[15/12/2021] Los líderes de seguridad están impulsando estrategias holísticas de cara al 2022, con una lista de prioridades que apoyan la resistencia de la empresa.
Aunque los CISOs encuestados por la revista CSO para nuestro estudio anual sobre prioridades de seguridad indicaron una serie de iniciativas que tienen previsto emprender en los próximos meses, también dicen que no se centran en reforzar una única herramienta, ni en confiar en un único enfoque.
Más bien, sus prioridades reflejan la evolución de la función de seguridad, que hoy en día debe ser un conjunto de políticas, procedimientos y capacidades tecnológicas interdependientes que trabajan conjuntamente para contrarrestar los riesgos y amenazas específicos a los que se enfrenta la propia organización del CISO.
Además, afirman que sus prioridades reflejan las necesidades de seguridad debidas a los recientes cambios en los entornos empresariales y de TI de su organización, a un panorama de amenazas cambiante y a los riesgos emergentes.
En resumen, los CISOs dicen que sus prioridades para el 2022 consisten en mantener el ritmo y mejorar.
Los cambios en el panorama cambian las prioridades
Hay más cosas que van a la nube. Las TI están desvinculando las aplicaciones de la capa de datos. Los CIOs se están moviendo hacia una arquitectura más componible. Y están acelerando sus iniciativas digitales.
"Y la otra realidad aquí es que hemos estado en este viaje de trabajo desde casa durante dos años, por lo que el perímetro está ahora en el extremo más lejano de donde los trabajadores quieren trabajar, y este estado de inseguridad que hemos estado manejando durante los últimos dos años continuará", señala Liz Miller, vicepresidente y analista principal de Constellation Research.
Al mismo tiempo, los CISOs deben trabajar también en su propio personal. "El concepto de esta Gran Dimisión es real, y es realmente feo cuando se trata de la seguridad. La gente está dejando la seguridad porque está quemada. Eso va a ser aún más difícil de gestionar en el 2022", anota Miller.
"La pregunta ahora para los CISOs es: ¿Cómo gestionamos todo eso? ¿Cómo dirigimos de forma inteligente, de manera que la seguridad y la rapidez sean alcanzables?", pregunta Miller.
Darrell Keeling, vicepresidente de seguridad de la información y responsable de seguridad HIPAA de Parkview Health, tiene algunas ideas.
Al igual que otros jefes de seguridad, Keeling ha visto evolucionar el panorama de las amenazas durante su mandato.
Por ejemplo, ha visto cómo los hackers se dirigen cada vez más a las instituciones de salud con ataques de ransomware. Al mismo tiempo, las organizaciones, incluida la suya, se han vuelto más digitales con el aumento de los entornos en la nube, lo que ha ampliado enormemente la superficie de ataque y prácticamente ha eliminado la idea de un perímetro.
Keeling afirma que su prioridad es hacer madurar la seguridad para adaptarla tanto a la evolución de la pila tecnológica, como a las amenazas que se ciernen sobre ella.
Dice que esto implica simplificar su pila de seguridad, pasando de una gran colección de soluciones de varios proveedores, a una que se basa en gran medida en las soluciones de seguridad de Microsoft. (Parkview Health IT es principalmente una tienda de Microsoft que utiliza la nube de Azure). Señala que la simplificación de la pila de seguridad creará operaciones de seguridad más eficaces y eficientes, con integraciones más fáciles y menos costes añadidos.
Como parte de ese movimiento, Keeling planea centrarse en la formación del personal para conseguir que más miembros de su equipo obtengan la certificación de Microsoft.
Otras prioridades del 2022 para Keeling incluyen la implementación de más inteligencia, software de análisis de comportamiento y tecnologías de seguridad en la nube; la creación de una capacidad de caza de amenazas y el refuerzo de su programa de gestión de riesgos de terceros.
Las prioridades de los CISOs impulsan el interés por las herramientas y las tecnologías
El Estudio de Prioridades de Seguridad confirmó que los CISOs continúan invirtiendo en tecnologías, con un 90%, diciendo que sus organizaciones añadieron al menos una herramienta de seguridad en los últimos 12 meses.
La lista de tecnologías que los CISOs están priorizando también refleja su enfoque cada vez más integrado de la seguridad.
Un ejemplo de ello es que las tecnologías de protección de datos en la nube encabezan la lista de prioridades: Las tecnologías de protección de datos en la nube encabezan la lista de prioridades, con el 87% de los CISOs estudiando, probando, utilizando o actualizando su uso.
En un hallazgo relacionado, el 88% de los CISOs están priorizando los servicios de ciberseguridad basados en la nube.
Las tecnologías de control de acceso a los datos también encabezan la lista de prioridades de los CISO, al igual que la confianza cero, ya que el 84% indica que la confianza cero es una prioridad para ellos.
La supervisión y el análisis del comportamiento es otra gran prioridad, ya que el 82% afirma estar estudiando, probando, utilizando o mejorando su uso.
Los CISOs también indicaron un gran interés o uso de las tecnologías de orquestación, automatización y respuesta de seguridad (SOAR), con un 77% de los CISOs estudiando, probando, utilizando o mejorando su uso.
Estas cifras no sorprenden a los analistas e investigadores de seguridad. Dicen que tales tecnologías son necesarias para defender entornos que han cambiado rápidamente en los últimos años, ya que las organizaciones invirtieron más en la computación en la nube para permitir la transformación digital y el acceso desde cualquier lugar.
"La nube es realmente la pieza central de la seguridad", anota Andrew Plato, director general de la consultora Zenaciti y analista de ciberseguridad de The Analyst Syndicate. (Señala que ve a los CISO especialmente interesados en las plataformas de gestión de la postura de seguridad en la nube que les dan una visión holística y permiten la seguridad en sus múltiples despliegues en la nube).
Las prioridades de Kevin F. Brown para el próximo año son representativas de estas tendencias.
Brown, vicepresidente senior y CISO de Science Applications International Corp. (SAIC), dijo que sus principales prioridades son la captación y retención de talentos; la continuidad y resiliencia del negocio; la confianza cero para la red, la nube y los datos; y la habilitación del negocio.
"El talento en ciberseguridad sigue siendo muy demandado y escaso, especialmente en la creación de equipos diversos e inclusivos, lo cual es esencial. El ransomware sigue siendo una de las principales amenazas en toda la industria, tanto desde el punto de vista de la negación del impacto en el negocio, como desde el punto de vista de la creciente exfiltración de datos. Aparte de las capacidades de protección, es necesario contar con planes de resiliencia y recuperación", explica.
Y continúa: "Los principios de confianza cero tienen que estar presentes no solo para la seguridad tradicional de la red, sino también como estrategia para el perímetro cada vez más amplio del usuario y de la nube en particular, así como para la protección e integridad de los datos cruciales.
"Aunque tal vez sea un poco global, habilitar el negocio es una prioridad absoluta, ya sea proporcionando soluciones empresariales seguras, mitigando los riesgos, promoviendo conceptos de seguridad por diseño, etc.", concluye.
Las prioridades apoyan las mejoras continuas del programa de seguridad
A pesar de la importancia de cada uno de los puntos prioritarios para el 2022, Brown afirma que ninguno de ellos es una nueva prioridad; todos son una continuación de lo que ha estado trabajando.
Esto también refleja el estado general de los programas de ciberseguridad para los CISOs, dice Plato, señalando que el 2022 será un avance, no una revolución.
"¿Habrá alguna tecnología genial que lo revolucione todo? Probablemente no. Pero las piezas para hacer todo lo que [los CISOs deben] ya están ahí", añade.
Alrededor del 67% de los encuestados afirmó que su organización se está centrando cada vez más en mejorar la utilización y/o la dotación de recursos de sus servicios de seguridad, y el 62% dijo que tiene un proceso de evaluación continua de la eficacia de sus soluciones y servicios de seguridad que posee o a los que accede a través de contratos con proveedores.
Shawn M. Bowen, vicepresidente de seguridad de la información de World Fuel Services, afirma que su objetivo principal es la mejora continua de la función de seguridad, una meta que impulsa su trabajo para el próximo año.
Por ejemplo, está tratando de perfeccionar su capacidad para diseñar políticas, procedimientos y controles de seguridad adaptados a los riesgos y amenazas identificados por su empresa.
"Quiero evolucionar más allá de un modelo de madurez del marco de trabajo para ser una operación de seguridad basada en el riesgo", indica. "Así que en lugar de construir la seguridad a partir de un marco y proporcionar servicios estándar, nuestro objetivo es centrarnos en nuestro programa de gestión de riesgos empresariales".
Para ello, está trabajando con sus colegas de negocio para entender, articular y priorizar los riesgos y amenazas dentro de sus áreas funcionales particulares para que la seguridad pueda alinear realmente sus recursos para defenderse de ellos.
Además, Bowen quiere que la empresa se involucre más en el enfoque de gestión de riesgos de la empresa de seguridad. Piensa utilizar ese compromiso para desarrollar un modelo de amenazas adecuado para cada uno de sus productos y servicios, de modo que pueda adaptar las ofertas de seguridad a esas amenazas específicas.
También quiere crear formas de medir el progreso en función de cómo la seguridad mejora su rendimiento en la prestación de servicios en esas áreas.
Desafíos para el 2022
Los CISOs indican que se enfrentan a muchos retos para lograr sus objetivos en el año que viene.
Según el Estudio de Prioridades de Seguridad, los CISOs afirmaron que la principal razón por la que su organización se queda corta a la hora de abordar los ciberriesgos, es la dificultad para convencer a toda o parte de su organización de la gravedad de los riesgos a los que se enfrentan. Un 30% indicó que esto es un problema.
Casi el mismo número (29%) indicó que los recursos son inadecuados, mientras que el 27% citó la incapacidad de ser adecuadamente proactivo en su estrategia de seguridad.
Otras razones principales para no abordar el riesgo cibernético son las dificultades para contratar y retener a profesionales expertos, no tener siempre en cuenta los requisitos de seguridad durante el desarrollo de las aplicaciones, y una formación inadecuada en materia de seguridad para los usuarios.
Aunque reconocen que se trata de retos importantes, los analistas señalan que muchas de las prioridades de los CISOs les ayudarán a hacer frente a estos mismos problemas.
Señalan, por ejemplo, que centrarse en la respuesta a los incidentes, sobre todo cuando se adapta a los riesgos de la empresa y se combina con la habilitación y la resistencia del negocio, genera más apoyo empresarial a las iniciativas de seguridad.
Al mismo tiempo, añadir más tecnologías de protección de datos, herramientas de seguridad en la nube y soluciones que apoyen la confianza cero y el SOAR, ayuda a integrar la seguridad en una mayor parte de la pila tecnológica principal, en lugar de convertirla en un servicio complementario.
Y los CISOs que añaden capacidades de automatización como parte de esos despliegues tecnológicos, ayudan a aliviar los desafíos que surgen de tener muy poco personal de seguridad y los ocasionales errores de seguridad del lado del usuario.
Michael Ibarra, CISO de Symbridge Holdings LLC tiene muchas de las mismas prioridades para el 2022 que otros líderes de seguridad enumeran y las considera clave para una estrategia de seguridad holística.
Está trabajando para reforzar la protección de la privacidad de los datos de su empresa, así como las prácticas de gestión de riesgos de los proveedores.
Se está centrando en la seguridad de las APIs y la identidad digital, ambas necesarias para los crecientes entornos en la nube que los CISOs deben proteger en esta era digital moderna.
Está reforzando las defensas contra las infracciones, estudiando en particular la mejor manera de mitigar y prevenir los ciberataques patrocinados por el Estado.
Está trabajando para vincular los planes de seguridad al proceso de control de cambios tecnológicos de la empresa, de modo que la seguridad evolucione tan rápidamente como las TI, y estudiando las tecnologías de vanguardia que podrían aportar valor.
Y ampliará sus esfuerzos para reclutar y retener el talento, en parte asegurándose de que ofrece la formación y el avance de habilidades adecuados.
Ibarra dice que trabajan juntos para crear ciberresiliencia.
"Siempre nos centramos en ofrecer una plataforma segura y protegida, y una de nuestras principales prioridades es siempre minimizar el riesgo", señala, "pero dar prioridad a la resiliencia nos permite prepararnos para lo desconocido".
Basado en el artículo de Mary K. Pratt (CSO) y editado por CIO Perú