Tabla de contenido:
- Lo que hace un CISO
- El panorama para los profesionales de seguridad
- Otros presupuestos y seguridad para pymes
Las empresas están siendo blanco de ataques cibernéticos a un ritmo alarmante. Las infracciones importantes en Target en diciembre de 2013 y Neiman Marcus en enero de 2014 destacaron las grandes deficiencias que muchos puntos de venta minoristas tienen en su infraestructura de seguridad. Como resultado, cada vez más empresas, tanto grandes como pequeñas, sienten la necesidad de intensificar sus esfuerzos y tener un equipo de seguridad dedicado.
Según un informe publicado por Reuters en mayo de 2014, varias grandes corporaciones, como Pepsi y JPMorgan Chase & Co., están a la caza de nuevos directores de seguridad de la información (CISO) en un intento por reforzar las prácticas de seguridad. Lo que esto refleja es una mayor conciencia de la seguridad y su importancia a nivel ejecutivo de la empresa.
Los CISO y los jefes de seguridad cibernética están inmersos en la seguridad de su tecnología, tanto para el empleador como para el cliente, pero sus roles y responsabilidades se están volviendo más pronunciados e imperativos a los ojos del público en general, no solo entre la comunidad de seguridad.
"Hace cinco años, la seguridad de la información apenas resolvió las 10 principales preocupaciones de los directorios. Hace un año, era el número 2. Curiosamente, ahora es la seguridad de los datos y no solo la seguridad de la información", dice David Boehmer, socio gerente regional de la firma de reclutamiento Heidrick & Luchas, en un video de YouTube producido por la compañía).
Lo que hace un CISO
El papel de un CISO puede ser bastante amplio, y a menudo se encuentran usando muchos sombreros diferentes. El trabajo implica todo, desde la seguridad interna, como la gestión de la seguridad de la propiedad intelectual, hasta ser responsable de la seguridad del cliente.
"También trabajo con nuestro equipo de producto y equipo de ingeniería para implementar características en el producto que puedan ser interesantes para los compradores de seguridad", dice Joan Pepin, CISO de Sumo Logic.
Si bien la violación de Target el año pasado ciertamente hizo que mucha gente hablara, Pepin explica que no estaba tan sorprendida, y tampoco la mayoría de la comunidad de seguridad. Sin embargo, eso no quiere decir que la comunidad de seguridad no haya tenido sus "momentos decisivos", donde todos necesitaban reforzar su trabajo para avanzar.
La violación de RSA en 2011, en la que los piratas informáticos violaron los servidores de la compañía de seguridad de la información y robaron tokens de autenticación que proporcionaron acceso a datos confidenciales del gobierno y corporativos, causaron gran revuelo entre muchos profesionales de la seguridad. ¿Cómo podría una compañía de seguridad caer presa de hackers como ese? Solo dos años después, esa preocupación cambiaría a un objetivo que previamente había pasado desapercibido: los clientes minoristas. Ataques como los vistos en Target y Neiman Marcus cambiaron la atención a la seguridad del cliente cotidiano.
"Claramente, cuando tienes una operación minorista masiva con miles y miles de empleados, todos estos sitios diferentes, máquinas de punto de venta, ese es el tipo de sistema más pobre y el hecho de que ese tipo de ataques no ocurrieron en ese tipo de báscula antes es realmente una sorpresa para mí ", dijo Pepin.
El problema radica en que la seguridad es vista simplemente como una casilla de verificación para que las compañías marquen y se vayan, en lugar de ser un aspecto constantemente vigilado de sus negocios. Esto no significa que los ciberdelincuentes sean laxos y puedan entrar. De hecho, los ciberdelincuentes se están volviendo cada vez más hábiles.
"fue una violación bastante sofisticada, capaz de hacerse pasar por el agente de BMC y ese tipo de cosas sigilosas. Participar en movimientos laterales en toda la red de Target fue bastante inteligente", dijo Pepin.
"No quiero alejarme de eso, pero en términos de dificultad en el objetivo, sin juego de palabras, nunca colocaría a ninguna cadena minorista en una lista de objetivos difíciles. Las compañías de seguridad son objetivos difíciles, el gobierno es un objetivo difícil". En una cadena minorista cuyo negocio es vender calcetines, no esperaría que fueran una tienda súper segura ".
El panorama para los profesionales de seguridad
En junio de 2014, Target contrató a su primer CISO, Brad Maiorino, un ex ejecutivo de General Motors que supervisará una revisión de las prácticas de seguridad de la compañía.
Las empresas, independientemente de su campo o su tamaño, deberán tomar nota y mejorar su juego de seguridad en respuesta a las amenazas cada vez mayores con mayor conciencia y más autoridad para actuar ante posibles infracciones.
"Estaba claro … en el caso de Target, se generaron alertas a las que nadie respondió y que, en mi experiencia proveniente de la seguridad administrada, es extremadamente típico", dijo Pepin.
"El mejor sistema de detección de intrusiones en el mundo todavía tiene una tasa muy alta de falsos positivos, por lo que los respondedores de seguridad son entrenados básicamente por sus sistemas para ignorar sus sistemas. Hay una brecha tecnológica en la interacción humana allí, donde los primeros respondedores se vuelven insensibles a los miles de alerta de que reciben basura. En el caso de Target, hubo algunas señales que no se siguieron y que podrían haber ayudado a minimizar el impacto mucho antes ".
Como suele ser el caso, un profesional de seguridad no puede actuar de inmediato sobre un problema porque necesita autorización o aprobación de alguien más en la jerarquía. Esto debe cambiar, dice Pepin, y explica que el equipo de seguridad de una empresa debe tener más autonomía y autoridad para tomar la iniciativa.
"Siento que todavía es un problema de gobernanza que los directores de seguridad de la información no deberían informar a los CIO", dice Tom Kellermann, director de seguridad cibernética de Trend Micro. "Deberían informar directamente al director de riesgos o al director general". Esto elimina a muchos intermediarios y garantiza un tiempo de respuesta más rápido ante posibles emergencias.
Pipino está de acuerdo en que los profesionales de seguridad deben "informar directamente a la cima" en su empresa. "Tengo la suerte de informar a nuestro CEO. Eso funciona muy bien y eso es algo que realmente recomendaría a cualquier organización que se tome en serio su seguridad".
Otros presupuestos y seguridad para pymes
Contratar un CISO y expandir su equipo de seguridad está muy bien si tiene el presupuesto, pero ¿qué pasa con las empresas más pequeñas? Si bien un ataque a una cadena pequeña o a su ferretería local no cosechará los mismos beneficios para los piratas informáticos que golpear a un objetivo o Neiman Marcus, sigue siendo imprudente dejarlo vulnerable de ninguna manera. Entonces, ¿qué puedes hacer para mitigar el riesgo de ataque? Pipino recomienda contratar los servicios de un contratista o consultor de respuesta a incidentes.
"En caso de que te ataquen, tienes a alguien a quien puedes llamar, por lo que no tienes que abrir Google y comenzar a buscar", dijo.
Esto tendrá más sentido económico para una empresa más pequeña, explica, ya que la empresa solo usará los servicios cuando sean necesarios. Estos servicios también son extremadamente especializados en retomar donde lo dejó su personal.
"Puedes tener un equipo fantástico para hacer triaje, entendiendo que estás bajo ataque, pero ese no es exactamente el mismo conjunto de habilidades necesarias para responder a ese ataque, para enrutarlos fuera de tu red y recolectar la evidencia de una manera que pueda ser utilizado en un tribunal de justicia ".
Las empresas tienen muchos recursos a su disposición para combatir el delito cibernético. La historia reciente sugiere que otro gran ataque está a la vuelta de la esquina.