 2019, se estimaba que la fuerza de trabajo mundial tenía 4 millones de vacantes en cargos de seguridad de TI, y 51 % de los profesionales de seguridad señalaban que sus organizaciones se enfrentaban a un riesgo moderado a extremo debido a la escasez de personal1.

A medida que los ciberataques aumentan en términos de volumen y variedad, un entorno de amenazas amplificado requiere un enfoque más proactivo y predictivo para prever y protegerse contra las amenazas desconocidas y cada vez más sofisticadas. Los cambios (y golpes) continuos en el panorama de seguridad requieren que los CISO estén en modo de aprendizaje constante, reflexionando sobre lo que funciona y lo que no y ajustando las estrategias y tácticas.

Entrevistamos a cinco líderes de seguridad para escuchar sus puntos de vista con respecto al estado actual y futuro de la ciberseguridad. Lo que surgió fueron cuatro imperativos para ayudar a los CISO a mantenerse un paso adelante en tiempos cada vez más inciertos.

1(ISC)2, 2019 Cybersecurity Workforce Study

Nuestro panel de expertos en seguridad

22

Bret Arsenault, MicrosoftComo CISO de Microsoft Corp., Bret Arsenault dirige un equipo global de profesionales de seguridad con un enfoque estratégico en la protección de la información, la evaluación, la concientización, la gobernanza y la continuidad del negocio empresarial.

Bob Bragdon, CSOComo editor fundador de la marca de medios de comunicación CSO, Bob Bragdon dirige todas las operaciones de toda la línea de productos de CSO. Trabaja estrechamente con los directores de seguridad, los organismos de cumplimiento de la ley y los proveedores de seguridad para proporcionar un liderazgo de opinión que permite identificar, interpretar y abordar los desafíos de los entornos complejos de seguridad y administración de riesgos.

Chase Cunningham, ForresterEl Dr. Chase Cunningham, analista principal de Forrester, orienta las iniciativas de clientes relacionadas con la planificación y optimización del centro de operaciones de seguridad (SOC), las operaciones contra amenazas, el cifrado, la seguridad de la red y los conceptos y la implementación de confianza cero. Es jefe en retiro de la Marina de los Estados Unidos con más de 19 años de experiencia en operaciones ciberforenses y ciberanalíticas.

Chris Dimitriadis, INTRALOTChris Dimitriadis es CEO de grupo y miembro ejecutivo de la junta directiva de INTRALOT Group, además de encargarse de supervisar la dirección estratégica de la empresa. También creó la administración de riesgos empresariales, la innovación, la ciberseguridad, la privacidad, la transformación tecnológica y los marcos de protección de la propiedad intelectual de INTRALOT.

Scott Foote, PhenomenatiScott Foote es un ejecutivo sénior y empresario con más de 30 años de experiencia en la industria de la tecnología, tanto en empresas de Fortune 500 como en empresas emergentes. Scott es CISO y director general de Phenomenati, que ofrece servicios de CISO virtuales, los que incluyen consultoría táctica y estratégica.

Para escuchar audios exclusivos de nuestros expertos, visite https://innovation.csoonline.com/msft-security-lessons-learned/p/1 >

3

1. Trate la seguridad como un deporte colectivo

Las iniciativas que afectan a toda la empresa requieren esfuerzos de toda la empresa, con la consideración y participación de todas las áreas. La seguridad empresarial no es diferente, ya que requiere la alineación entre los equipos de seguridad y otros equipos empresariales y funcionales, además de la participación proactiva de todos los empleados para proteger los datos, reducir el riesgo y lograr los objetivos empresariales.

En las organizaciones que aún ven la seguridad como un departamento independiente, este aspecto de “deporte colectivo” de la seguridad es más fácil en la teoría que en la práctica. Algunos líderes empresariales incluso pueden percibir la seguridad como el “departamento del no”, cuya agenda basada en el riesgo se percibe como obstructora de objetivos empresariales o de la implementación de nuevas iniciativas tecnológicas.

“No cabe duda de que aún existe una desconexión, ya que en muchas organizaciones aún vemos silos”, señala Chris Dimitriadis, CEO de grupo de INTRALOT Group y expresidente de la junta directiva de ISACA. “Esto no solo es entre seguridad y TI, sino también entre seguridad y los otros departamentos”.

Si los equipos de seguridad y tecnología no trabajan bien juntos, hay una tendencia a las acusaciones cuando algo sale mal, señala Bob Bragdon, vicepresidente sénior y editor de CSO. Eso limita la eficacia de ambos grupos.

Un obstáculo aún más amplio se extiende a todos los trabajadores. A pesar del énfasis en la capacitación de concientización, los empleados continúan tomando riesgos de seguridad involuntarios, cayendo en tácticas engañosas o simplemente no siguiendo las prácticas establecidas para la protección de la información y los dispositivos que usan a diario. Es una frustración constante, indica Bragdon. “No solo se trata de correos electrónicos de phishing”, señala. “También es lo que el personal hace con sus equipos portátiles. ¿Los dejan en el asiento trasero del automóvil?”

4

Seguridad basada en equipos más inteligente en 2020Estas son tres formas de mejorar la mentalidad y la cultura de seguridad de su organización:

1. Menos tecnicismos, más contexto empresarial.

Los CISO que se han ganado un puesto junto a los líderes sénior, incluida la junta, han aprendido a hablar el idioma de los negocios. “Hablan sobre cómo la seguridad permite realizar negocios, y lo hacen con un enfoque en la estrategia” señala Chase Cunningham, analista principal de Forrester. “No integre la seguridad a la ecuación. Hábleles sobre ventas: implemente una estrategia y luego ejecute, y tendrá hitos en el camino. Y luego explique que la seguridad funciona exactamente igual: usted protege la empresa para ganar más clientes y hacer crecer el negocio. Si puede aplicar su giro contextual a la narrativa de esa forma, ellos lo entenderán”.

2. Alinéese con TI en todos los aspectos de la pila tecnológica.

Seguridad y TI deben ser “completamente inseparables”, señala Bragdon.Esto requiere la participación temprana de la seguridad en las nuevas iniciativas tecnológicas. “En seguridad, tenemos una antigua analogía que dice que es más barato construir por adelantado que pintar para encubrir un hecho” indica Bragdon. “Asegúrese de interactuar con los líderes empresariales y de TI para entender cómo usan la tecnología y cómo planean usarla en el futuro, de modo que pueda desarrollar la seguridad de cualquier iniciativa desde el comienzo”.

5

3. Equilibre la seguridad y la productividad para permitir el negocio.

Puede que cierto grado de tensión entre los equipos de negocios, de TI y  de seguridad sea positivo, ya que obliga a un acuerdo que conduce a un mejor equilibrio. “Acepte el conflicto y gestiónelo de manera constructiva y profesional”, señala Scott Foote, director general y CISO de Phenomenati. “Enseñe a las personas que no buscamos una victoria absoluta en ninguna dirección. Lo que buscamos son decisiones equilibradas entre costo-beneficio y riesgo”. Cunningham agrega: “La zona óptima está en torno a la continuidad y a la no interrupción de las operaciones. Es mejor cuando somos los facilitadores, no los detractores”.

6

2. Use la IA y la automatización para abordar la complejidad y la brecha de habilidades

Las soluciones de automatización e inteligencia han demostrado ser herramientas valiosas, que mejoran la productividad de la TI hasta en un 23 %.2 Estas tecnologías también desempeñan un rol importante en la garantía de una seguridad sólida, a la vez que ayudan a llenar el vacío constante de talentos de seguridad mediante la automatización de las funciones repetitivas y el procesamiento de altos volúmenes de datos.

“La automatización puede quitarle un peso de encima a un equipo de seguridad en las áreas donde existe un mayor desgaste del personal, el que se produce por tener que observar un panel de vidrio las 24 horas del día, los 7 días de la semana” explica Bragdon. “Es un camino corto para perder empleados”.

En este sentido, la IA y la automatización inteligente desempeñan roles críticos al permitir que el personal se centre en actividades de mayor valor. “Aprovechar los enfoques basados en la IA libera al capital humano para hacer el trabajo que necesita”, señala Cunningham. “No necesita 1.000 personas que caven zanjas. Necesita una persona que sea muy buena cavando zanjas y una excavadora potente. Eso es lo que la IA hará por usted”.

La IA y las tecnologías de automatización pueden ponerse a trabajar de inmediato en la detección de amenazas y la protección ante estas, donde el avance y la respuesta ante los vectores de ataque presentan un desafío importante. “La única manera de hacer esto con eficacia fue creando tecnología que nos ofreciera una capacidad mucho mejor de detectar escenarios de riesgo en un conjunto de señales diverso”, indica Arsenault.

Microsoft ha convertido las billones de señales de telemetría a escala de nube que recopila a diario de sus servicios, soluciones y socios en Microsoft Intelligent Security Graph, que sirve como base para realizar análisis de macrodatos, modelos de machine learning y otra tecnología de IA para potenciar la detección,

2 The Hackett Group, “World-Class IT: Redefining Performance in a Digital Era”, noviembre de 2019

7

protección y respuesta ante amenazas en tiempo real en los productos y servicios de Microsoft. Estas capacidades benefician a las propias operaciones de seguridad de Microsoft y a sus clientes y socios, ya que los aprendizajes se comparten en todo el ecosistema de Microsoft.

“Ahora tenemos este conjunto de datos muy diverso que puede correlacionar y del que puede obtener información, algo que era imposible incluso hace cinco años”, señala Arsenault.

Otra de las áreas que obtiene beneficios de la automatización es la respuesta ante incidentes. Por ejemplo, el equipo de seguridad de Microsoft automatizó el control de incidentes en etapas tempranas y redujo a la mitad los índices de tiempo promedio de resolución, incluso cuando el volumen de incidentes se duplica año tras año.

“Hemos liberado a los analistas de SOC de nivel 1 para que puedan hacer un trabajo más interesante de nivel 2 y nivel 3”, señala Arsenault.

Luego está la administración de eventos y el análisis de datos en tiempo real, una tarea históricamente minuciosa y demorosa. “Durante muchos años hemos tenido sistemas de administración de eventos que recopilan registros de varias partes diferentes de un ecosistema y luego intentan correlacionarlos”, señala Dimitriadis. “Con la evolución de la IA, podremos correlacionar grandes cantidades de información de manera más eficaz y mucho más rápida”.

La integración es una consideración fundamentalAl igual que con todas las herramientas de seguridad, los equipos de seguridad deben implementar capacidades de automatización y machine learning con la integración en mente. Es esencial desglosar los sectores de información aislados para obtener una imagen completa del panorama de amenazas. La automatización

88

puede ayudar a unificar grandes volúmenes de información de diferentes orígenes, pero los CISO también deben explorar formas de reducir la cantidad de herramientas de seguridad para disminuir la complejidad, eliminar la redundancia y mejorar la eficiencia.

“El juego de valor se convierte en qué tan bien puede integrar diferentes herramientas en los silos”, declara Arsenault. “No debería dedicar todo su tiempo a intentar obtener la alineación de los sistemas en aspectos simples como fechas, formatos, estructuras y macrodatos. Hace diez años, esto habría sido más difícil, pero gracias a la madurez de los productos en la actualidad y a la consolidación en el mercados, resulta más fácil aprovechar a menos proveedores”.

En Microsoft, el equipo de Arsenault ha reducido a la mitad la cantidad de soluciones que usa, eliminando algunas simples porque ya no eran funcionales y consolidando otras donde las capacidades se superponían. Los beneficios de este enfoque incluyen el valor acumulativo de las señales de telemetría, una mayor responsabilidad y visibilidad y una mejor asignación de los recursos.

“Mientras más aproveche a menos proveedores, más eficiente se volverá”, señala. “Ahora obtengo lo mejor de la integración en lugar de obtener solo “lo mejor”. Además, no es una declaración de eficiencia en términos de valor por dólar. Es el hecho de que mi recurso más restringido son las personas, lo que ahora me permite hacer más con menos”.

9

Utilización más inteligente de la tecnología de seguridad en 2020Los líderes de seguridad ofrecen consejos esenciales para una adopción exitosa de la IA/automatización:

No la olvide después de implementarla.

“La automatización es una de estas cosas a las que debe brindar cuidados”, señala Bragdon. “Debe contar con personas que la vigilen, que observen el producto de la automatización y que entiendan cómo encaja en su estrategia general para administrar el riesgo en el negocio”. Dimitriadis agrega: “Aún necesita tener las habilidades adecuadas para configurar la IA y para guiar la IA a fin de que sirva a los objetivos empresariales”.

Aumente la IA con la inteligencia humana.

La IA no reemplaza a los analistas, de alguna manera, los hace más valiosos en áreas que requieren un conocimiento más profundo, en el contexto empresarial y en otro pensamiento crítico. “Siempre habrá una parte de las decisiones empresariales que deberá escalarse a alguien que vaya a tomar una decisión como: ‘¿Podemos desactivar la base de datos completa de nuestro cliente durante cuatro a seis horas mientras mitigamos este ataque?’ Una decisión así no se automatiza”, señala Foote.

10

3. Actualice su perfil de riesgo para ocuparse de superficies de ataque más amplias

A medida que aumenta la complejidad de la infraestructura de TI, la superficie de ataque sigue creciendo. La Internet de las Cosas (IoT)3 conecta nuevos puntos de conexión y otros dispositivos en las organizaciones, incluidos dispositivos que nunca fueron diseñados para conectarse a la Internet y, por lo tanto, no tienen controles de seguridad inherentes. Estos dispositivos crean nuevos puntos de acceso para los malos actores. Además, a medida que los esfuerzos de transformación digital reformulan las cadenas de suministro tradicionales,4 la debida diligencia de los socios, proveedores y soluciones debe expandirse para incluir los riesgos y controles de seguridad asociados.

“No podemos depender simplemente de la confianza [equitativa] en todas las partes de la cadena de suministro”, indica Dimitriadis. “La historia y los incidentes de los que leemos a diario demuestran que siempre se trata del eslabón más débil de la cadena de suministro, lo que puede generar un problema muy grande”.

Además de los nuevos vectores de amenazas, los malos actores continúan innovando en los métodos de ataque tradicionales. Por ejemplo, la desinformación digital impulsada por la IA, en la que se manipula audio o video para engañar a los consumidores, se está abriendo camino en los negocios. El ejemplo más llamativo se produjo en 2019, cuando los estafadores usaron un generador de voz de IA para convencer al director general de una empresa alemana de transferir más de USD 240.000 a una cuenta falsa5. En conjunto, los costos asociados con ataques ultrafalsos excederán los USD 250 millones enel año 2020.6

Para Cunningham, esto último es especialmente preocupante: “Lo único que no me deja dormir en este momento es lo que ocurre en torno a la desinformación en redes sociales y las tecnologías ultrafalsas. Es un problema donde no tenemos el control. Está muy lejos de los límites de nuestro control y capacidad de responder”.

3 Symantec, 2019 Internet Security Threat Report4 CSO, “2020 cybersecurity trends: 9 threats to watch”, 12 de diciembre de 20195 CSO, “Voice AI becomes an accessory to CEO fraud”, septiembre de 2019 6 Forrester, Predictions 2020

11

Seguridad basada en el riesgo más inteligente en 2020A medida que el panorama de amenazas evoluciona y se amplía, los CISO y los equipos de liderazgo deben adoptar un enfoque más estratégico para evaluar y mitigar el riesgo en relación con el negocio. Foote recomienda seguir un proceso de cuatro pasos:

1. Realice un análisis del impacto empresarial.

“Esto permite al CISO alinear toda la infraestructura con la que cuentan y establecer prioridades de acuerdo con su importancia para el negocio”, señala Foote. “Pregunte: Si lo perdemos o se ve comprometido, ¿qué tan grave es el impacto de esto para el negocio?”

2. Desarrolle una evaluación de riesgos.En este paso se analiza la probabilidad de amenazas, vulnerabilidades y sus consecuencias/su impacto empresarial. “Es imposible defenderse contra todo”, indica. “Entonces, ¿dónde se centrará en términos de inversiones para marcar una diferencia en los resultados del negocio?”

3. Cree un acuerdo de nivel de riesgo.Aquí entra en acción la conversación de “inseparabilidad” de TI/seguridad. La conversación debe incluir los controles de seguridad, planes de mitigación y quién acepta/evita/transfiere los riesgos. Además, debe incluir un seguimiento de la documentación. “En el momento en que o si terminan siendo demandados por una filtración de datos, serán responsables ante la ‘norma de razonabilidad’, que determina si las decisiones de riesgo adoptadas fueron adecuadas o deliberadamente negligentes”, señala Foote. “Un acuerdo de nivel de riesgo documentado los protege durante dos, tres, cinco años”.

12

4. Comprometa una comunicación de nivel ejecutivo.

“Todo lo que la junta hace es luchar contra el riesgo”, indica Foote. “Quieren escuchar que nosotros, como profesionales de seguridad, estamos comprendiendo este lado del negocio”. Recomienda ser capaz de demostrar un enfoque equilibrado, que incluya un análisis de costo-beneficio y una debida diligencia en las inversiones.

Arsenault destaca la necesidad de ser concisos con la junta y no profundizar demasiado en los problemas técnicos cotidianos. En la serie CISO Spotlight Series de Microsoft, recomienda responder tres preguntas durante las presentaciones ante la junta:

• ¿Podemos demostrar que poseemos un buen proceso de gobernanza?

• ¿Tenemos al personal adecuado en seguridad?

• ¿Qué estamos haciendo para garantizar que tengamos una cultura de ciberseguridad en los roles de todos?

13

4. Comience (o continúe) un viaje de confianza cero

A medida que los CISO lidian con formas de abordar los desafíos en torno a superficies de ataque más amplias y amenazas que evolucionan rápidamente, un nuevo modelo de seguridad está ganando terreno. Confianza cero ha surgido como una mejor alternativa a las defensas tradicionales basadas en el perímetro, las que los CISO reconocen ya no son suficientes para proteger la empresa.

Un modelo de seguridad de confianza cero se adapta más eficazmente a las complejidades de los entornos modernos, con énfasis en tres principios:

1. Verificar explícitamente: siempre autentique y autorice

2. Usar el acceso con privilegios mínimos: limite el acceso de los usuarios con acceso justo a tiempo y estrictamente suficiente

3. Suponer el incidente de seguridad: minimice la onda expansiva de los incidentes de seguridad al segmentar el acceso por red, usuario, dispositivos y conocimiento de las aplicaciones

Una clave para la implementación de confianza cero es entender que se trata de un viaje, que es mejor implementarla en etapas y luego administrar continuamente las mejoras.

“Las personas aún tienen esta idea de que pueden adquirir tecnología de confianza cero, presionar un botón de confianza cero y, de la nada, las cosas se transformarán en un estado final de confianza cero”, indica Cunningham. “No funciona así”.

1414

Si aún no ha iniciado el viaje, una evaluación de preparación para confianza cero es un buen punto de partida. El modelo de madurez para confianza cero de Microsoft le permitirá evaluar su entorno actual a través de identidades, dispositivos, aplicaciones, datos, infraestructura y redes.

Cunningham recomienda un enfoque inicial en la administración de identidades y acceso, seguido de la administración de dispositivos. La administración de identidades y acceso incluye funcionalidades como la autenticación multifactor (MFA) y el inicio de sesión único. “Si se encarga de eso y se asegura de que el dispositivo esté en buen estado, eliminará la mayor amenaza, la de los usuarios como medio de instrumentalización”, indica. “Busque estas correcciones simples que tienen el mayor impacto”.

A medida que progresa hacia capacidades avanzadas de confianza cero, puede que sea el momento de migrar su base de seguridad a la nube, que le proporciona el entorno más dinámico para aspectos como la microsegmentación de red. “La nube es el lugar donde terminará existiendo de alguna manera o forma, entonces, ¿por qué no aprovechar las capacidades presentes en esta para crear esa infraestructura de confianza cero?”, explica Cunningham. “No intente ir y colocar un motor de Porsche a un Peugeot para creer que tiene un Porsche”.

15

Una ruta más inteligente hacia la seguridad de confianza cero en 2020Nuestros expertos ofrecen algunos consejos adicionales para su viaje de confianza cero.

Haga que el viaje sea sencillo.

“Es fácil quedarse atrapado en todas las cosas que no se pueden hacer con confianza cero”, señala Arsenault. “Deje de pensar en la táctica y piense en la visión: el objetivo de seguridad que intenta lograr, equilibrado con la experiencia del usuario”.

Establezca una secuencia para sus actividades.

La confianza cero puede ser un viaje, pero eso no significa que nunca se complete nada. Su hoja de ruta debe tener hitos diferenciados para completar los componentes principales. “No haga el 75 % de una implementación de MFA para luego pasar a las comprobaciones de estado del dispositivo”, señala Cunningham. “Terminará con 15 proyectos en curso al mismo tiempo y no llegará jamás al estado final”. En vez de hacer esto, “esfuércese para terminar cada iniciativa, marque la casilla y luego pase a lo siguiente”, indica.

Mida y adáptese sobre la marcha.

Realice un seguimiento de su progreso y ajústelo según sea necesario. Poco después de que Microsoft implementara su tecnología de autenticación biométrica Windows Hello en toda la organización, en un esfuerzo por eliminar los inicios de sesión con contraseñas, se descubrió que la mitad de los empleados seguían usándolas. Al observar los datos, el equipo de Arsenault descubrió que, aunque las personas se habían registrado en el sistema de acceso biométrico, un valor predeterminado en el flujo de trabajo de la experiencia del usuario hacía que debieran usar el antiguo sistema de contraseñas. Una vez que este valor se ajustó, los niveles de éxito se dispararon. Actualmente, la empresa  funciona en un 90 % sin contraseñas.

16

La conclusiónNuestros expertos han demostrado que durante el próximo año habrá muchas rutas para la seguridad más inteligente. Cada una de ellas puede servir como un componente importante de una estrategia de seguridad más amplia.

“Debemos seguir impulsando la idea de que la seguridad y el riesgo no son de propiedad del ‘departamento de seguridad y riesgo’, sino del negocio”, señala Arsenault. “Y eso implica permitir que el negocio tome sus propias mejores decisiones en torno a la seguridad, que sean coherentes con todos los valores y las directivas vigentes”.

La responsabilidad de sentar las bases para ayudar al negocio a avanzar más rápido seguirá recayendo en los CISO, cualquiera sea el nivel aceptable de riesgo.

“El negocio debe ir rápido”, señala Cunningham. “Tiene que ser dinámico. Tenemos  que pensar en cómo podemos habilitar el negocio y luego hacer todo lo posible para impulsar ese avance”.

Visite el centro de información y soluciones de Microsoft y obtenga soluciones para una seguridad más inteligente en el año 2020 y más allá: https://www.microsoft.com/security/business >

16