[05/08/2022] A medida que proliferan las numerosas leyes de cumplimiento de datos en todo el mundo, los profesionales de la seguridad se han centrado demasiado en comprobar las casillas de los requisitos cuando deberían centrarse en reducir el riesgo. ¿Pueden ambas cosas trabajar juntas en armonía?
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
La respuesta depende de la eficacia con la que los responsables de la seguridad informática puedan trabajar con sus auditores y hablar con sus consejos de administración, señalan los expertos. Estas son sus cinco principales recomendaciones:
1. Centrarse en la protección de datos
Es bien sabido que el cumplimiento normativo consiste en proteger los datos regulados, mientras que la ciberseguridad se centra en mantener alejados a los malos. Desde el punto de vista de la protección de datos, la medida de seguridad clave es evitar el procesamiento o el almacenamiento de datos regulados que no sean necesarios. Si los datos regulados deben almacenarse, asegúrese de utilizar un cifrado más fuerte que el recomendado, señala James Morrison, especialista nacional en ciberseguridad de Intelisys, la división de apoyo a la infraestructura de la empresa de sistemas de pago, ScanSource.
"A lo largo de mi carrera, he visto a pequeños proveedores de servicios sanitarios enviar datos de pacientes en texto claro. Así que, para crear políticas de cumplimiento, hay que preguntarse cómo se manejan los datos regulados desde la cuna hasta la tumba", explica Morrison, antiguo informático del FBI. "Hay que tener en cuenta dónde existen los datos, dónde se almacenan, cómo se almacenan y durante cuánto tiempo. Esa es la forma correcta de empezar la conversación en torno al cumplimiento y la seguridad".
2. Haga que los auditores de seguridad sean sus amigos
Tan importante como conocer la perspectiva de los auditores es ayudarles a entender los fundamentos de la ciberseguridad. Como CISO en una empresa anterior, Morrison mantuvo reuniones semanales con su auditor para mantener una conversación "bidireccional" que incluía el cumplimiento y la seguridad. Para cuando la empresa llevó a cabo su actualización de la gestión de la infoseguridad según la norma ISO 27001, el equipo de auditores fue capaz de articular claramente lo que necesitaba del equipo de seguridad. Entonces, el propio Morrison reunió la información que los auditores solicitaban. "Los auditores aprecian más si se adopta un enfoque de equipo como éste. Y también los directores generales y los consejos de administración", añade.
Sin embargo, enseñar los fundamentos de la ciberseguridad a los auditores es difícil, añade Ian Poynter, un CISO virtual con sede en la costa este de Estados Unidos. Esto es especialmente problemático entre los auditores que proceden de las grandes consultoras, a los que compara con "personas con portapapeles que hacen preguntas, pero no entienden el contexto de seguridad y riesgo". En un caso tras otro, Poynter describe experiencias pasadas en las que sus clientes aprobaron sus auditorías de "portapapeles", mientras fallaban fundamentalmente en materia de seguridad.
Por ejemplo, en un caso el auditor preguntó si la empresa tenía un firewall y el director de TI marcó la casilla "sí" porque tenían un firewall, aunque todavía estaba en la caja y no se había instalado. "Los auditores no entendieron que el firewall no está haciendo nada en realidad, aunque sí tiene uno", comenta Poynter con sorna. "Así que, para auditar correctamente, hay que conocer el contexto en torno a las preguntas y cómo hacerlas".
Como consultor de empresas más pequeñas, Poynter sostiene que es importante contratar a auditores que tengan esas relaciones con la seguridad, y que entiendan los aspectos de seguridad y de cumplimiento en conjunto. Por ejemplo, señala el caso de una empresa que se prepara para gastar tres millones de dólares en un proveedor de SOC 2. Al iniciar la auditoría SOC 2 con el proveedor, Poynter proporcionó a ambas partes informes de seguridad y vulnerabilidad correlacionados con los requisitos de la auditoría. Esto, dice, redujo en gran medida el campo de enfoque para el equipo de auditoría, añadiendo que era un buen ejemplo de cómo el cumplimiento y la seguridad se unen para promover las habilidades de negocio del líder de TI y mejorar la postura de seguridad.
3. Utilizar el cumplimiento como base para construir una mejor seguridad
Poynter también advierte que las listas de comprobación de las auditorías se desactualizan con frecuencia, por lo que el mero hecho de pasar una auditoría no protege los activos informáticos. Por ejemplo, las contraseñas, que el NIST solía exigir que se cambiaran cada 90 días. El NIST ha anulado esa norma porque la gente no puede recordar sus contraseñas, y en su lugar recomienda utilizar frases de contraseña con números y símbolos que los usuarios puedan recordar.
Avishai Avivi, CISO de la empresa de validación de controles de seguridad SafeBreach, está de acuerdo con Poynter. Avivi cree que los marcos de cumplimiento proporcionan una base para pensar en los programas de seguridad, pero los mandatos de cumplimiento no son prescriptivos, ni califican la eficacia de los controles. Por ejemplo, comenta, "una lista de comprobación del cumplimiento le dice que tiene que tener un firewall. No le dice qué tipo de firewall es adecuado para su empresa, ni qué reglas de firewall debe aplicar".
También señala los requisitos de pruebas de penetración anuales, aunque las amenazas evolucionan con mucha más frecuencia que eso. Esta laguna deja a las empresas "cumplidoras" en riesgo de nuevas vulnerabilidades que no saben que tienen. También está abierto a la interpretación la forma de realizar la prueba de penetración y contra qué recursos informáticos, continúa.
"Tuvimos un cliente que solo probaba su superficie de ataque externa. Así que hicimos una simulación desde una red interna de la oficina corporativa y les mostramos que, si una sola de sus estaciones de usuario final se ve comprometida, puede acceder a todas sus redes de desarrollo y producción", explica Avivi. "El cliente seguía las directrices de cumplimiento en cuanto a segmentar las redes de desarrollo de las de producción, pero no había controles de firewalls para evitar que alguien entrara desde una oficina corporativa a esos entornos".
En los sistemas de control industrial (ICS), el NERC CIP y otras normas son especialmente escuetas en sus requisitos, según Jason D. Christopher, director de ciberriesgos de Dragos. "Debido a la falta de detección específica de OT en las redes industriales, es más difícil interpretar las normas de cumplimiento. Es mucho más difícil tener una conversación sobre el cumplimiento porque es difícil distinguir en una planta si ha tenido un incidente de seguridad que requiere ser reportado o si es un incidente de mantenimiento".
Los sistemas ICS, como las empresas de energía y electricidad, ya están atrasados porque sus controles de seguridad también están en el extremo inferior de la curva de madurez, continúa Christopher. A continuación, describe la curva de madurez del cumplimiento en tres etapas. Arrastrarse es rellenar las casillas de verificación. Caminar es construir un programa en torno a los hallazgos de las auditorías y cruzar los hallazgos con controles compensatorios. En la etapa de ejecución, los operadores de redes han superado las normas de cumplimiento con el flujo de trabajo y la cadena de mando adecuados para apoyar las tareas de seguridad y auditoría. Christopher subraya que cuanto más maduros sean los programas de cumplimiento y seguridad, mejor será la colaboración y la comunicación entre los auditores, los CISO y la junta directiva.
4. Arreglar las vulnerabilidades encontradas
Es esa etapa intermedia de madurez, la etapa del paseo, donde las organizaciones se quedan colgadas en su mayoría, dicen los expertos que señalan muchos casos en los que las organizaciones no hicieron reparaciones básicas basadas en los hallazgos de las auditorías. "Tuvimos una empresa que hizo su pen-test como lo requiere el cumplimiento. Luego, un año más tarde, la nueva prueba de penetración volvió con el mismo hallazgo de vulnerabilidad, porque el cliente no había abordado los hallazgos de la prueba de penetración del año anterior", indica Morrison. "Al final, sufrieron una segunda brecha en torno a la misma vulnerabilidad. Esta vez, la empresa tuvo problemas con los organismos reguladores".
La historia de Morrison se asemeja a un famoso caso que actualmente está dando vueltas en el Tribunal de Distrito de San Francisco. En él, Joe Sullivan, CISO de Uber, se enfrenta a una pena de prisión bajo cargos federales porque no informó de una segunda brecha de ransomware que se aprovechó de la misma vulnerabilidad que la FTC había exigido que cerraran tras una brecha anterior. Recientemente, se añadieron más cargos de fraude electrónico en lo que el FBI llama ahora un encubrimiento.
5. Medir las mejoras en la postura de seguridad y riesgo
Más que un simple impulsor de la reducción del riesgo, el cumplimiento de la normativa también puede utilizarse para medir las mejoras en la seguridad y la postura ante el riesgo. Morrison sugiere un cuadro de mandos de cumplimiento para medir su puntuación de riesgo, y utilizar esas políticas del cuadro de mandos para adelantarse a los riesgos cambiantes, como la incorporación de una nueva tecnología o el apoyo a una fuerza de trabajo remota. Los cuadros de mando también deberían ayudar a los responsables de TI a informar a la alta dirección en el lenguaje empresarial de riesgo y recompensa que ellos entienden.
Como explica Avivi, de SafeBreach, "si se hace bien la seguridad, probablemente se cumpla. Pero si lo único que le preocupa es el cumplimiento, probablemente no estará seguro".
Basado en el artículo de Deb Radcliff (CSO) y editado por CIO Perú