Llegamos a ustedes gracias a:



Columnas de opinión

Ocho cosas para las que los CSO desearíamos tener solución

Por: Jason Clark, CSO de Websense

[05/11/2012] Después de un día difícil en la oficina, muchos CSO y CIO pasan sus noches deseando una mejor y más fácil manera de llevar a cabo las tareas difíciles que enfrentan en el trabajo. He hablado con muchos de ellos este año, y pensé en elaborar una lista de estos deseos y puntos de preocupación -y tener una oportunidad para compartir recomendaciones sobre cómo abordar estas tareas difíciles.
Aquí están los ocho mejores deseos que he escuchado en el último año:
1. Necesitamos simplicidad, no complejidad
Simplemente hay demasiadas cosas en nuestro mundo TI. Las innovaciones en computación en la nube, tecnologías de networking social y móviles, están inundando nuestra infraestructura. Hay tantas tecnologías en nuestros negocios -en el mejor de los casos soldadas entre sí- pero que definitivamente no se comunican entre ellas.
Por desgracia, eso está empeorando cada vez más. La disminución de la eficiencia operativa y la eficacia afecta a toda la organización. Muchas soluciones de seguridad ofrecen mil características, pero la mayoría de las personas solo aprovechan 100. Para que sea eficaz, necesitamos soluciones que realmente hablen, compartan inteligencia, y aprendan unas de otras.
2. No queremos ser abrumados por demasiados datos e información
Firewalls, AV, IDS/IPS, balanceadores de carga, routers, switches, DLP, puertas de enlace de seguridad web, MDM, puertas de enlace de correo electrónico, Active Directory, miles de aplicaciones, miles de bases de datos, etc. Estamos abrumados por datos que quizá no necesariamente estemos mirando con regularidad. A muchos CISO les he preguntado: "¿Qué valor están recibiendo de sus IDS o los registros del firewall?"
La mayoría respondió que tienen poco o ningún valor porque no hay demasiados datos. Y no va a escalar para el futuro. Incluso los artículos como SIEM no son inteligentes. Son complicados de ejecutar y simplemente convierten datos en información. Pero la información no es la que necesitamos. Todavía es necesario recopilar y analizar la información para entender qué acciones tomar. Incluso entonces, va a tomas más que listas de acciones. Los CSO necesitan una brújula que proporcione una eficaz estrategia global de gestión de riesgos.
3. Tenemos que convertir los datos en sabiduría
Los CSO necesitan datos, de modo que puedan utilizar su sabiduría para tomar las mejores decisiones de seguridad. Para llegar allí, los datos necesitan ser traducidos en información. Y esa información debe proporcionar inteligencia. La inteligencia ayudará a que los CSO construyan su sabiduría de seguridad. A mayor inteligencia recibida por los CSO, mayor será el beneficio.
Lamentablemente, muchas de las soluciones que he listado anteriormente no traducen información en inteligencia. Simplemente están proporcionando información, lo que conduce a acciones reactivas frente a acciones proactivas.
4. Necesitamos una postura de visión predictiva de riesgo
Estoy hablando de una necesidad apremiante por adoptar un enfoque basado en el riesgo que es simple de implementar. La mayor parte de las decisiones de compra de hoy están basadas en la experiencia previa y en paisajes de amenazas pasadas. Y si bien existen soluciones de gobernabilidad, gestión del riesgo y cumplimiento (GRC), por lo general estas soluciones están basadas en normas y no son inteligentes, son demasiado complejas y no tienen una visión centrada en los datos.
Muchas de las buenas soluciones de riesgo y cumplimiento también son muy caras y pocas empresas pueden permitirse tenerlas. Necesitamos una solución GRC que sea fácil de implementar y administrar. A medida que más CSO se asocian con otros y continúan con la adopción de la nube, GRC será la herramienta del futuro para ayudarles a gestionar el riesgo ya que tendrán menos control directo de la infraestructura.
5. Necesitamos visibilidad, control y protección de nuestros datos en todo momento
Se trata de los datos, no del dispositivo o de la toma de corriente. Así que si está en una computadora de mano, una tablet o en la nube, lo que necesitamos saber es dónde se están utilizando nuestros datos, quién los está utilizando, cuándo se ha accedido a ellos -incluso si se acaban de crear. También es necesario controlar los datos. Esto incluye habilitar la colaboración de datos, saber cuándo sale de nuestros socios, y tener un interruptor de eliminación si nuestros datos no están en el lugar correcto. Debemos pensar en nuestro programa de seguridad desde el inicio.
6. Queremos permitir BYOD
Queremos permitir BYOD en la empresa, pero la mayoría de los CIO no son fans de administración de dispositivos móviles (MDM). Ellos desean proteger y asegurar los datos, pero no necesariamente para bloquear o controlar el dispositivo. Hace que sea aún más difícil cuando tenemos presión de nuestros ejecutivos por permitir que los dispositivos personales entren a la red. Necesitamos ser capaces de permitir que cualquier dispositivo acceda a la red y a los datos con facilidad, pero teniendo plena visibilidad y control de los datos.
Creo que el futuro es un híbrido de DLP y DRM mezclado con sesiones virtuales. Y para ciertas aplicaciones, los datos se envían de nuevo al centro de datos. No creo que el futuro sea MDM. Solo aplica todos los viejos modos de seguridad de punto final a un nuevo paradigma de dispositivos móviles. No resuelve el problema real.
7. Tenemos que acabar con el spear phishing (phishing dirigido a una víctima específica)
Esta es la forma principal en que los ataques dirigidos comprometen a los usuarios. El phishing puede ser un método antiguo, pero es un señuelo investigado y bien trabajado por ingeniería social muy eficaz. Le he preguntado a 200 CISO "¿Cuántos de ustedes se sienten seguros de poder detener un ataque spear phishing a su CEO?" Y ninguno dijo estar seguro de hacerlo. Tenemos que pensar fuera de la caja para resolver este problema. La manera más exitosa de resolver esto es mediante la mezcla de la ciencia y humanidades.
Un gran ejemplo es PhishMe.com. (Declaración; recientemente me uní a la junta directiva de phishme). Me he dado cuenta que, dependiendo de la tecnología y el conocimiento, hasta el 70% de los empleados hará clic en un señuelo de spear phishing. Su tecnología de seguridad se debe mezclar con su programa de sensibilización, porque el 15% todavía se haga clic.
Necesita una solución de seguridad de correo electrónico que utilice protección spear phishing basada en la nube, que capture e inspeccione las direcciones URL nunca antes vistas, antes de que lleguen a su red. Sus filtros de spam estándar no pueden hacer esto. Por último, muchos correos electrónicos de spear phishing evitan el sistema de coreo electrónico de su empresa y se dirigen a la cuenta de Gmail de su CEO. Por lo que necesita una puerta de acceso de seguridad web que pueda proteger a sus usuarios cuando hacen clic en un enlace de spear phishing. Hay muy pocas puertas de acceso de seguridad web que tengan conciencia del spear phishing. Esa es la clave.
8. Queremos una manera fácil de medir y comercializar nuestro éxito
Esto es algo grande, La seguridad es un problema de sala de juntas, pero tenemos que ser capaces de convencer a la junta que se trata de un problema de BDO, mientras se mide la tendencia para impartir éxito. Tenemos que hacerle frente a muchos nuevos retos de seguridad y amenazas emergentes. ¿Cómo podemos demostrarle nuestro valor a nuestro CEO y a la junta directiva?
He abordado algunas de mis mejores prácticas aquí, pero también me encantaría escuchar sus sugerencias.
Jason Clark, CSO (EE.UU.)