No es suficiente para los profesionales de seguridad encontrar la manera de proteger las empresas digitales de los riesgos que pueden arruinar el negocio, tienen que venderlos con mucha eficacia a los consejos corporativos cuya bendición es necesaria para autorizar el plan, señalaron los analistas de Gartner a los asistentes de su Cumbre de Gestión de Seguridad y Riesgo.
Con eso en mente, tres especialistas en seguridad de Gartner le enseñaron a la gran audiencia, de más a menos 3.400 personas, cómo crear un plan para gestionar el riesgo y minimizar el daño cuando un ataque tiene éxito, y la estrategia necesaria para que el plan sea aceptado por la junta directiva.
“El cien por ciento de protección no debe ser el objetivo”, anotó Peter Firstbrook, analista de Gartner. “El objetivo debería ser la capacidad de recuperación.
Esto significa encontrar la manera de detectar rápidamente los ataques y responder a ellos lo más rápido posible, añadió.
El plan debería encontrar los mayores doce riesgos que amenazan a los negocios, y esos no son necesariamente los mismos que los que afectan a la Tecnología de la Información, indicó, por su parte, Jeff Wheatman, también analista de Gartner. La cuestión a resolver es, “¿cuáles son los mayores riesgos relacionados a TI que podrían conducir a que los riesgos del negocio se vuelvan reales?”, agregó. Eso es de lo que los responsables se preocupan.
Los ejecutivos de seguridad tienen que crear controles que equilibren la necesidad de proteger el negocio con la de mantenerlo funcionando eficientemente. Para hacer esto, los expertos de seguridad tienen que hablar con los líderes de negocio mientras crean el plan, dijo. Eso puede funcionar como una prueba de lo que podría funcionar y no funcionar cuando el plan sea presentado al consejo.
Las reacciones de los líderes de los grupos de negocios pueden dividirse en tres:
Nunca pensamos en eso.
Estamos preocupados por otra cosa que no está en su lista.
Su lista tiene ítems que no nos interesan.
Todas estas respuestas son útiles porque dirigen el plan de seguridad de TI hacia lo que es realmente importante para los accionistas de la empresa, añadió. “Cada una de ellas le da una mejor idea de lo que importa”, señaló Wheatman.
Los negocios digitales se basan en combinaciones complejas de máquinas, tecnología, socios y proveedores de servicios, muchos de los cuales están fuera del control directo de las empresas, por lo que es importante trabajar la confianza en los cálculos, anotó. ¿La compañía se hará responsable de los daños derivados de la violación de un negocio digital, a pesar de que el elemento que fue explotado no era controlado directamente por la empresa?
El riesgo de fraude llevado a cabo contra el negocio digital es una de las principales preocupaciones, señaló. El fraude y la responsabilidad legal pueden ser abordados mediante el establecimiento de un régimen eficaz de confianza que ayude a frustrar a los atacantes, añadió.
Lo que se necesita es una plataforma de confianza descentralizada y distribuida para establecer la confianza entre dos plataformas que nunca antes se habían visto, comentó Felix Gaehtgens, el tercer analista de Gartner que participó de la reunión. La arquitectura debería admitir enfoques para proteger esa gama de la confianza en confianza plena hasta que se pruebe a sí mismo poco fiable o digno de confianza. Él lo llama protección adaptativa.
Es una escala variable que las empresas tienen que ajustar para que el nivel de confianza sea igual o mayor que el riesgo para el negocio. Si no, la empresa necesitará, ya sea ajustar la confianza o arriesgarse, anotó.
El contexto es importante a la hora de determinar la confianza, continuó. La máquina conectada a una red, quién es el usuario, cómo se realiza la conexión, el rol del usuario y de dónde vienen los datos, son todos ejemplos de atributos de la confianza que pueden ser sopesados al momento de tomar decisiones de confianza. La federación de identidades, el control de acceso a atributos, los estándares y las metodologías para demostrar la confianza; todo ello contribuye a la asignación de niveles apropiados de confianza, señaló.
Esto debe equilibrarse con las preocupaciones sobre la privacidad de los datos personales y corporativos. Eso puede ser asistido con un cifrado que está basado en la tecnologíablockchain, como la usada para verificar las transacciones de Bitcoin. Él señaló que lasstartups están trabajando en adaptarla para que sea capaz de ofrecer transacciones seguras y asegurar la privacidad, permitiendo el intercambio de los atributos de identidad sin sobreexponerlos.
Las herramientas que pueden ayudar incluyen los hipervisores y la contenerización de confianza en los dispositivos no confiables, el filtrado con puertas de enlace de seguridad y el uso generalizado del cifrado con la gestión de claves de confianza.
TI necesita cerrar la brecha con desarrolladores de software para fomentar la creación de seguridad en el ciclo de desarrollo del software (SDLC), indicó Gaehtgens. “Necesitamos estar involucrados en todas y cada una de las fases del SDLC”, añadió, para estimular el uso de APIs de seguridad en las aplicaciones y luego protegerlas con puertas de enlace API.
A pesar de los mejores esfuerzos, es probable que la seguridad sea violada, y sea necesario tener en su lugar un plan para detectar y responder rápidamente a estas incursiones, indicó Firstbrook.
Las herramientas para hacer esto incluyen el análisis del comportamiento de los usuarios y dispositivos usando el aprendizaje automático para detectar cambios, que podrían indicar problemas en el comportamiento. Las herramientas de engaño pueden atrapar a los atacantes y revelar sus objetivos, agregó.
Las empresas tienen que encontrar cazadores de seguridad para digerir esta información y ser capaces de recoger los incidentes que tienen que ver con seguridad rápidamente, indicó. Cuando estos sean detectados, las compañías deberán aislar los dispositivos y usuarios sospechosos, y detener las operaciones pendientes de investigación, añadió.
Se debería crear y entrenar a un equipo de gestión de crisis que abarque a legal, recursos humanos, TI, relaciones públicas y unidades de negocio, para que pueda actuar con rapidez y en conjunto cuando surgen incidentes, señaló.
Una vez que todo esté en su lugar, el plan tiene que ser vendido al consejo usando esta plantilla:
Mostrarle al consejo que entiende sus objetivos y metas de negocio.
Haga una lista de los riesgos que puede controlar o gestionar con el fin de ayudar a alcanzar esas metas u objetivos de negocio.
Especifique los pasos técnicos que tomará en cuenta para abordar los riesgos y alcanzar los objetivos de negocio.