A medida que proliferan las numerosas leyes de cumplimiento de datos en todo el mundo, los profesionales de la seguridad se han centrado demasiado en comprobar las casillas de los requisitos cuando deberían centrarse en reducir el riesgo. ¿Pueden ambos trabajar juntos en armonía?
La respuesta depende de la eficacia con la que los responsables de la seguridad informática puedan trabajar con sus auditores y hablar con sus consejos de administración, dicen los expertos. Estas son sus cinco principales recomendaciones:
1. Centrarse en la protección de datos
Es bien sabido que el cumplimiento de la normativa consiste en proteger los datos regulados, mientras que la ciberseguridad se centra en mantener alejados a los malos. Desde el punto de vista de la protección de datos, la medida de seguridad clave es evitar el procesamiento o el almacenamiento de datos regulados que no sean necesarios. Si los datos regulados deben almacenarse, asegúrese de utilizar un cifrado más fuerte que el recomendado.
Hay que tener en cuenta dónde están los datos, dónde se almacenan, cómo se almacenan y durante cuánto tiempo. Esa es la forma correcta de iniciar la conversación en torno al cumplimiento y la seguridad.
2. Haz que los auditores de seguridad sean tus amigos
Tan importante como conocer la perspectiva de los auditores es ayudarles a entender los fundamentos de la ciberseguridad. Como CISO hay que mantener reuniones semanales con su auditor para mantener una conversación "bidireccional" que incluía el cumplimiento y la seguridad. Para cuando la empresa llevó a cabo su actualización de la gestión de la infoseguridad según la norma ISO 27001, el equipo de auditores fue capaz de articular claramente lo que necesitaba del equipo de seguridad. Así se reúne la información que los auditores solicitaban. Los auditores aprecian más si se adopta un enfoque de equipo como éste. Y también los directores generales y los consejos de administración.
3. Utilizar el cumplimiento como base para construir una mejor seguridad
Las listas de control de las auditorías quedan desfasadas con regularidad, por lo que el mero hecho de pasar una auditoría no protege los activos informáticos. Por ejemplo, las contraseñas, que el NIST solía exigir que se cambiaran cada 90 días. El NIST ha anulado esa norma porque la gente no puede recordar sus contraseñas, y en su lugar recomienda utilizar frases de contraseña con números y símbolos que los usuarios puedan recordar.
Los marcos de cumplimiento proporcionan una base para pensar en los programas de seguridad, pero los mandatos de cumplimiento no son prescriptivos, ni califican la eficacia de los controles. Por ejemplo, una lista de control de cumplimiento te dice que tienes que tener un cortafuegos. No te dice qué tipo de cortafuegos es adecuado para tu empresa, ni qué reglas de cortafuegos debes aplicar.
También señala los requisitos de pruebas de penetración anuales, aunque las amenazas evolucionan con mucha más frecuencia que eso. Esta laguna deja a las empresas "cumplidoras" en riesgo de nuevas vulnerabilidades que no saben que tienen. También está abierto a la interpretación la forma de llevar a cabo la prueba de penetración y contra qué recursos informáticos, continúa.
En los sistemas de control industrial (ICS), el NERC CIP y otras normas son especialmente escuetas en sus requisitos. Debido a la falta de detección específica de OT en las redes industriales, es más difícil interpretar las normas de cumplimiento. Es mucho más difícil tener una conversación sobre el cumplimiento porque es difícil distinguir en una planta si has tenido un incidente de seguridad que requiere ser reportado o si es un incidente de mantenimiento.
Los sistemas ICS, como las empresas de energía y electricidad, ya están atrasados porque sus controles de seguridad también están en el extremo inferior de la curva de madurez. A continuación, describe la curva de madurez del cumplimiento en tres etapas. Arrastrarse es rellenar las casillas de verificación. Caminar es construir un programa en torno a los hallazgos de las auditorías y cruzar los hallazgos con controles compensatorios. En la etapa de ejecución, los operadores de redes han superado las normas de cumplimiento con el flujo de trabajo y la cadena de mando adecuados para apoyar las tareas de seguridad y auditoría. Cuanto más maduros sean los programas de cumplimiento y seguridad, mejor será la colaboración y la comunicación entre los auditores, los CISO y la junta directiva.
4. Arreglar las vulnerabilidades encontradas
Es esa etapa intermedia de madurez, la etapa del paseo, donde las organizaciones se quedan colgadas en su mayoría, dicen los expertos que señalan muchos casos en los que las organizaciones no hicieron reparaciones básicas basadas en los hallazgos de las auditorías.
Un caso famoso caso que actualmente está dando vueltas en el Tribunal de Distrito de San Francisco. En donde, Joe Sullivan, CISO de Uber, se enfrenta a una pena de prisión bajo cargos federales porque no informó de una segunda brecha de ransomware que se aprovechó de la misma vulnerabilidad que la FTC había exigido que cerraran tras una brecha anterior. Recientemente, se añadieron más cargos de fraude electrónico en lo que el FBI está llamando ahora un encubrimiento.
5. Medir las mejoras en la postura de seguridad y riesgo
Más que un simple impulsor de la reducción del riesgo, el cumplimiento de la normativa también puede utilizarse para medir las mejoras en la seguridad y la postura ante el riesgo. Se sugiere un cuadro de mandos de cumplimiento para medir su puntuación de riesgo y utilizar esas políticas del cuadro de mandos para adelantarse a los riesgos cambiantes, como la incorporación de una nueva tecnología o el apoyo a una fuerza de trabajo remota. Los cuadros de mando también deberían ayudar a los responsables de TI a informar a la alta dirección en el lenguaje empresarial de riesgo y recompensa que ellos entienden.
Si se hace bien la seguridad, probablemente se cumpla. Pero si lo único que te preocupa es el cumplimiento, probablemente no estarás seguro.
Fuente: CSO