Cómo construir una base sólida ayudará a hacer crecer su programa de ciberseguridad
La ciberseguridad es un tema tan amplio que, muchas veces, una organización puede verse sofocada cuando trata de desarrollar un programa completo de ciberseguridad. Algunas organizaciones que ya implementaron un programa de seguridad cibernética también pueden descubrir de manera desagradable brechas en sus esfuerzos, lo que hace que todo el proyecto parezca discutible. Una forma de comenzar de manera efectiva, así como de prevenir brechas, es construir una buena base sobre la cual un programa de seguridad cibernética pueda crecer y madurar.
Recientemente tuve la oportunidad de hablar con David O´Leary Director Sr. de Soluciones de Seguridad para SHI/escala de estratos. La experiencia de David se remonta al inicio de la red y la ciberseguridad, por lo que tiene mucha experiencia en el mundo real que se puede aprovechar para ayudar a cualquier organización a iniciar, escalar y madurar su programa de ciberseguridad. David, ¿puedes contarnos un poco sobre tu historia y dónde comenzó tu viaje hacia la ciberseguridad?
David O’Leary: Sí, y gracias por la oportunidad de hablar contigo hoy. Ha sido un gran viaje hacia lo que se ha convertido en ciberseguridad. Me gustan los rompecabezas y me gusta armar varios rompecabezas al mismo tiempo. También disfruto construyendo automóviles. Si bien esto no está necesariamente relacionado con la seguridad cibernética, mis pasatiempos me permiten traducir esa mentalidad mecánica en mi trabajo. Esto me dio una sólida formación en métodos y procesos.
Cuando era más joven, alrededor de los 20 años, tuve la suerte de trabajar en un centro de datos, construyendo una infraestructura central. Trabajé en todos los componentes de un centro de datos, desde enrutadores hasta sistemas Unix y cualquier otra cosa que me arrojaran. Estaba absorbiendo esta experiencia y me encantaba, y todo era buena tecnología. Tenía mis dedos en el teclado y mis manos en el centro de datos. En aquel entonces, cuando tenía que construir, empujar cosas en bastidores y ensamblar físicamente todo, le daba una idea real de todas las partes involucradas en el flujo de datos. Un día, la empresa decidió que quería estar en Internet. Querían que lo hiciera porque tenía todas las habilidades y conocimientos sobre el funcionamiento físico y lógico del equipo.
En aquel entonces, para configurar un sistema de correo electrónico, los cortafuegos tenían que construirse desde cero y había que asignar protocolos y bloquear protocolos para proteger el entorno. Entonces, ese fue el comienzo del viaje. Estaba cautivado y feliz; esto era solo otro nivel de tecnología genial.
Progresé a través de múltiples trabajos geniales, desarrollando mucha perspectiva al trabajar del lado del cliente. Con el tiempo, pasé a resolver problemas para los clientes y aprovechar tecnologías geniales para hacerlo. Hoy, estoy enfocado en reunir buenas soluciones y buenas personas, escuchar lo que está sucediendo a escala global, así como tener un dedo en la industria. Todavía es muy divertido.
HCS: Gracias por ese fondo. Cuando trabaja con grandes clientes como los gigantes de Fortune 50, a menudo esas organizaciones intentarán trabajar con marcos de seguridad particulares. Esos marcos a menudo juegan un papel vital en sus programas de seguridad. ¿Qué marcos está viendo y, según el nivel de experiencia que ha adquirido, dónde recomendaría que las organizaciones inviertan su tiempo?
DO: Los marcos son una parte muy vital de un programa de seguridad sólido porque son una guía que una empresa debe usar para desarrollar una hoja de ruta. Hay muchos marcos, por lo que estoy muy abierto a todos ellos, ya que los clientes tienen diferentes tipos de negocios con diferentes necesidades. Lo mejor es estar muy abierto a los diversos marcos que existen. El mejor punto de partida es entender cuáles son las necesidades del negocio. Por ejemplo, si tiene servicios administrados y los desarrolla en cualquier capacidad, ya sea en el aspecto técnico o si ofrece un servicio a través de un centro de datos a una base de clientes, necesita un SOC 2, debe agrega eso a la mezcla. Puede que estés viniendo a FISMA en el aspecto financiero u otros tipos de marcos de cumplimiento. Entonces, fundamentalmente, se debe establecer un marco.
Hay opciones de capacidades. Mi consejo para cualquier cliente es que se asegure de elegir uno, interpretarlo y atenerse a él, ya que esto se relaciona con la forma de adherirse a las normas de cumplimiento. Los reglamentos de cumplimiento cabalgan sobre los marcos. Entra en la forma en que pensamos acerca de los controles tecnológicos, que son vital y fundamentalmente importantes. los LCR del NIST lo abarca todo, así que si no ha elegido un marco, comience allí. Cubre la nube y cubre los aspectos comerciales. Es muy, muy, completo. Tenga un marco establecido y alinee su negocio con él.
HCS: Quiero profundizar un poco más en la mentalidad del marco y las hojas de ruta de seguridad del cliente porque es difícil mirar hacia el futuro. Cuando habla con sus clientes y evalúa su hoja de ruta de seguridad y sus marcos, ¿dónde están las tres o cuatro áreas clave en las que le diría a una organización que realmente se concentre?
DO: Genial, gran pregunta. Ya sea que la empresa sea una gran multinacional o incluso una pequeña organización, un componente clave es que quienquiera que sea el responsable debe comprender sus funciones y responsabilidades. También deben estar enchufados a un ecosistema de otros individuos que tienen diferentes responsabilidades, ya que la seguridad es tangencial. Está conectado a tantos aspectos de una organización, incluidos abogados, ejecutivos de nivel C y otros equipos de tecnología. El compromiso entre equipos es extremadamente importante. También es fundamental para las operaciones de TI.
Siempre es importante comenzar examinando el estado actual del programa de seguridad de una organización, así como la arquitectura de seguridad actual. Por lo tanto, también es importante obtener una comprensión de las tecnologías que se implementan, qué tan bien se implementan esas tecnologías y qué tan integrales se han implementado. Entonces, una pregunta que también debe responderse es: «¿Están usando todas las funciones que hay en el conjunto de productos que están en uso?» En la actualidad, cualquier empresa tiene implementadas entre 25 y 50 herramientas, y esto puede resultar confuso. Debe eliminar esas complejidades, permitir que los equipos y los recursos se concentren en el trabajo en cuestión, así como tener las herramientas en su caja de herramientas para hacer el trabajo. La buena noticia es que la industria está respondiendo y los fabricantes están creando carteras. Están viendo esto desde una perspectiva de soluciones.
Lo siguiente que es realmente vital es la siguiente pregunta: «¿Cuáles son los objetivos del programa?» Y en una nota relacionada, «¿Qué tan alineados están con el resultado comercial que buscan?» Una empresa está en el negocio para realizar un trabajo, y debemos hacerlo para ayudar a que el negocio continúe creciendo, vendiendo un producto y brindando un servicio. Los objetivos son clave en ese sentido. Deben ser medibles. Deben estar alineados con los objetivos comerciales. Y luego, un programa de seguridad maduro tiene acuerdo y reconocimiento sobre cuál es el nivel de riesgo y cómo están gestionando el panorama de amenazas para ese negocio. Y eso es a nivel ejecutivo.
HCS: Es increíblemente importante. Ya sea que dirija un equipo de seguridad, un equipo de cumplimiento o dondequiera que esté, comunicar el valor de un programa de seguridad a la suite ejecutiva debe ser parte de la ecuación. La idea es hacer coincidir el programa con respecto al funcionamiento interno para asegurarse de que la organización tenga éxito.
Al observar las organizaciones que cuentan con estos marcos y que tienen estas herramientas múltiples, ¿cómo están monitoreando las organizaciones su éxito? O al identificar las brechas que tienen actualmente, ya sea que se basen en sus objetivos comerciales, postura de riesgo o marcos, ¿cómo se mide eso?
DO: Realmente le corresponde al liderazgo de seguridad y también al liderazgo en la organización poder comprender lo que están haciendo desde una perspectiva programática. El trabajo del jefe de seguridad es educar a todos los equipos fundamentales que lo rodean. Y nuevamente, debe estar alineado con los objetivos comerciales, por lo que debe hacerse a nivel comercial. Si piensa en una pirámide desde la parte superior de ese nivel comercial hasta la parte inferior de esa pirámide, debe hablar el idioma que se aplica a cada nivel.
Además, la autoevaluación, es decir, saber dónde se encuentra en un momento dado, es crucial. Es como caminar por una ciudad. Si estoy en la ciudad de Nueva York, tengo ojos alrededor de mi cabeza, voy a estar atento a dónde voy y qué está pasando. Voy a hacer todo lo posible para asegurarme de que no me tomen por sorpresa. De manera similar, con la seguridad de una organización, tiene que haber algo de honestidad dentro del programa y permitir la revisión de terceros. La evaluación a ese nivel puede ser compleja, y si la interiorizamos, y no hablamos de ello en el nivel adecuado. No vamos a tener un éxito óptimo.
HCS: A menudo se dice de las organizaciones que cumplir no significa que estés seguro. El hecho de que pueda marcar una casilla en un área determinada no significa necesariamente que tenga la mejor postura de seguridad posible. ¿Qué le diría a una organización que busca hacer lo suficiente para aprobar sus auditorías de cumplimiento pero que no traza necesariamente una línea directa entre el cumplimiento y la seguridad?
DO: Lo que es extremadamente importante es reconocer que cada organización es diferente. Hay diferentes tecnologías, y hay diferentes personas que ejecutan esas tecnologías. Están en diferentes niveles de madurez y capacidad. Es extremadamente importante. Esta es una preocupación ancestral. Si crea un programa de seguridad sólido, logrará el cumplimiento. Las organizaciones deben ser diligentes y crear un programa de seguridad sólido y maduro. Esa es la clave.
HCS: Usted mencionó una base sólida de seguridad y, a menudo, establezco paralelismos entre la base de seguridad y la integridad de la seguridad o la integridad del sistema. Cuando escucha el término «integridad del sistema», ¿qué significa para usted y cómo influye en el cumplimiento de la seguridad o en las operaciones?
DO: Significa mucho. Pensemos en esto. Si no podemos confirmar la integridad de nuestros sistemas y nuestros datos, entonces no podemos asegurar nuestro negocio. La integridad es un componente fundamental. Es integral para una empresa y para un director de seguridad tener fe en el programa que están elaborando. Si no pueden comprender ese nivel de integridad, entonces no pueden garantizar que el negocio sea seguro.
HCS: Agradezco esa observación. Me gustaría cambiar un poco de tema y hablar sobre algunos de los desafíos que están viendo en el mercado en general, ya sean servicios financieros oa través de su experiencia. ¿Cómo están cambiando los ciberataques? ¿Cuáles son las mayores amenazas en las que las empresas deben centrarse?
DO: Hay tantos grados diferentes a considerar. La preocupación por las «habilidades de las personas» es una preocupación a la que se enfrentan todas las organizaciones. La buena noticia es que la industria está respondiendo con fantásticas capacidades en torno a la gestión de sus productos o una pieza del rompecabezas para esas organizaciones. Están proporcionando algo de esa habilidad básica que se necesita. Entonces, estamos viendo algunos cambios allí. El desafío también es que los atacantes sean inteligentes. A medida que los productos, las tecnologías y la industria maduran en torno a la inteligencia artificial y el aprendizaje automático, los atacantes utilizan esas mismas herramientas y se basan en las cepas de malware existentes.
Si echamos un vistazo a la variante que se usó en el ataque de SolarWinds, estuvo disponible por un tiempo y los atacantes usaron un enfoque extremadamente inteligente para aprovechar eso. Vamos a ver mucho más de eso. El ransomware y el malware también continúan aumentando. Cuando consideramos el cambio rápido a una fuerza laboral totalmente remota como resultado de la pandemia de COVID, pasamos de un modelo de oficina regional restringido hasta cierto punto a una oficina de una. Eso abrió más variables, por lo que más de ese panorama de amenazas creció enormemente. Muchas empresas no estaban equipadas para evaluar o no tenían visibilidad a ese nivel para controlar lo que estaba sucediendo. Los ataques son cada vez más inteligentes y rápidos. Los atacantes están comenzando a compartir sus éxitos y fracasos dentro de sus redes criminales, lo que hace que la defensa sea aún más desafiante. Tanto los atacantes como los defensores son igualmente inteligentes. Los criminales también están muy bien financiados.
HCS: El riesgo de la cadena de suministro también es una gran parte de las discusiones en la actualidad. ¿Cómo están trabajando las empresas a través de ese riesgo? ¿Existen mejores prácticas que podría compartir?
DO: Las relaciones con terceros y con terceros no tienen la misma prioridad que el negocio principal. El ataque de SolarWinds despertó a la industria y estamos viendo un cambio. Vuelve a los fundamentos, la visibilidad, el recorrido por donde se mueven sus datos, la comprensión del panorama de amenazas y la aplicación de buenos controles de seguridad.
HCS: Muchas veces, se hace referencia a los humanos como el eslabón más débil, lo que creo que es absolutamente la forma incorrecta de verlo. En realidad, son nuestros aliados más fuertes cuando se trata de mantener segura a la organización. ¿Qué capacitación en seguridad o concientización se debe ofrecer a los empleados, y hay áreas en particular que recomiende como las principales áreas de enfoque?
DO: Esa es una pregunta muy amplia. Estoy completamente de acuerdo con usted en que las personas son de vital importancia para nuestro negocio, y es el deber de una organización asegurarse de que tengan lo que necesitan para hacer su trabajo en esta época. Parte de eso es asegurar que los empleados sean parte del programa de seguridad. Lo que veo es que las organizaciones hacen un gran trabajo al suscribirse a un servicio de capacitación y luego lo implementan, es mecánico y es en blanco y negro. Sin embargo, la ciberseguridad es gris. No es blanco y negro. Entonces, lo que tiene que pasar es que el entrenamiento necesita ser reforzado repetidamente.
Un programa de concientización sobre seguridad debe probarse con los empleados, y debe capacitarlos en los diversos niveles en los que existen en la organización y enseñarles a qué se enfrentan. Por ejemplo, en una oficina comercial, un administrador mueve datos de un lado a otro. En una instalación de infraestructura crítica o de fabricación, habrá Sistemas de control industrial (ICS). Hay diferentes niveles de preocupación aquí, que requieren diferentes capacitaciones. En cualquier organización, existen diferentes niveles de capacitación que deben estar dirigidos a la seguridad. De lo que hablamos con nuestros clientes es cómo ser prescriptivos y ayudar a crear un programa de capacitación que enseñe a los empleados cómo afecta su trabajo específico. Eso, para mí, es la responsabilidad del programa de seguridad en la época actual.
HCS: Es genial cómo lleva eso un paso más allá, vinculándolo a los resultados comerciales. Desafortunadamente, algunos de los programas de concientización sobre seguridad que he visto, o al menos cómo se implementaron, se presentan como una talla única para todos. Tiene que ser más dinámico.
DO: Así es. Flexible y solidario con esos objetivos comerciales.
HCS: ¿Qué piensa sobre el ransomware y cómo el elemento humano influye en cómo el malware ingresa a una organización?
DO: Vuelve a la educación y realmente adapta esa educación (así como las pruebas) con las personas todo el tiempo. El ransomware ha crecido exponencialmente y no va a desaparecer. Juega con el instinto humano. El elemento humano es clave. Vuelve a los temas de los que estamos hablando dentro de ese programa. Nunca podremos tratar completamente con el elemento humano, pero tenemos que educarlos tanto como sea posible. Por otro lado, hablemos de lo fácil que es restaurar un ataque de ransomware. ¿Qué tan rápido podemos responder cuando ocurra ese incidente? Este también es un componente vital. Tenemos que estar preparados para eso. Es un ejercicio entre equipos. Tenemos un grupo de personas en operaciones de TI que administran nuestras copias de seguridad y nuestras capacidades de recuperación. Estas son las lecciones que tenemos que aprender. Es desafortunado cuando vemos clientes que aún no han dado algunos de esos pasos.
HCS: Y cuando observa ir más allá del elemento humano, ¿cómo juegan la seguridad fundamental y la integridad del sistema en la forma en que el ransomware ha ingresado a la organización?
DO: Quiero tener cuidado porque el término seguridad fundacional es elusivo. Preferiría definirlo como volver a lo básico con un ajuste para el día y la edad actuales. La integridad y la comprensión del panorama de amenazas son componentes fundamentales importantes. Si no construyes una buena base, el edificio se derrumbará en algún momento. Entonces, si tengo capacidades para monitorear la integridad de mis sistemas y la integridad de mis elementos de datos que se mueven entre posiblemente múltiples entornos informáticos, eso es un bloque sólido. Tengo que prestar atención a eso. Si tengo la capacidad de comprender dónde se encuentran las vulnerabilidades en mi infraestructura, obtener esa visibilidad y combinarla con la integridad, entonces puedo tener el nivel correcto de comprensión fundamental. Hay mucha información de la que puedo extraer, sistemas que monitorean la integridad y sistemas que monitorean las vulnerabilidades. Necesito estar al tanto de todo esto para tener visibilidad.
HCS: ¿Cómo sabe una organización lo que es «bueno» para su entorno? Una vez que tomas la línea de base, entonces puedes entender lo que realmente sucede cuando algo cambia. Puede ver si un cambio es intencional o malicioso.
DO: ¿O fue un accidente? Eso indicaría que tengo que reeducar al equipo que está aprovechando esa información.
HCS: Derecha. Tienes que construir desde ese lugar.
DO: Entonces, “fundamental” debería ser la capacidad de enfocarse en eso sin que sea complicado.
HCS: Definitivamente. No podría estar mas de acuerdo. Cuando hable con líderes de seguridad, desarrolle estos planes estructurales recomendados y explique cómo las metas organizacionales deben alinearse con los objetivos comerciales, Eventualmente, entrará en las preguntas de respuesta a incidentes. ¿Cuáles cree que son algunas de las áreas clave en las que una organización debería pensar cuando está desarrollando su programa de respuesta a incidentes?
DO: Si. Ya sabes, existen muchas palabras para describir los programas de respuesta a incidentes. Pero esto es nuevamente donde tienes que mantenerlo simple. Entonces, antes que nada, los oficiales de seguridad y los programas de seguridad deben estar preparados. Y eso se trata realmente de herramientas, equipos y procesos. Eso es fundamental. Necesito tener mi alineación en su lugar. Tengo que saber adónde ir. Por ejemplo, si suena la alarma contra incendios, ¿abro la ventana que está en la habitación? ¿O debo encontrar la salida de emergencia?
El segundo componente es que necesita probar el plan. La seguridad es una prueba continua. Es una prueba continua de construir la solución, detectar, informar y comunicar cada paso. Incluso si creo que huelo humo, quiero asegurarme de que todos los que están cerca de mí entiendan que creo que huelo humo. Hay un componente de análisis.
Con lo que nos encontramos es en organizaciones más grandes, podría haber varios equipos y, a veces, vemos desconexiones en los roles y responsabilidades de respuesta a incidentes: los fundamentos de dónde se conectan esos equipos. Queremos ayudar a los equipos a avanzar hacia esfuerzos proactivos en torno a los incidentes. Si tenemos una buena base, construyamos un poco de búsqueda proactiva en esta ecuación para que podamos adelantarnos a lo que posiblemente ocurra. La comunicación es clave.
HCS: Soy consciente de que. Una de las cosas que mencionó es la gente, el proceso y las herramientas. Parece que los líderes empresariales van a escuchar «dinero» y cosas que se interponen en el camino del negocio. Cuando se trata de comunicar el retorno de la inversión, ¿cuál es la mejor manera de comunicar lo que significan estas inversiones en seguridad a otras partes interesadas? ¿Cómo obtienen apoyo en eso?
DO: Hay un par de facetas en esto. En primer lugar, existe mucha información sorprendente desde la perspectiva de la ciberseguridad. La buena noticia es que la mayoría de las organizaciones y la mayoría de los ejecutivos entienden lo que está pasando, porque también está pasando en sus vidas personales. Es imperativo preparar esa información y proporcionarla a los ejecutivos a un nivel que puedan consumir y de una manera que se alinee con ese negocio, ya sea financiero, farmacéutico, manufacturero o una fábrica de dulces. Tienes que ser honesto sobre el programa que está en marcha. Y debe tener métricas e indicadores clave de rendimiento que respalden ese negocio.
Para usar un ejemplo de una fábrica de dulces, ¿qué sucede si ocurre un ataque de ransomware que detiene las operaciones de fabricación de dulces? ¿Cuáles son los diferentes niveles de riesgo si los atacantes roban las fórmulas de esos dulces? La fábrica detiene la producción actual, tal vez se filtró un secreto comercial y los dulces se duplican en otro lugar. Eso podría acabar con el negocio. Esos son dos niveles diferentes. Es importante presentar esta información de esa manera.
Luego, están los aspectos técnicos. Sea realista sobre el programa que está en marcha. Entreno a los equipos para hacer un mejor uso de las tecnologías y capacidades que tienen o reemplazar esas tecnologías si no están haciendo el trabajo correcto. También les hablo sobre cómo aprovechar un enfoque de «cartera más simple». Muchas empresas de tecnología ahora están combinando soluciones, lo que facilita la implementación de esas herramientas en un entorno, ya que tienen una apariencia unificada. Tener una herramienta que funcione de manera eficiente es mejor que tener la herramienta líder del mercado en ese momento. ¿Derecha? Haría esto si volviera a dirigir mi propio taller, ya que es importante tener esos componentes básicos en su lugar.
HCS: Creo que acabas de resumir gran parte de nuestra conversación a la perfección. Ha mencionado cómo educar a las personas en diferentes roles, cómo desarrollar las tecnologías adecuadas y tenerlas listas y preparadas, así como también cómo presentar estas ideas a un director ejecutivo que está impulsando una meta financiera.
DO: Todo esto es extremadamente importante y la ciberseguridad es compleja, por lo que sigo diciendo: «Intentemos mantenerlo simple». Todo vuelve a los cimientos. Optimizar y aprovechar lo que tenemos y llenar esos vacíos. ¿Y hacemos eso? Formulamos una opinión inteligente y también tenemos otro par de ojos para mirarla.
HCS: Estoy de acuerdo. Agradezco eso, y realmente aprecio el tiempo que han podido pasar conmigo para hablar y trabajar en estos innumerables temas. Agradezco enormemente su disposición a compartir su visión, su experiencia y sus pensamientos sobre estos temas.
DO: Realmente, realmente aprecio la oportunidad de estar aquí.