La Ciberseguridad y la función de riesgo

Pedro Luis Martín Olivares
Pedro Luis Martín Olivares - La Ciberseguridad y la función de riesgo

Pedro Luis Martín Olivares – ¿Sus profesionales de la tecnología de la información, de la ciberseguridad y de riesgos trabajan juntos como un equipo para neutralizar las amenazas cibernéticas y proteger el valor comercial?

La mayoría de los directores ejecutivos de grandes organizaciones están convencidos de las dimensiones de los ciberdelitos. Los más experimentados han comenzado a abordar la ciberseguridad con una perspectiva de toda la empresa, en la que participan los equipos del director de seguridad de la información (CISO), el director de información (CIO) y el director de riesgo (CRO), al igual que las unidades de negocio. Una verdadera asociación entre estos equipos es el enfoque óptimo, que surge de reconocer que ningún líder o equipo puede obtener la perspectiva completa necesaria para ser efectivo en el dominio cibernético. Ningún grupo dentro de una empresa podría administrar la cantidad y los tipos de amenazas internas y externas, ni el complejo panorama tecnológico y las muchas acciones necesarias para abordar las vulnerabilidades asociadas con las personas y la tecnología. Necesitan trabajar juntos.

El statu quo: control solo CISO

Sin embargo, aún no se ha adoptado ampliamente un enfoque de colaboración en toda la empresa. Para muchas empresas, la responsabilidad de facto de la ciberseguridad se ha transferido casi exclusivamente al director de seguridad de la información. El CISO puede trabajar con equipos liderados por el CRO y el CIO, pero la colaboración generalmente ocurre en una base ad hoc en lugar de una estrategia coordinada. Como tal, la función de riesgo no participará en la medida necesaria para incorporar la concientización sobre el riesgo empresarial en la postura y la planificación de la seguridad cibernética de una empresa ni para alinear la estrategia con el apetito de riesgo empresarial de la empresa. Sin un enfoque basado en el riesgo en la ciberseguridad, las empresas a menudo pasan por alto los verdaderos impulsores del riesgo, un error que puede magnificar una crisis y llevar a pérdidas empresariales innecesariamente grandes. Uno de los desafíos para la colaboración ha sido la naturaleza técnica del entorno de ciberseguridad , una condición permanente que debe abordarse cuando las organizaciones incorporan la función de riesgo y el pensamiento de riesgo en la estrategia de ciberseguridad. A las organizaciones de riesgo les puede resultar difícil contribuir de manera significativa a las discusiones basadas en tecnología. A la inversa, los equipos de ciber seguridad pueden ser reacios a agregar procesos de riesgo, como las autoevaluaciones de riesgo y control, a sus agendas, ya que se encuentran en tareas técnicas complejas. Otra complicación es la tendencia de los ejecutivos y miembros de la junta a confiar exclusivamente en el CISO y su equipo cuando se enfrentan a un problema de ciberseguridad . Por lo general, esto agrega presión a un equipo que ya está sobrecargado al tiempo que refuerza la idea de que el CISO tiene el único punto de vista sobre el tema.

La urgencia de una lente de riesgo

En teoría, la función de riesgo se encarga de administrar todo el riesgo operacional en toda la organización, pero en virtud de la disposición centrada en CISO para la ciberseguridad , la función de riesgo a menudo se deja al margen en el área de riesgo cibernético. La ausencia de la perspectiva de riesgo esencial puede sesgar la postura de ciberseguridad de manera irracional hacia temas de la preocupación más inmediata para los líderes principales o hacia el miedo a la seguridad del día.

Tales sesgos potencialmente magnifican el peligro de que las vulnerabilidades reales sean ignoradas. La supervisión de riesgos de las prácticas de ciberseguridad puede garantizar que la estrategia proteja los activos más valiosos, donde una infracción supondría el mayor daño potencial para el negocio, ya sea en términos de reputación, intervención reguladora o resultado final. Un beneficio simultáneo es que esta lente de riesgo ayuda a controlar los costos. La inevitabilidad y la proliferación de los ataques cibernéticos hacen que la mitigación de todos los riesgos sea financieramente imposible. Por lo tanto, las empresas deben revisar todos los riesgos en la organización, ubicar y mitigar los más significativos, aplicando las intervenciones de protección, detección y respuesta de manera prioritaria.

Cumplir con este requisito obvio y priorizar los riesgos más importantes para la empresa, es prácticamente difícil dentro del enfoque centrado en CISO. La tarea puede ser especialmente difícil para los CISO y otros profesionales de seguridad cuya capacitación y experiencia se hayan centrado en el diseño e implementación de protecciones de seguridad sólidas o en la ejecución de un flujo de trabajo de operaciones de seguridad. La gestión de riesgos, la identificación, evaluación cuantitativa y la priorización de riesgos, está fuera de su enfoque principal. Por supuesto, estos son exactamente los propósitos de la organización de riesgos. En casi todas las otras áreas de la empresa, el grupo de riesgo está constantemente identificando, evaluando y remediando los riesgos. El equipo de riesgo debería estar haciendo esto también para el ciber riesgo. La pregunta es, ¿cuál es la mejor manera de integrar el riesgo en el entorno de ciberseguridad?

Obstáculos a la colaboración entre los equipo CISO–Riesgo

Si bien los modelos organizacionales para el manejo de los riesgos cibernéticos varían entre las instituciones, se observan comúnmente varias deficiencias. Lo más básico ha sido la falta de claridad en cómo se debe aplicar el concepto de líneas de defensa. Este concepto, tal como fue desarrollado por las instituciones financieras para gestionar el riesgo en el entorno regulatorio, delinea claramente tres líneas: gerentes de negocios y operaciones, funciones de riesgo y cumplimiento, y auditores internos. Para el riesgo cibernético, el concepto de líneas de defensa se puede ver en los roles de la función de ciberseguridad como la primera línea de defensa y la función de riesgo como la segunda.

Es decir, la función de ciberseguridad , generalmente como parte integral de TI, inicia las intervenciones de mitigación de riesgos que protegen, detectan y responden a las amenazas generadas en las operaciones comerciales y de TI. Como la segunda línea de defensa, la función de riesgo trabaja con la primera línea para identificar y priorizar los ciber delincuentes. En la práctica, se produce una cierta distorsión de estos límites (y se recomienda un intercambio saludable de perspectivas), ya que las organizaciones trabajan colectivamente a través de las líneas para identificar riesgos y mitigación de vulnerabilidades.

Sin embargo, el «desenfoque» no disminuye la importancia de las responsabilidades de desafío de la segunda línea de defensa. Más bien proporciona a la segunda línea la oportunidad de desafiar la primera línea más a menudo en un diálogo abierto. Como se verá, esta relación beneficia tanto la primera como la segunda línea. La primera línea se vuelve más consciente de cómo el ciber riesgo se adapta a la gestión del riesgo empresarial y está mejor preparado para enfrentar los desafíos de riesgo una vez que las intervenciones están en marcha. Mientras tanto, la segunda línea se familiariza con las capacidades y los planes de la primera línea.

En los enfoques de ciberseguridad centrados en CISO, el equipo de CISO puede ser responsable de todos los roles en las líneas de defensa. El equipo puede identificar los riesgos cibernéticos, decidir sobre las inversiones en mitigación, diseñar los controles de seguridad técnicos y no técnicos, administrar los recursos necesarios para implementar controles e iniciativas operacionales, y determinar cómo se deben medir y reportar los esfuerzos de reducción de riesgos. La misma función (y algunas veces la misma persona) realizará o dirigirá todas las actividades de identificación de riesgos y de reducción de riesgos y luego certificará si las actividades están funcionando. (No es sorprendente que, según este acuerdo, el informe generalmente muestre que el progreso ha sido bueno).

En algunas empresas que utilizan un enfoque basado en CISO, la función de riesgo en teoría desempeña un papel de supervisión como la segunda línea de defensa. Sin embargo, no se puede obtener una comprensión significativa de las actividades de ciberseguridad sin un compromiso más profundo. A menudo, el CRO no tendrá un mandato claro para este tipo de participación y le resultará difícil desafiar las actividades controladas por el CISO. Otros obstáculos incluyen la falta de habilidades de ciberseguridad dentro de la función de riesgo y una visión insuficiente de la unidad de riesgo (el activo de información) y el valor correspondiente en juego.

En resumen, si la función de riesgo no es integral para la evaluación de riesgos y la remediación en el espacio de ciber seguridad, no podrá desempeñar un papel retador significativo. En cambio, para los informes y la información adicional, el CRO y el equipo dependerán de la cooperación voluntaria, a menudo iniciada después de los eventos, es decir, demasiado tarde para corregir.

Una asociación de seguridad estratégica

Muchos CISO y CIO desean integrar sus ventajas más profundamente en el proceso de riesgo empresarial, y la función de riesgo puede y debe estar más involucrada en la ciberseguridad . Sin embargo, las mejores prácticas para lograr el rol óptimo de riesgo en la identificación, la priorización y la gestión de los riesgos cibernéticos apenas han comenzado a surgir. Muchas compañías han luchado para definir y distinguir los deberes de todas las partes relevantes de manera clara y lógica, de modo que puedan interactuar de manera efectiva y en la secuencia correcta para reducir realmente el riesgo. Pero algunas empresas están encontrando una mejor manera. Vemos las mejores prácticas emergentes en un enfoque que llamamos una «asociación de seguridad estratégica».

Motivado por un mandato explícito del liderazgo ejecutivo, el enfoque implica el compromiso y la cooperación plena del CISO, CIO y los equipos de CRO en el espacio de ciberseguridad . Para implementar el enfoque, un modelo operativo integrado debe ser cuidadosamente graficado y probado, comenzando con los procesos clave alrededor de los cuales se diseña una organización y una cultura.

Lo que sigue es un esquema de este método implementado exitosamente por una gran corporación.

  1. El rol del director de riesgos y el equipo de riesgos
  • En asociación con el CISO y los especialistas en seguridad, el equipo de riesgos se forma una vista temprana de los ciber riesgos en toda la empresa, incluidos los riesgos adyacentes como el fraude y el riesgo de los proveedores. Este desafío temprano de las posibles intervenciones de primera línea ayuda a fomentar la colaboración necesaria para un proceso más eficaz y eficiente para priorizar los riesgos de remediación.
  • El CRO ayuda al CISO y el CIO a diseñar los principios de ciber inversión para la empresa.
  • El equipo de riesgo funciona con el CISO y el CIO para desarrollar y presentar la cartera general de iniciativas a la gerencia ejecutiva.
  • El equipo de riesgo monitorea de forma independiente el progreso y el estado de las iniciativas, así como los resultados de las ciber inversiones y la mitigación. El equipo también colabora con el CISO y el CIO para elaborar mitigaciones y plazos razonables cuando se violan las directrices acordadas.
  1. La función del director de seguridad de la información
  • Con la orientación del director de riesgos, el CISO y su equipo traducen las recomendaciones de ciber riesgo en iniciativas técnicas y no técnicas. El CISO evalúa y los alinea con el equipo del CIO, ya que el diseño, la arquitectura y la implementación de la iniciativa requerirán recursos del CIO. Los equipos de CISO, CIO y CRO aprueban conjuntamente el programa de trabajo. El equipo de CISO trabaja con el equipo de CIO para diseñar las soluciones que cumplan con cada iniciativa.
  • Junto con el CRO, el CISO alinea el formato, el contenido y la cadencia de los informes de los riesgos cibernéticos, de modo que cyber riesgo se comunica con todos los demás riesgos. El CISO y el CIO implementan iniciativas de informes e informan conjuntamente sobre el progreso y el estado del CRO, que luego informa al liderazgo ejecutivo y al consejo.
  • Ya sea solo o junto con el CIO, el CISO dirige un centro de operaciones de seguridad (SOC). En un caso exitoso, el centro de operaciones se ejecuta de manera conjunta, con el equipo de CIO centrado en el flujo de trabajo operativo y el equipo de CISO que proporciona asistencia específica de seguridad, incluida la inteligencia de amenazas, análisis forense y la planificación de ejercicios del equipo rojo-azul. Sin embargo, incluso si el equipo de CISO tiene el control total de SOC, deberá trabajar en estrecha colaboración con los equipos de CIO que ejecutan las operaciones de TI, como la red o el monitoreo de la producción.
  1. El rol del director de información
  • Como se indicó en la discusión anterior sobre los roles de CRO y CISO, el equipo de CIO tiene un interés igual en abordar el ciber riesgo en todos los procesos. Su igualdad es absolutamente esencial, ya que el CIO y el equipo son los principales responsables de la implementación y deberán equilibrar las demandas de seguridad de su capacidad con sus otros requisitos de «ejecución» y «cambio» de TI.

Las ventajas de una asociación de seguridad estratégica

Una asociación de seguridad estratégica generalmente superará los desafíos de su adopción. Primero, este enfoque garantiza que el pensamiento basado en el riesgo esté integrado en el programa de CISO, rompiendo los silos funcionales y sentando las bases para eliminar la fricción organizacional que caracteriza el control solo de CISO. Con el liderazgo de la alta dirección, la mayoría de las instituciones pueden implementar una asociación de seguridad estratégica de inmediato. Para las organizaciones que ya tienen equipos de riesgo, CISO y CIO, el enfoque no requiere nuevas contrataciones ni cambios significativos en las responsabilidades.

La asociación establece las relaciones y perspectivas necesarias desde el principio. Esta ventaja puede ser de gran importancia en el caso de un incidente de ciberseguridad : el CISO y el CIO ya tendrán una visión informada del riesgo y comprenderán el riesgo para el negocio. Mientras tanto, el CRO comprenderá lo que el CISO y el CIO pueden y no pueden hacer. Bajo una asociación de seguridad estratégica, los tres líderes saben cómo trabajar entre sí y cómo incorporar las unidades de negocios según sea necesario. De manera crucial, también entienden la importancia de las comunicaciones internas y externas claras y confiables durante un incidente, a medida que los equipos de CISO y CIO se dedican al negocio de la contención, la erradicación y la remediación.

Dada la cantidad de funciones involucradas y la complejidad de las tareas, los procesos de identificación y priorización de riesgos, alineación del programa y acuerdo e implementación de iniciativas pueden llevar mucho tiempo. Un propósito esencial del modelo es asegurar que el CRO y el grupo de riesgo entiendan el riesgo cibernético a nivel de cada activo de información y el valor comercial relativo que conlleva. Sin esta visión esencial, la priorización del riesgo no puede continuar. Los directores involucrados pueden trabajar para mejorar la coordinación, pero deben permitir suficiente tiempo para que estos procesos cruciales se completen correctamente, ya que la efectividad potencial de los resultados será mucho mayor. Probablemente se necesitará una sintonización fina para definir mejor las funciones y responsabilidades, y los derechos de decisión.

Con las amenazas cibernéticas en número y sofisticación, las grandes instituciones ya no pueden protegerse contra todos los riesgos por igual. Las amenazas que representan el mayor peligro para la empresa deben identificarse y neutralizarse primero. Para que esto suceda, la función de riesgo debe estar profundamente integrada en la planificación y las operaciones de seguridad cibernética. De eso se trata el modelo de asociación estratégica-seguridad-seguridad.

Sabías que puedes leer esta artículo y otros en Telegram

Pedro Luis Martín Olivares
Economía y Finanzas

Deja un comentario

Tu dirección de correo electrónico no será publicada.


*


*