Lidiar con los ciberataques: mejores prácticas para los CISO

Las organizaciones holandesas son extremadamente vulnerables a los ataques digitales, advirtió recientemente el Coordinador Nacional de Contraterrorismo y Seguridad en la Imagen de Seguridad Cibernética de los Países Bajos. ¿Cómo manejan los directores de seguridad de la información los nuevos riesgos cibernéticos y
qué pueden aprender otros de ellos? Paul Oor, Director de Seguridad de Conclusión, y Jan Willem Schoemaker, CISO en Erasmus MC, hablan sobre desarrollos, desafíos y mejores prácticas.

Mejores prácticas para evitar Ciber Ataques

Lidiar con los ciberataques: mejores prácticas para los CISO

“El Director de Seguridad de la Información (CISO) es responsable de todo el proceso de seguridad de la información y gestiona el Sistema de Gestión de Seguridad de la Información para esto. Por lo tanto, el CISO desempeña un papel clave en el tratamiento de los riesgos cibernéticos y la manifestación de amenazas digitales «, dice Jan Willem Schoemaker, CISO y Gerente de Continuidad de Negocios en Erasmus MC, sobre la participación de los CISO en el tratamiento de los riesgos cibernéticos. La Cybersecurity Image Netherlands (CSBN), de la cual el Coordinador Nacional de Antiterrorismo y Seguridad (NCTV) presentó recientemente la nueva edición, hace una distinción entre los riesgos que se refieren a la posibilidad de que ocurra un incidente y la manifestación real del mismo.

Jan Willem Schoemaker – CISO en el Erasmus MC.

«El papel del CISO es mapear todo el proceso de resiliencia digital y organizar las medidas para preparar a la organización para riesgos e incidentes», dice Schoemaker. “El CISO no es enfáticamente la persona que implementa medidas en la práctica, sino que mantiene una visión general de todo el proceso de gestión de riesgos. Se trata de crear una combinación equilibrada de medidas para limitar los riesgos, pero también, por ejemplo, prepararse para ataques cibernéticos y salvaguardar la continuidad del negocio durante los incidentes ”. En incidentes mayores, el CISO también puede desempeñar un papel en la gestión de crisis y la gestión de crisis. asesoramiento sobre esto a la gerencia.

Priorizar
“Los CISO son conscientes de los riesgos de los ciberataques. El desafío es convencer a la organización para que priorice los riesgos «, dice Paul Oor, Director de Seguridad de Conclusion, que agrupa la experiencia de 25 empresas holandesas activas en diversas áreas de servicios de TI. «Las historias en los medios sobre el espionaje por parte de China y Rusia conducen a una mayor conciencia del problema», piensa Oor. “Pero no siempre nos damos cuenta de cuán grande se ha vuelto nuestra dependencia de TI. Solo piense en lo que sucedería si personas maliciosas apagaran los semáforos en una ciudad o apagaran la electricidad de un hospital «.

Según el CSBN 2019, incluso la interrupción de la sociedad holandesa está al acecho. “Un incidente en una red puede conducir a una cadena de incidentes y, en última instancia, a la falla de, por ejemplo, gas, agua o electricidad. Debido a la desaparición casi completa de las alternativas analógicas y la ausencia de opciones alternativas, la dependencia se ha vuelto tan grande que el daño puede conducir a un daño socialmente disruptivo «, dijo el informe.

Conciencia a nivel gerencial

El NCTV no es el único que advierte sobre riesgos cibernéticos. Según una investigación reciente de KnowBe4, casi un tercio de las organizaciones son susceptibles a las estafas de phishing. Más de la mitad de los directores que participaron en la investigación de la firma internacional de abogados Allen & Overy y la consultora Willis Towers Watson, dijeron que habían experimentado un incidente cibernético en 2018. En 2017, esto fue menos de un tercio. Los investigadores esperan que esta amenaza solo aumente.

Una apelación al miedo, la incertidumbre y la duda no siempre es la mejor manera de crear conciencia sobre los riesgos de seguridad, dice Oor, quien anteriormente trabajó como Director de Seguridad en Atos. “Pero los CISO tienen la responsabilidad de determinar qué riesgos reales existen. Además, los CISO pueden señalar a sus colegas que es esencial que la organización maneje los datos, los datos personales y otros activos con cuidado, y que la prevención ciertamente no carece de perspectiva. También tienen un papel ejemplar en la creación de respeto por las personas que trabajan a diario para mantener segura la organización y la información ”. Todos estos temas se abordan en el curso práctico de tres días CISO como socio comercial estratégico de IIR.

«Es importante que los CISO a nivel gerencial indiquen qué riesgos están involucrados, qué se está haciendo al respecto y qué más puede hacer la organización», agrega Schoemaker. Según Schoemaker, publicaciones como la ayuda de CSBN, que además de CISO también es profesora invitada del curso práctico Seguridad para profesionales de la privacidad y habla en noviembre durante el Congreso de Protección de Datos y Privacidad en Utrecht, para informar a la gerencia sobre las tendencias, los riesgos y las lecciones aprendidas de otras organizaciones.

Soluciones de resiliencia digital
Además de fortalecer la conciencia, un desafío importante para los CISO es proponer soluciones que aumenten la resiliencia digital de la organización. Oor: “Eso significa principalmente que la seguridad está debidamente integrada en la organización. La gestión de la seguridad debe estar constantemente en la agenda, incluso si eso a veces es difícil para la organización, y el enfoque no suena muy sexy ”.

Un enfoque de riesgo estructurado es esencial, dice Schoemaker. “Identificar, proteger, detectar, responder y reparar son las partes básicas de esto. Los marcos de estándares para la seguridad cibernética, como el de NIST, también ayudan a comenzar de manera estructurada ”. Durante el curso de seis días de Seguridad de la Información en IIR, los expertos dirigidos por el profesor Brenno de Winter hablan sobre todos los fundamentos técnicos, organizativos y legales relevantes.

Paul Oor – Director de seguridad en conclusión.

En gran medida, la preparación para los ataques cibernéticos se basa en actividades rutinarias, como actualizaciones continuas, escaneos de vulnerabilidades y pruebas PEN, según Oor. “Eso puede parecer aburrido, pero debe hacerse. Por cierto, la automatización puede ayudar a realizar comprobaciones comunes «. Schoemaker agrega:» Debe saber cuáles son las vulnerabilidades de la organización. A medida que nos volvemos más dependientes de los sistemas digitales como organizaciones, se hace cada vez más difícil cerrar por completo un recurso de TI después de un ataque cibernético para investigar lo que sucedió «.

«Conoce a tu enemigo», Schoemaker resume su consejo. “El peor de los casos es que una organización no es consciente de que algo salió mal. El tiempo promedio que tardan las organizaciones en descubrir un hack o violación de datos es en días o semanas en lugar de minutos u horas. El conocimiento actualizado sobre tendencias, técnicas y modus operandi puede contribuir a una mejor capacidad de recuperación ”. Por ejemplo, los bancos han tomado medidas exitosas contra el phishing, pero los autores han adaptado el modus operandi a esto. El CSBN 2019 señala que los correos electrónicos de phishing son cada vez más difíciles de reconocer para los legos, lo que hace que la detección a través del software sea más importante.

Practica con la prevención

Oor aconseja a los CISO que se centren en las soluciones específicas del grupo objetivo. «Se pueden usar ejemplos atractivos para indicar a grupos objetivo específicos qué puede salir mal, qué se debe hacer para que los riesgos sean manejables y cuál es la mejor manera de responder a un incidente». En Erasmus MC hay una computadora para esto Equipo de Respuesta a Emergencias (CERT), que organiza educación, capacitación y ejercicios.

El e-learning sigue siendo un método comúnmente utilizado para crear conocimientos básicos sobre seguridad. Pero para el desarrollo efectivo del conocimiento, los métodos de aprendizaje contemporáneos orientados al grupo objetivo, como la gamificación, son indispensables, dice Oor. “La gente realmente puede experimentar cómo funciona la prevención en una simulación. Como resultado, los consejos perduran mejor y a menudo surgen nuevas ideas e ideas ”.

Colaboración inteligente

El CISO haría bien en buscar activamente la colaboración con colegas, dice Oor. Por ejemplo con (otros) oficiales de seguridad y desarrolladores de TI. «Como Director de Seguridad, apoyo el intercambio de conocimientos entre nuestros oficiales de seguridad y presto atención a la sinergia y la coherencia entre las políticas de seguridad y los métodos de trabajo de las diversas compañías». Además, los ejercicios con equipos azules y equipos rojos permiten a los diferentes profesionales a cada uno desde su propia perspectiva y pruebas de roles de las vulnerabilidades de los sistemas.

Llaves
También hay oportunidades para colaborar con otras empresas, gobiernos y universidades. Iniciativas como el Consejo de Seguridad Cibernética (CSR), el Centro Nacional de Seguridad Cibernética (NCSC) y el Centro de Confianza Digital (DTC) están comprometidos con dicha cooperación. Schoemaker: «La cooperación con todas las partes interesadas ayuda a obtener nuevos conocimientos y a probar la capacidad de recuperación digital de la organización».