Los nuevos retos en seguridad de los CIO
Target, Home Depot y Sony han demostrado cuán vulnerables son las empresas a las violaciones catastróficas de datos. El efecto dominó de ataques masivos tuvo resonancia en todas estas organizaciones, provocando daños por millones de dólares.
A pesar de las noticias en primera plana, la mayoría de las firmas no están equipadas para responder a estos problemas. Sin embargo se requiere de una nueva estrategia para hacer frente a las amenazas de seguridad, y los profesionales de IT están en una buena posición para encabezar esta transformación corporativa.
Así es como se está dando forma al nuevo paradigma de seguridad:
Primero, IT necesita reconocer que los métodos tradicionales para evitar las brechas en seguridad no son suficientes para responder de manera efectiva a las irrupciones masivas. “Las compañías sufren ataques todos los días”, dijo Bill Stewart, vicepresidente ejecutivo de Booz Allen y líder de la ciberempresa comercial de la firma, que en abril emitió un reporte titulado “Emerging Trends: Big Changes in Cyber Risk, Detection, Improved Incident Response“.
Las empresas han implementado soluciones de seguridad y procesos de negocios para hacer frente a la mayoría de las amenazas. Los sistemas se sondean constantemente, y herramientas como los firewalls son suficientes para repeler muchos ataques.
Pero recientemente, los bandidos han hecho un mejor trabajo al esquivar la seguridad tradicional de los sistemas, desbloqueando información confidencial y robando millones de registros. Estas irrupciones de alto perfil requieren acciones que vayan más allá de parchar una falla de software y bloquear el acceso del hacker a la red. Demandan una respuesta coordinada en múltiples niveles de toda la compañía (que emane de la sala de juntas y llegue a muchos departamentos).
Las empresas deben cambiar su enfoque hacia la seguridad de ser sólo un problema que aqueja a IT para convertirlo en una preocupación corporativa.
Todos deben trabajar juntos
Para tener éxito las empresas actuales necesitan niveles de cooperación, sin precedentes, entre diferentes departamentos y un enfoque proactivo que involucre a la alta administración para hacer frente a las amenazas a la seguridad. La compañía necesita formar un equipo de manejo de crisis cibernética, un grupo que se enfrente sólo a amenazas de alto nivel.
“Si una compañía espera hasta estar en crisis, perderá tiempo intentando determinar quién está a cargo, en vez de responder a la infracción”, dijo Dan Blum, consultor principal de Security Architects, firma de consultoría en seguridad.
Como el grupo toca a tantos departamentos, el CIO no es la mejor persona para presidir el comité. Stewart de Booz Allen recomienda que el COO (o director de operaciones) presida el comité, ya que se toman decisiones de largo alcance dentro de éste.
“La desactivación de aplicaciones de misión crítica es un asunto recurrente siempre que las empresas descubren una infracción mayor”, explicó Stewart de Booz Allen. Dejar fuera de operación una tienda en línea durante un Black Friday de ofertas es claramente una decisión del CEO o del consejo de administración.
Es probable que el CIO sea la punta de lanza en la formación del grupo, ya que esa función tiene la penetración más profunda en los desafíos que representan las nuevas amenazas masivas.
“IT necesita articular el impacto potencial que tiene el nuevo malware en la empresa y luego ayudar a implementar los procesos para hacerle frente”, dijo Blum. Quizá el CIO no presida el comité, pero está en la mejor posición para actuar como su principal lugarteniente.
Profundizando en el problema
Además de IT, representantes del departamento legal, relaciones públicas, mercadotecnia, cumplimiento y seguridad suelen ser parte del comité. Una vez que se forma el equipo, su labor consiste en desarrollar mejores prácticas, comenzando con la notificación del problema. Aquí, IT y analítica desempeñan un rol clave. Las principales irrupciones son refinadas y difíciles de rastrear. A menudo pasan días o semanas antes de que el equipo de seguridad profundice en una aberración del sistema y determine que ha ocurrido una infracción importante. Se requiere más tiempo para acceder al daño.
Determinar cómo notificar al equipo de manejo de crisis cibernéticas de posibles irrupciones representa un acto de equilibrio. La compañía debe instalar filtros para que sus miembros no sean bombardeados constantemente por alertas cada vez que se lleva a cabo una investigación (situación demasiado común en los centros de comando de seguridad). Pero los individuos necesitan estar informados de los acontecimientos en caso de que algo importante se asome en el horizonte.
“La naturaleza del negocio, la cultura corporativa y las regulaciones de cumplimiento de la industria determinarán cómo responde cada empresa a una violación masiva de sus datos”, observó Stewart.
Hacer que suceda
Los planes se tienen que probar. IT debe crear una falla plausible y luego hacer que el equipo de manejo de crisis cibernéticas se cambie de inmediato al modo de respuesta. “Algunas veces resulta obvio para los participantes que una incursión es sólo eso y no una violación real”, dijo Blum.
Los días de mantener las noticias de una brecha en la seguridad dentro de las paredes de la corporación han quedado atrás. Hoy existen demasiados canales de información, de modo que se deben compartir las malas noticias. En general, mercadotecnia y relaciones públicas se encargan del manejo de las interacciones con el público.
Ser proactivo a menudo allana los caminos abruptos. Las corporaciones deben tomar en cuenta el proceso dinámico de identificar y publicar la filtración. “Si usted reporta una infracción que tiene 100,000 registros, y dos días después dice que 2 millones de registros fueron afectados, su credibilidad caerá por los suelos”, dijo Stewart.
Pero el deseo de generar un reporte preciso puede ser contrarrestado por regulaciones de cumplimiento que requieran que las compañías den a conocer la infracción lo antes posible. “Para estar verdaderamente preparadas, las empresas necesitan sentar a todos a la mesa, analizar los posibles escenarios, desarrollar mejores prácticas y probarlas”, explicó Blum.
Con todo y eso, pocas corporaciones han desarrollado equipos de manejo de crisis cibernéticas y mejores prácticas. “Vemos una conciencia lenta pero en aumento entre CIOs de que se necesita un nuevo enfoque para hacer frente a infracciones masivas”, dijo Stewart. El proceso comienza con el reconocimiento del CIO de la necesidad de sortear infracciones masivas en su camino y poner en su lugar las respuestas pertinentes.
Fuente: http://www.informationweek.com.mx/analysis/
Fecha de consulta: 26 Junio 2015