COMENTARIO
Ya sea que lo ames o lo odies, El cumplimiento de la ciberseguridad sigue siendo una prioridad tanto en organizaciones privadas como en agencias federales. Se siguen desarrollando e introduciendo nuevas regulaciones sobre tecnologías emergentes, e incluso el Senado de los Estados Unidos está proponer legislación para simplificar las regulaciones federales de ciberseguridad.
Las regulaciones brindan a los líderes de seguridad una manera de mejorar los procesos y aumentar la responsabilidad por la ciberseguridad en toda la organización. Sin embargo, los nuevos requisitos de cumplimiento también aumentan la carga de trabajo para garantizar que el programa de seguridad cumpla con los requisitos de todas las partes interesadas externas. Muchos directores de seguridad de la información (CISO) deben gestionar simultáneamente la necesidad de controlar los costos, aumentar la confianza, mejorar la seguridad y respaldar el negocio mientras se mantiene el cumplimiento.
Cumplir con los requisitos de cumplimiento de ciberseguridad es particularmente desafiante para los líderes de seguridad actuales porque no controlan todos los aspectos de la seguridad dentro de la organización. Los empleados de todos los departamentos toman decisiones todos los días que afectan la seguridad de los datos de la organización. Los CISO pueden aprovechar un modelo de responsabilidad distribuida para satisfacer las necesidades de seguridad y cumplimiento, pero deben hacerlo intencionalmente. La clave es garantizar que todas las partes interesadas internas comprendan el papel que desempeñan en el programa de seguridad de la organización y responsabilizarlas de sus responsabilidades.
Aclarar las expectativas más allá del equipo de seguridad.
Es cierto que los equipos de seguridad tienen conocimientos especializados de los que carecen sus compañeros de otros departamentos de la empresa. Es por eso que estos grupos monitorean actividades sospechosas, identifican y rastrean vulnerabilidades, garantizan que se implementen las medidas de seguridad necesarias y brindan asesoramiento de seguridad.
Al diseñar programas de seguridad, los CISO también deben documentar las expectativas de que todos los empleados de una organización deben hacer su parte para proteger los sistemas, las aplicaciones y los datos de la empresa. Esto va más allá de que los empleados simplemente mantengan la vaga sensación de conciencia que se evidencia en la capacitación obligatoria en materia de seguridad.
El CISO debe liderar el esfuerzo para aclarar las responsabilidades de seguridad que se extienden más allá del equipo de seguridad. Metodologías como matriz RACI Ayude a identificar quién debe ser responsable, rendir cuentas, ser consultado e informado sobre tareas específicas relacionadas con la seguridad. Si bien la matriz resultante no es perfecta, las discusiones que llevaron a su creación resaltan las brechas de rendición de cuentas para que las organizaciones puedan llenarlas.
Fortalecer la rendición de cuentas dentro de una organización
No es razonable esperar que los empleados, especialmente aquellos sin formación ni experiencia en seguridad, tomen siempre las decisiones correctas en lo que respecta a la protección de datos. Los CISO pueden mitigar este riesgo implementando tecnologías que permitan a los empleados realizar su trabajo de manera más fácil y segura. Por ejemplo, los administradores de seguridad pueden definir plantillas de configuración que deshabiliten funciones innecesarias o habiliten funciones de seguridad. Otro ejemplo es la inscripción automática de cuentas con autenticación multifactor (MFA), en lugar de exigir que cada empleado elija aplicar estas protecciones.
Si bien requerir autenticación multifactor reduce el riesgo de incumplimiento de las expectativas de seguridad, no siempre es posible optar por opciones automáticas como ésta. Los líderes de seguridad también deben establecer barreras contra riesgos graves resultantes de decisiones que exceden los límites que la organización considera razonables. El uso de medidas de seguridad de red como el filtrado DNS, por ejemplo, restringe el acceso a categorías peligrosas de sitios web, lo que reduce la probabilidad de que un empleado interactúe sin saberlo con un recurso en línea malicioso.
Además, el equipo de seguridad debe monitorear las violaciones de seguridad y tomar medidas cuando surjan problemas. Agregación de eventos de seguridad y monitoreo continuo del cumplimientoque automatiza el seguimiento de los controles de seguridad, así como los enfoques modernos para la gestión de activos, son piezas de este rompecabezas.
Haga que las responsabilidades de seguridad sean personales
Para garantizar que las personas ajenas al equipo de seguridad estén atentas a sus responsabilidades de seguridad, los gerentes de seguridad deben buscar formas de establecer una conexión personal entre el individuo y los datos o el sistema que son responsables de proteger. Por ejemplo, los empleados suelen tener un sentido de propiedad sobre las computadoras portátiles y los archivos que usan todos los días. Por lo tanto, el CISO puede resaltar esta conexión cuando analiza las medidas de seguridad de los terminales que dependen del empleado, como la actualización manual de software que no está administrado centralmente por la organización.
Así como el personal ajeno a la seguridad necesita comprender cómo se aplican sus responsabilidades de seguridad a sus trabajos, los miembros del equipo de seguridad deben comprender cómo sus responsabilidades ayudan a la organización en su conjunto. ¿Qué iniciativas empresariales se sustentan en el trabajo realizado por el equipo de seguridad? Comprender esta conexión no solo motivará al personal de seguridad, sino que también permitirá a los líderes de seguridad tener un contexto empresarial al colaborar con colegas de toda la organización.
Los líderes de seguridad ampliarán sus poderes y motivarán a otros a hacer su parte para proteger la organización alineando las responsabilidades de seguridad con los intereses personales, afiliaciones y objetivos de todas las partes interesadas.
Dar a todos los medios para hacer su parte
La Unión hace la fuerza. Al definir el papel proactivo de toda la organización en el fortalecimiento del programa de seguridad, el equipo de seguridad puede centrarse en los problemas más urgentes que sólo ellos pueden resolver. Ayudar a los empleados a comprender el papel que desempeñan en el programa de seguridad ayudará a evitar lagunas en la cobertura, evitar malentendidos y garantizar que existan los procesos adecuados para un programa de seguridad que cumpla con los requisitos de cumplimiento pertinentes.
Los equipos de seguridad desempeñan un papel fundamental en la protección de su organización. Esto implica empoderar a los colegas de toda la organización para que hagan su parte del trabajo y garantizar que comprendan su función.