Llegamos a ustedes gracias a:



Reportajes y análisis

Los CIO revelan sus filosofías de seguridad

[20/08/2018] La seguridad siempre ha sido una preocupación universal, y existen innumerables ejemplos de sociedades que reforman sus propias instituciones para evitar el caos y el olvido. En el Reino Romano, que precedió al Imperio Romano por unos cinco siglos, el cuestor real local ("investigador) se encargaba de investigar los asesinatos. Aproximadamente al mismo tiempo, los subprefectos en el estado chino de Jin patrullaban la tierra y llevaban a cabo investigaciones criminales. Mucho más recientemente, la Ley de Policía Metropolitana de 1829 le otorgó a Londres su primera asignación de inspectores y policías -primero en edificios en Whitehall Place, más tarde en la cercana Great Scotland Yard.

Hoy, la seguridad organizacional es -casi en su totalidad- un equivalente de seguridad tecnológica. Los CIO actúan no solo como defensores tecnológicos sino, a su manera, como cuestor, subprefecto y agente de policía.

"Para muchas organizaciones, los CIO representan el líder clave en la batalla para proteger datos valiosos, afirma M. Eric Johnson, decano de la Owen Graduate School of Management de la Universidad de Vanderbilt. "Si bien no es universal en todas las organizaciones, la mayor parte de la inversión en seguridad está en la organización del CIO.

Según Johnson, los CIO se enfrentan a una serie de desafíos en este rol. El principal de ellos es la necesidad de "equilibrar la reducción del riesgo con las estrategias que permitan la firme innovación y crecimiento.

"Una seguridad demasiado estricta crea un riesgo diferente: el intercambio de información y la creatividad pueden amenazar la viabilidad competitiva de una empresa, agrega Johnson. "Las reacciones a las violaciones de seguridad mal manejadas -y todas las firmas han sido violadas en su seguridad de alguna manera- pueden conducir a un deterioro de otros negocios.

"La seguridad es tanto un desafío humano como un desafío técnico, concluye. "La ciberseguridad confiable requiere una estrategia de tres partes: 1) excelente implementación técnica de los conceptos básicos; 2) educación consistente dirigida a aumentar la conciencia de los empleados, proveedores y ejecutivos; y 3) la creación de un equipo de seguridad que esté tan motivado, capacitado y sea tan innovador como los infractores.

En esta edición de Transformation Nation, los CIO delinean sus propias filosofías de seguridad de TI -mensajes desde el frente de la estrategia de ciberseguridad. Las implicaciones de una violación para la reputación corporativa, el bienestar económico y la seguridad personal son inmensas. A través de estas cuentas, los CIO revelan los muchos puntos de tensión en la aplicación y la comunicación con los que lidian a diario.

Tres declaraciones a considerar

Ann Dunkin, CIO del Condado de Santa Clara en California señala que comunica su filosofía sobre la seguridad con tres declaraciones memorables:

Hay dos tipos de CIO: los que han sido víctimas de los hackers y lo saben, y aquellos que no lo saben. Lo más aterrador para un CIO es un equipo de seguridad que nos dice que todo está bien porque no encontraron una intrusión. Existen tantas vulnerabilidades potenciales, así como personas tratando de infiltrarse, que probablemente la mayoría de las empresas, sin importar qué tan bueno sea el programa de seguridad, han sido invadidas por hackers.

"Podría responder a esa realidad acurrucándome en posición fetal en la esquina, pero eso no sería productivo. En cambio, sé cuáles son mis activos de alto valor y empleo recursos adicionales para protegerlos y supervisarlos. Eso no significa que voy a dejar de proteger mi perímetro y mis otros activos. Solo voy a suponer que se ha infringido el perímetro y aplicaré protección adicional y monitoreo a lo que más me preocupa. Esto reduce las posibilidades de que un hacker pueda tener acceso a esos activos, y si infringen esos activos, reduce las posibilidades de que puedan robar mis datos antes de que los descubra, anota Dunkin.

Vuélvase un objetivo más difícil. La ejecutiva señala que algunos de nosotros tenemos datos que son de particular interés para un hacker. Pero esa es la excepción. En la mayoría de los casos, muchas personas tienen datos similares. "Mis datos de paciente no son diferentes de cualquier otro sistema de salud en el país. Entonces, si mi seguridad es lo suficientemente fuerte como para disuadir a los atacantes, intentarán con alguien más que crean que es un objetivo más suave. Egoístamente, eso reduce mi riesgo, pero si todos tomamos ese enfoque, colectivamente elevaremos los estándares y haremos que los malos trabajen más duro, anota.

Los usuarios -todos nosotros- somos nuestro eslabón más débil y nuestro activo más grande. Dunkin comenta que es difícil ser un usuario final en estos días. Los hackers se están volviendo cada vez más sofisticados. Estamos siendo golpeados por todos, desde los más experimentados hasta los niñitos del script. Los mensajes de phishing en inglés mal escrito han sido reemplazados por ataques sofisticados y convincentes que desafían tanto al tecnólogo experimentado como al usuario promedio. "De alguna manera, nuestros usuarios aún pueden identificar ataques e informar sobre estos. En este entorno, necesitamos educar constantemente a nuestros usuarios y ser compasivos cuando se equivocan. Necesitamos convertirlos en aliados en esta lucha, porque miles de usuarios educados pueden ser nuestro activo más grande.

Señala, asimismo, que cuando habla con su equipo de seguridad, describe sus prioridades de manera muy diferente. "Hablo de tener planes de seguridad del sistema, de defender el perímetro y activos de alto valor, de auditar y mantener una buena higiene cibernética. Pero hablar de esas cosas fuera de un pequeño círculo técnico confunde a las personas. La gran mayoría del personal simplemente necesita comprender cómo puede contribuir, indica Dunkin.

Las tres ideas descritas anteriormente son comprensibles. "Hablo de seguridad siempre que tengo la oportunidad, y siempre hablo sobre uno o más de esos tres conceptos. Les digo a los usuarios que su ayuda es crucial y cómo pueden ayudarnos a mantener nuestra seguridad. Les digo a los ingenieros y diseñadores lo importante que es que diseñen en seguridad, y les digo a los administradores de sistemas y al personal de servicio al usuario cómo pueden garantizar que implementemos nuestros controles de seguridad, indica la ejecutiva, añadiendo que esas tres declaraciones simples funcionan con casi cualquier audiencia y ayudan a todos a recordar cuán importantes son sus acciones para proteger nuestra empresa.

Abordar los riesgos

Para Dick Daniels, vicepresidente ejecutivo y CIO de Kaiser Permanente, su filosofía sobre la seguridad de TI tiene dos principios principales. El primero es que se aborde agresivamente los riesgos de inmediato: no esperar hasta que se conviertan en problemas. "En algunas organizaciones, puede ser difícil obtener el apoyo y los fondos necesarios para abordar algo que es solo un problema potencial. Pero así es como los riesgos se vuelven infracciones de seguridad, y esa es una lección que muchas organizaciones aprenden demasiado tarde, señala el ejecutivo.

El segundo principio es que la seguridad es tan fuerte como su componente más débil. De acuerdo a Daniels es esencial adoptar una visión integral y multinivel de la seguridad que abarca desde las defensas del perímetro hasta las acciones de nuestros empleados, y las organizaciones externas con las que nos asociamos para comprender y abordar el cambiante panorama de amenazas.

Señala que, difundir la palabra sobre la seguridad se reduce a la gobernanza, la acción y la educación.

La gobernanza es la alineación de la autoridad, la toma de decisiones y la supervisión que nos permite priorizar la seguridad y permitir la acción. La gobernanza es una parte fundamental de la capacidad de nuestra organización para actuar de acuerdo con nuestra filosofía de seguridad y para resaltar la importancia de este trabajo a través de un compromiso activo de liderazgo.

"Las acciones que tomamos también son críticas para diseminar la filosofía. Cuando asumimos de forma proactiva el complejo proceso de implementar actualizaciones de software y actualizaciones de seguridad en cientos de miles de dispositivos, las personas lo notan. Ven la inversión que nuestra organización está haciendo para abordar un riesgo antes de que se convierta en un problema y para asegurarse de que estamos fortaleciendo ese vínculo en nuestra cadena de seguridad, comenta Daniels.

Por último, añade, pero ciertamente no menos importante, hay que enfocarse fuertemente en educar a los trabajadores. "Si bien tomamos medidas integrales para evitar que los correos electrónicos maliciosos lleguen a nuestros empleados, sabemos que ninguna defensa es a prueba de balas. Es una prioridad para nosotros educar a nuestros empleados, a través de entrenamientos y simulacros realistas, para detectar correos electrónicos maliciosos, intentos de phishing, etc., e informar cualquier cosa sospechosa. Esta es una campaña continua para hacer que nuestros empleados sean una fortaleza activa en nuestra posición de defensa, señala Daniels.

Finaliza señalando que también cuentan con seguridad en las reuniones de liderazgo para asegurarse de que están continuamente actualizando y educando al personal directivo superior sobre los riesgos comerciales y la importancia de su estrategia para abordar esos riesgos.

Compartir experiencias

"La seguridad de TI es un mal necesario. Cuesta mucho dinero, crea inconvenientes para los clientes (¿conoce a alguien a quien le gusten las contraseñas seguras?) Y agota el tiempo del personal de TI que de otro modo podría emplearse en ayudar a los clientes con soluciones para mejorar el modelo comercial de la organización. Pero es necesario, señala Tim Barbee, director de Servicios de Investigación e Información/CIO del Consejo de Gobiernos del Norte Central de Texas.

"Tenemos que proteger la confidencialidad, la integridad y la disponibilidad de los datos en la red, algo que, por supuesto, significa proteger la red. Al igual que cualquier otra área de decisión, el truco es encontrar el método más rentable de hacerlo, añade.

De acuerdo a Barbee, la seguridad de TI se trata de aceptar riesgos y evitar riesgos. Esto es un poco de análisis circular.

"Primero, necesita saber cuánto riesgo es aceptable para la organización. En segundo lugar, debe completar una evaluación de riesgos de seguridad de TI para determinar cuáles son los riesgos -priorice los problemas que generan riesgos para centrarse en aquellos que más benefician a la organización. En tercer lugar, debe determinar el costo para abordar cada riesgo. Muchas veces, el costo resulta en un ajuste de la definición de "riesgo aceptable por parte de una organización. Debe haber una comprensión de los riesgos que deben abordarse para las operaciones efectivas, en comparación a los riesgos que carecen de justificación comercial para ser enfrentados, puesto que el costo de abordarlos es alto sin que esta acción beneficie significativamente a la organización, anota el ejecutivo.

La parte desordenada de la seguridad es la parte de las personas, indica. Al igual que Daniel, señala que no importa cuánto se gaste en herramientas, monitoreo, automatización, etc., si no hay un buen programa de educación de seguridad para los empleados, el riesgo probablemente seguirá siendo más alto que lo que se ha definido como aceptable. "Nuestro programa de seguridad incluye clases obligatorias en línea y el uso de campañas dirigidas de phishing como una herramienta educativa. Si un empleado se deja engañar por una campaña de phishing, recibe comentarios inmediatos con instrucciones sobre lo que debería haberse hecho y cómo identificar que esta actividad en particular fue problemática, indica Barbee.

Durante la orientación inicial, añade, cada empleado nuevo recibe una sesión informativa sobre seguridad de TI. "Además, los directores de nuestra organización les dan una orientación más amplia a los nuevos empleados cada seis meses. En esa orientación, yo enfatizo el papel que cumplen ellos para mantener a nuestra organización libre de malware e intrusiones no deseadas, indica.

Barbee comenta que existe una muy buena comprensión de la necesidad de seguridad de TI a nivel ejecutivo en todas las áreas de la organización donde trabaja. Hasta cierto punto, añade, eso se logró al destacar las violaciones de seguridad interminables que suceden a todos los tipos y tamaños de organizaciones de todo el mundo. "Debido a la aceptación del nivel ejecutivo, existe una gran aceptación de nuevas iniciativas de seguridad, siempre que estén bien concebidas, anota el ejecutivo.

Otra actividad en la que están trabajando se basa en compartir con otras organizaciones de su sector. "Yo trabajo en el sector gubernamental. En la región norte central de Texas, se están acercando doscientas cincuenta organizaciones gubernamentales, incluidas ciudades, condados, distritos de agua, distritos de aguas residuales, distritos escolares y otros. Existe un deseo real en muchas de esas organizaciones de reunirse y debatir regularmente sobre seguridad informática: temas actuales, métodos de acción, lecciones aprendidas, etc. Esta es en realidad un área donde el sector gubernamental tiene una ventaja sobre el sector privado. No hay secretos comerciales para proteger, por lo que compartir información puede suceder libremente, finaliza Barbee.