Más allá de la gobernanza y el cumplimiento: lo que importa es el riesgo de seguridad

La industria de los champiñones y los mandatos del gobierno que rigen la seguridad de TI han llevado a un entorno altamente regulado y simulacros de incendio de cumplimiento anual. La cantidad de regulaciones que afectan a las organizaciones promedio puede exceder fácilmente una docena o más, y volverse más complejas cada día. Esto está obligando a la mayoría de las empresas a asignar una cantidad excesiva de recursos a los esfuerzos de gobierno y cumplimiento además de su larga lista de prioridades de TI. ¿Se justifican estos esfuerzos? ¿O simplemente un requisito de casilla de verificación como parte de un enfoque de seguridad basado en el cumplimiento?

La amarga verdad es que puede programar una auditoría, pero no puede programar un ataque cibernético. Casi todos los días, recordamos este hecho cuando las infracciones son noticia de primera plana. Como resultado, muchas organizaciones han concluido que para obtener información sobre su postura de riesgo, deben ir más allá de las simples evaluaciones de cumplimiento. Como resultado, están tomando en cuenta las amenazas y vulnerabilidades, así como el impacto comercial. Solo una combinación de estos tres factores asegura una visión holística del riesgo.

La trampa del cumplimiento

Las organizaciones que persiguen un enfoque de gestión de riesgos basado en el cumplimiento de las casillas de verificación solo logran la seguridad en un punto en el tiempo. Esto se debe a que la postura de seguridad de una empresa es dinámica y cambia con el tiempo. Esto ha sido probado una y otra vez.

Recientemente, las organizaciones progresistas han comenzado a buscar un enfoque de seguridad más proactivo y basado en el riesgo. El objetivo en un modelo basado en el riesgo es maximizar la eficiencia de las operaciones de seguridad de TI de una organización y proporcionar visibilidad sobre la postura de riesgo y cumplimiento. El objetivo final es mantener el cumplimiento, reducir el riesgo y fortalecer la seguridad de forma continua.

Varios factores están causando que las organizaciones pasen a un modelo basado en el riesgo. Estos incluyen, pero no se limitan a:

• Legislación cibernética emergente (por ejemplo, Ley de protección y uso compartido de ciberinteligencia)
• Orientación de supervisión por parte de la Oficina del Contralor de la Moneda (OCC)

Seguridad al rescate?

Se cree comúnmente que la gestión de vulnerabilidades minimizará el riesgo de una violación de datos. Sin embargo, sin colocar las vulnerabilidades en el contexto del riesgo asociado con ellas, las organizaciones a menudo desalinean sus recursos de remediación. A menudo pasan por alto los riesgos más críticos y solo abordan la "fruta baja".

Esto no solo es una pérdida de dinero, sino que también crea una ventana de oportunidad más larga para que los piratas informáticos exploten vulnerabilidades críticas. El objetivo final es acortar la ventana de los atacantes tienen que explotar una falla de software. Por lo tanto, la gestión de vulnerabilidades debe complementarse con un enfoque holístico de la seguridad basado en el riesgo, que considere factores como las amenazas, el alcance, la postura de cumplimiento de la organización y el impacto comercial. Si la amenaza no puede alcanzar la vulnerabilidad, el riesgo asociado se reduce o se elimina.

El riesgo como única verdad

La postura de cumplimiento de una organización puede desempeñar un papel esencial en la seguridad de TI al identificar los controles compensatorios que se pueden usar para evitar que las amenazas lleguen a su objetivo. De acuerdo con el Informe de Verizon Data Breach Investigations 2013, un análisis de los datos obtenidos de las investigaciones de incumplimiento que Verizon y otras organizaciones han realizado durante el año anterior, el 97 por ciento de los incidentes de seguridad fueron evitables a través de controles simples o intermedios. Sin embargo, el impacto comercial es un factor crítico para determinar el riesgo real. Por ejemplo, las vulnerabilidades que amenazan los activos comerciales críticos representan un riesgo mucho mayor que las que están asociadas con objetivos menos críticos.

La postura de cumplimiento generalmente no está vinculada a la importancia comercial de los activos. En cambio, los controles compensatorios se aplican genéricamente y se prueban en consecuencia. Sin una comprensión clara de la importancia comercial que un activo representa para una organización, una organización no puede priorizar los esfuerzos de remediación. Un enfoque basado en el riesgo aborda tanto la postura de seguridad como el impacto comercial para aumentar la eficiencia operativa, mejorar la precisión de la evaluación, reducir las superficies de ataque y mejorar la toma de decisiones de inversión.

Como se mencionó anteriormente, el riesgo está influenciado por tres factores clave: postura de cumplimiento, amenazas y vulnerabilidades e impacto comercial. Como resultado, es esencial agregar inteligencia crítica sobre las posturas de riesgo y cumplimiento con información de amenazas actual, nueva y emergente para calcular los impactos en las operaciones comerciales y priorizar las acciones correctivas.

Tres elementos para una visión holística del riesgo

Existen tres componentes principales para implementar un enfoque de seguridad basado en el riesgo:

• El cumplimiento continuo incluye la conciliación de activos y la automatización de la clasificación de datos, la alineación de los controles técnicos, la automatización de las pruebas de cumplimiento, el despliegue de encuestas de evaluación y la automatización de la consolidación de datos. Con el cumplimiento continuo, las organizaciones pueden reducir la superposición aprovechando un marco de control común para aumentar la precisión en la recopilación de datos y el análisis de datos, y reducir los esfuerzos redundantes, así como manuales, de trabajo intensivo hasta en un 75 por ciento.
• El monitoreo continuo implica una mayor frecuencia de evaluaciones de datos y requiere automatización de datos de seguridad al agregar y normalizar datos de una variedad de fuentes, como información de seguridad y gestión de eventos (SIEM), gestión de activos, feeds de amenazas y escáneres de vulnerabilidades. A su vez, las organizaciones pueden reducir costos unificando soluciones, racionalizando procesos, creando conciencia situacional para exponer vulnerabilidades y amenazas de manera oportuna, y recolectando datos de tendencias históricas, que pueden ayudar en la seguridad predictiva.
• La remediación de circuito cerrado y basada en el riesgo aprovecha a los expertos en la materia dentro de las unidades de negocios para definir un catálogo de riesgos y tolerancia al riesgo. Este proceso implica la clasificación de activos para definir la criticidad del negocio, la calificación continua para permitir la priorización basada en el riesgo y el seguimiento y la medición en bucle cerrado. Al establecer un ciclo de revisión continua de los activos existentes, las personas, los procesos, los riesgos potenciales y las posibles amenazas, las organizaciones pueden aumentar drásticamente la eficiencia operativa, al tiempo que mejoran la colaboración entre las operaciones de negocios, seguridad y TI. Esto permite que los esfuerzos de seguridad, como el tiempo de resolución, la inversión en personal de operaciones de seguridad, las compras de herramientas de seguridad adicionales, se midan y se hagan tangibles.

La línea de fondo sobre riesgo y cumplimiento

Los mandatos de cumplimiento nunca fueron diseñados para conducir el bus de seguridad de TI. Deben desempeñar un papel de apoyo dentro de un marco de seguridad dinámico impulsado por la evaluación de riesgos, el monitoreo continuo y la remediación de circuito cerrado.