Inicio
Inicio
Solicite una demostración

Preguntas que todo CISO debería plantearse al desarrollar su estrategia de ciberseguridad

Compartir
  • Cayley Wetzig, Jefe de Comunicaciones de Marketing

El objetivo clave del Director de Seguridad de la Información es evitar que su organización sufra cualquier forma de violación de la seguridad.

La mejor mentalidad para lograr este objetivo es una mentalidad de crecimiento con la perspectiva de que una brecha ha ocurrido o ya está ocurriendo. Por lo tanto, los CISO deben hacerse preguntas continuamente a sí mismos y a su equipo, con el objetivo de implementar la estrategia de ciberseguridad más eficaz para su entorno operativo único.

preguntas de ciberseguridad, preguntas de ciberseguridad para su ciso

Piense 10 pasos por delante

Todo CISO debe esperar lo mejor, pero planificar lo peor. Deben pensar en el efecto dominó de cada decisión y en cómo un cambio o un riesgo pasado por alto puede dar lugar a múltiples ataques. 

Como aconseja Sun Tzu respecto a la formulación de una estrategia, "No dependas de que el enemigo no ataque; depende más bien de tener una posición que no pueda ser atacada". En la planificación para lograr esto último, he aquí algunas preguntas sugeridas que cada CISO debería plantearse:

1. ¿Dónde me siento más cómodo y seguro en mi puesto de ciberseguridad empresarial?

Esto puede no parecer un punto de preocupación basado en la percepción de ser fuerte en este objetivo de su estrategia global de seguridad. Con demasiada frecuencia, en tales situaciones, hay un elemento de la naturaleza humana de "configurarlo y olvidarlo". El adversario inteligente reconoce que la naturaleza humana no es tan vigilante cuando hay una sensación de seguridad y le atacará allí donde se sienta más fuerte. Por lo tanto, sigue buscando formas de mejorar tus cómodas posiciones actuales.

2. ¿En qué medida conozco el entorno operativo de mi organización?

El entorno operativo de cualquier organización es incierto en cuanto al origen y el momento de un posible ciberataque.

Los CISO deben conocer a fondo su red y todas sus conexiones con otros sistemas, tanto internos como externos. Tener un buen control de todas las conexiones externas, aplicaciones en la nube y dispositivos personales en los que se accede a los datos ayudará a mitigar la incertidumbre y a mantener la seguridad de la organización. Puede ayudar a identificar mejor las áreas de riesgo y garantizar que se aplican las medidas adecuadas para protegerse frente a cualquier actividad maliciosa o violación de datos procedente de fuentes externas.

La transformación digital ha tenido y sigue teniendo un impacto dinámico en el entorno operativo de una organización. La accesibilidad cada vez más ubicua a Internet, unida a una plantilla móvil y a la propiedad intelectual digital sensible, crea una superficie de ciberataque cada vez mayor y una estrategia de seguridad muy necesaria.

Los entornos operativos cambian constantemente, con diversos grados de complejidad, riesgos y amenazas. Las personas pueden desarrollar, y lo harán, hábitos de respuesta a situaciones de estrés basados en la forma en que han sido entrenadas y preparadas a través de la práctica.

Protocolos normalizados

¿Dispone de protocolos sólidos que sigan todos los empleados, directivos y departamentos a la hora de añadir nuevas formas de tecnología a su red? Con varias generaciones añadiendo nueva tecnología gráfica, subcontratando para utilizar diferentes proveedores, sistemas de pago, etc., cada nuevo sistema conectado es un riesgo añadido. ¿Qué ocurre con las aplicaciones externas a las que sus empleados conectan sus cuentas de correo electrónico para acceder a ellas? Por ejemplo, con el nuevo ChatGPT, ¿hasta qué punto está controlado en su organización?

Para algunos que se registran, cuando se conectan, dan su acceso a Gmail para registrarse. ¿Hasta qué punto sabes que esas nuevas plataformas no están obteniendo más acceso del que deberían? ¿Sus empleados leen realmente la información de seguridad? ¿Qué pasa con las otras nuevas tecnologías que salen y que deciden descargar, utilizar para iniciar sesión en sus dispositivos o conectarse? 

¿Sabe quién es el propietario de la propiedad intelectual (por ejemplo, si su empleado comparte su información o sus secretos comerciales en esta plataforma)? ¿A quién pertenece ahora? ¿Qué ocurre si se produce una violación de ese producto? ¿Cómo acceden esos proveedores externos a los datos de sus empleados? ¿Qué pasa con todas las vulnerabilidades que surgen con las nuevas conexiones API? Con cada nueva integración, se abren vulnerabilidades dentro de su red. Algunas formas de mitigar rápidamente esos riesgos son la formación en seguridad de aplicaciones, ya que enseña las principales vulnerabilidades.

También es imprescindible contar con directrices estrictas. Algunas grandes empresas tecnológicas bloquean determinados productos.

3. ¿Cómo puedo mejorar el conocimiento de la situación a nivel organizativo e individual?

La conciencia situacional es la conciencia adaptativa, dirigida externamente, construida sobre el conocimiento de un entorno de tareas dinámico y la acción dirigida (es decir, el comportamiento) dentro de ese entorno. Es el uso del sistema sensorial de un individuo para explorar su entorno con el fin de identificar amenazas en el presente o proyectar esas amenazas en el futuro.

Se ha determinado que la falta de conciencia de la situación es la principal causa de error humano. Incluso las personas más experimentadas pueden carecer de conciencia de la situación, especialmente cuando realizan tareas que se han convertido en rutinarias y se perciben como mundanas.

El aprendizaje tradicional basado en el conocimiento es la base para el crecimiento continuo de la base de conocimientos de seguridad del individuo. Los modelos de aprendizaje basados en competencias se utilizan para crear una experiencia que exija al empleado aplicar los conocimientos, mediante escenarios de práctica en los que todas las variables, relativas a su función, simulen un suceso que podría experimentar en el desempeño diario de las tareas que se le asignen. La mejor forma de retener los conocimientos es "aprender haciendo". La integración del aprendizaje basado en conocimientos y habilidades como programa de formación proporciona la plataforma más adecuada para la retención de conocimientos y la mejora del comportamiento de seguridad deseado.

Es estratégico ser proactivo, resistente y capaz de ser adaptable, flexible y maniobrable en un entorno de fricción y desorden.  

Identificar las áreas de riesgo específicas

Con frecuencia, para obtener los mejores resultados, un CISO adapta su estrategia a toda la organización, pero luego aborda cada área individual lo mejor que puede. Muchos grupos de usuarios experimentan diferentes tipos de riesgos y es importante tenerlos en cuenta en una estrategia.

preguntas de ciberseguridad, preguntas de ciberseguridad para su ciso

Población activa específica Dispositivos/productos

Por ejemplo, puede que un grupo de empleados pertenezca a la Generación Z y que necesiten una formación diferente para comprender mejor algunas de las amenazas a la seguridad de su red. También es posible que utilicen redes sociales diferentes que ahora empiezan a considerarse riesgos para la seguridad. TikTok ha sido prohibida en ciertas redes gubernamentales; algunos expertos en seguridad incluso prohíben activamente a sus compañeros que se acerquen a ellos si la aplicación está en el teléfono móvil de sus compañeros debido a preocupaciones de seguridad. También pueden ser más propensos al trabajo a distancia, por lo que pueden necesitar formación adicional sobre las mejores prácticas para el trabajo a distancia.

Población líder específica Dispositivos/productos

También hay que tener en cuenta a algunos altos cargos. ¿Tienen más acceso a la "información maestra"? ¿Están frecuentemente involucrados en información muy sensible? Incluso se han dado casos de empresas punteras que han llevado inhibidores a las reuniones de altos cargos para bloquear cualquier forma de vigilancia; dependiendo de las amenazas a la seguridad de la empresa, a veces no es una mala opción. Sin embargo, comprueba las leyes de tu gobierno porque a veces es ilegal.

Dispositivos/productos de departamentos y puestos específicos

Alternativamente, el otro grupo demográfico puede basarse en funciones laborales específicas o necesidades departamentales. Por ejemplo, las funciones relacionadas con las ventas tienen tareas más extrovertidas, como llamar desde zonas remotas, compartir información pública con clientes potenciales, hablar en lugares públicos donde puede haber personas escuchando, intercambiar mensajes con desconocidos, etc. A veces, los vendedores tienen que responder de inmediato a peticiones urgentes de altos cargos o incluso de clientes potenciales para cerrar acuerdos. Estas "solicitudes urgentes" son también material de formación sobre concienciación de seguridad para esquemas de phishing, por lo que los vendedores deben saber cuándo algo es en realidad un fraude o forma parte de su trabajo.

Además, algunos departamentos pueden estar recibiendo más mensajes entrantes de desconocidos. Si su organización tiene un departamento de inversiones, es posible que reciban correos electrónicos fríos de empresarios ansiosos interesados en mostrar su empuje, lo que podría considerarse admirable o un riesgo para la seguridad. Los CISO deben tener en cuenta todas las formas de funciones, deberes, actividades diarias, etc. de los empleados para crear la infraestructura de seguridad más sólida y escalable.

Por último, también es importante tener en cuenta las bases de datos de terceros o la infraestructura en la nube. Algunas empresas e industrias son inflexibles a la hora de tener su almacenamiento en la nube en su propio servidor y no compartirlo con ninguna otra empresa en caso de que algo se cruce accidentalmente. Algunas empresas llegan incluso a ubicar su nube en una región determinada en función de las leyes gubernamentales o incluso estatales. Estos proveedores de servicios en la nube suelen cumplir las normas SOC, lo que significa que tienen que seguir ciertos protocolos, pero algunos CISO prefieren ser demasiado precavidos antes que arriesgarse a que se produzcan brechas de seguridad por parte de terceros.

4. ¿Cuáles son las amenazas actuales a las que esta organización es más vulnerable?

En la guerra de ciberseguridad, el método o métodos de ataque utilizados pueden abordarse mediante la inteligencia sobre amenazas. Las vulnerabilidades más importantes que hay que abordar son las que se encuentran en el entorno operativo único de la organización o el papel individual más fácilmente explotable por esos TTP. Este riguroso autoexamen requiere algo más que un escaneo anual de vulnerabilidades o una prueba de penetración. Este esfuerzo requiere una planificación con visión de futuro y un autoexamen riguroso.

La identificación de la facilidad de explotación de las mayores ciberamenazas para la organización puede dirigir la atención a la mejora de la seguridad en las áreas de mayor riesgo.

Priorizar los riesgos cibernéticos a los que se enfrenta su empresa hace que su estrategia de ciberseguridad pase de reactiva a proactiva.

5. ¿Cómo gestionamos el riesgo frente a terceros y qué podemos mejorar?

Aunque anteriormente abordamos algunos de estos aspectos de forma más detallada, el riesgo de terceros en toda la organización es una consideración primordial para el CISO. Normalmente se ha abordado de forma aislada, con individuos de la organización que se ocupan de riesgos específicos, normalmente dentro de la cadena de suministro. La gestión proactiva de los riesgos para determinadas funciones o aspectos de la empresa puede haber sido correcta en un momento dado, pero la creciente dependencia de terceros como parte integral de las operaciones de la organización requiere una exposición más amplia de la empresa con el fin de obtener una comprensión de la exposición global al riesgo de la empresa creada por operar con estos terceros externos.

El hecho de que estos proveedores externos no dispongan de los mismos controles o procesos de seguridad que su organización implica que todos ellos deben rendir cuentas de los controles y normas de seguridad adecuados para garantizar la seguridad de los datos almacenados o procesados.

En muchos países, el cumplimiento por terceros es un requisito legal.

6. ¿Hasta qué punto es resistente mi organización?

Muchas organizaciones cuentan con políticas y procedimientos como parte del cumplimiento de la normativa. El elemento más importante para ser resiliente es la eficacia en la ejecución de esas políticas y procedimientos en un entorno lleno de caos, incertidumbre y las consiguientes emociones que afectan a la toma de decisiones.

La ejecución más eficaz de las políticas y procedimientos que se han establecido es el producto de "aprender haciendo" y de los hábitos de comportamiento que crea dicha formación. Los escenarios de entrenamiento que implican los vectores de ataque más probables utilizados por un adversario en su entorno operativo prepararán mejor al equipo para responder de una manera que conduzca lo más rápidamente posible al retorno a la normalidad de las operaciones.

Las principales partes interesadas y los responsables de la toma de decisiones en materia de asesoramiento interno y externo, relaciones públicas, recuperación en caso de catástrofe, comunicación de crisis, continuidad de la actividad, seguridad y dirección ejecutiva deben participar en este escenario. También es una buena oportunidad para alinear los recursos necesarios para la toma de decisiones (es decir, ¿quién va a dirigir qué flujo de trabajo y cómo será el proceso de toma de decisiones?

7. ¿Estamos invirtiendo estratégicamente en nuestro programa de defensa de la ciberseguridad?

El modelo de Defensa en Profundidad de la mayoría de las organizaciones ha sido, en su mayor parte, impulsado tácticamente, con poca o ninguna estrategia, en respuesta a la notificación pública de una brecha y la subsiguiente tecnología/solución del proveedor de seguridad propuesta como la respuesta para proteger a una organización de ser víctima del mismo vector de ataque o de uno similar.

El resultado, en demasiados casos, es una organización con más de cincuenta tecnologías que, en su mayor parte, no están integradas y tienen una capacidad limitada para complementarse entre sí de forma que se cree un efecto sinérgico y se coloque al adversario en una situación ineludible y desesperada, también conocida como los "cuernos de un dilema", que hace que el atacante responda a las acciones del defensor y aumenta el coste del adversario si quiere mantener el ataque.

Una vez más, el consejo de Sun Tzu sirve de consejo: "¡La estrategia sin táctica es el camino más lento hacia la victoria; la táctica sin estrategia es el ruido que precede a la derrota!".

La mejor estrategia es la que ataca y derrota la estrategia del adversario. El proceso de gestión estratégica para desarrollar una estrategia de este tipo comienza con la determinación de la misión, la visión y los objetivos estratégicos, seguida de un análisis del entorno y la organización y, a continuación, la formulación de la estrategia que se va a aplicar.

Responder a estas preguntas aportará conocimientos que ayudarán en las fases de análisis del entorno y la organización y de formulación de la estrategia y contribuirán al desarrollo de esa mejor estrategia.

En resumen

Responder a estas preguntas proporcionará conocimientos que ayudarán en las fases de análisis del entorno y la organización y de formulación de la estrategia, y contribuirá al desarrollo de la mejor estrategia. Pensar diez pasos por delante de lo que podría resultar si se rompe una pieza es la mejor solución para diseñar la estrategia de ciberseguridad más completa, al tiempo que se está abierto a mejorarla a medida que surgen nuevas amenazas. 

ThriveDX Security Awareness Training tiene en cuenta los continuos panoramas de riesgo y la formación proactiva y reactiva para todo tipo de empleados es un paso para evitar que se produzcan ciberataques. 

La Formación en Seguridad de Aplicaciones de ThriveDX ayudará a diseñar las amenazas de programación más comunes para ayudar a bloquear agujeros que podrían convertirse en riesgos mayores que se duplican porque las vulnerabilidades de código son como decirle a un constructor que construya una casa de la manera incorrecta- una vez que el constructor enseña a los nuevos constructores, las vulnerabilidades escalan.

Póngase en contacto con nosotros para obtener más información sobre cómo ThriveDX puede ayudarle con su estrategia.

Proteja a su organización del phishing

solicite una demostración
Compartir

Explorar más recursos

  • Artículo

Los 9 consejos de ciberseguridad más importantes para sus empleados

Las organizaciones están inundadas de consejos de ciberseguridad, pero ¿cuáles son los más importantes?
  • Artículo

8 amenazas a la ciberseguridad móvil que deberías tomarte en serio

Entre el 80 y el 90% de las aplicaciones móviles contienen una vulnerabilidad de seguridad. Más información
  • Artículo

Zoom Estrategias de ciberseguridad y privacidad

El crecimiento de Zoom durante y después de Covid agilizó el trabajo en zonas remotas. Sin embargo, las videoconferencias
  • Artículo

8 razones sorprendentes por las que los piratas informáticos atacan a las escuelas

Los piratas informáticos atacan a las escuelas por varias razones. Para robar datos de investigación, conocer secretos comerciales
Recursos empresariales

Su fuente de confianza para la educación cibernética

Suscríbase al boletín trimestral de ThriveDX para recibir información sobre las últimas tendencias en ciberseguridad, opiniones de expertos, noticias sobre seguridad y recursos gratuitos.

Inscríbete
Twitter Facebook-square Linkedin

¡Nos hemos unido a ThriveDX!

Para profundizar en nuestro compromiso de crear un impacto generacional con la mejor educación cibernética global para transformar vidas, Cybint es ahora un orgulloso miembro de la familia ThriveDX.
DESCARGUE SU COPIA GRATUITA
enlace de cierre
Desarrollado por Convert Plus

Contactar con las asociaciones de ThriveDX

[forminator_form id="10629″]

Si desea ponerse en contacto con alguien de nuestro equipo in situ, deje su información de contacto aquí y nos pondremos en contacto con usted directamente durante la conferencia.

Conéctese con nuestro equipo

Nombre(Obligatorio)

Ir al contenido