COMENTARIO
En el mundo de la ciberseguridad, de alto riesgo, el terreno está cambiando bajo los pies de aquellos encargados de proteger nuestra infraestructura digital. Primero vienen las nuevas reglas y demandas de la Comisión de Bolsa y Valores (SEC) relacionadas con la ciberseguridad. Más recientemente, A Decisión de la Corte Suprema de los Estados Unidos promete remodelar el panorama regulatorio, obligando a los funcionarios federales a repensar su enfoque de la cibergobernanza.
Sin embargo, en medio de este torbellino de cambios que se está extendiendo por toda la industria, es fundamental que los directores de seguridad de la información (CISO) se mantengan firmes y no se dejen disuadir (o desanimar) por este cambio.
Por lo tanto, mi mensaje, extraído de décadas en el campo de la seguridad, resuena con el firme lema de Gran Bretaña en el período previo a la Segunda Guerra Mundial: mantener la calma y seguir adelante.
Un tsunami regulatorio
Las reglas de la SEC entraron en vigor en diciembre pasado. Según las nuevas reglas, las empresas públicas deben informar cualquier incidente cibernético dentro de los cuatro días hábiles posteriores a la determinación de que se trata de un evento importante. La SEC también exige que las empresas públicas revelen sus estrategias de gestión de riesgos de ciberseguridad.
Aquellos en el mundo de la seguridad que estaban preocupados por estos cambios anticipados se asustaron cuando la SEC, incluso antes de que sus nuevas reglas entraran en vigor, demandó a una empresa. Vientos solaresllegó tan lejos como designe su CISO en sus archivos. Apenas unas semanas antes de que entraran en vigor sus nuevas leyes de ciberseguridad, la agencia envió un mensaje claro a los CISO de todo el país: la complacencia ya no es una opción.
Cuando en julio un un juez federal desestimó la mayor parte del caso de la SEC contra SolarWinds y su CISOCasi se podía escuchar el suspiro de alivio entre los profesionales de seguridad de todo el país.
Pero el juez simplemente confirmó lo que quienes trabajamos en ciberseguridad ya entendíamos: responsabilizar personalmente a un CISO por un ciberataque no hará que los sistemas sean más seguros. Aunque los profesionales de la seguridad desempeñan un papel vital en la protección de una empresa, no pueden hacerlo de forma eficaz sin la colaboración y el apoyo de otros. Los CISO a menudo tienen sólo una visibilidad parcial de la superficie de ataque de una organización. Por supuesto, esto constituye un serio obstáculo para llevar a cabo una evaluación de riesgos integral.
Para ser claros, la legislación puede contribuir a ayudar a los CISO a fortalecer las defensas de una organización. La implementación de requisitos de ciberseguridad para dispositivos médicos por parte de la Administración de Alimentos y Medicamentos (FDA) lo ilustra bien. Estas regulaciones han permitido a los CISO unirse a la conversación y obtener los recursos necesarios para proteger áreas adicionales de su organización.
La última decisión de la SEC brinda una oportunidad similar (y un cambio largamente esperado) para que los CISO de hoy se involucren más en el conjunto más completo de decisiones tecnológicas de una organización.
Una responsabilidad colectiva
En esencia, los CISO dicen la verdad, de manera muy similar a un comité de auditoría interna que evalúa los riesgos y hace recomendaciones para mejorar las defensas y los controles internos de una organización.
Sin embargo, en última instancia, son la junta directiva y los altos ejecutivos de una empresa quienes establecen la política y deciden qué debe revelarse en los documentos públicos. Los CISO pueden y deben ser asesores en este esfuerzo grupal porque comprenden los riesgos de seguridad. Y, sin embargo, el asesoramiento que pueden ofrecer es limitado si no tienen una visibilidad completa del conjunto de tecnologías de una organización.
“Muchos supervisan el sistema de TI de una empresa, pero no los productos que vende. Esto es crucial cuando se trata de sistemas y dispositivos dependientes de datos que pueden proporcionar objetivos de acceso a la red a los ciberdelincuentes. Estos pueden incluir dispositivos médicos o sensores y otros puntos finales de Internet utilizados. en líneas de fabricación, redes eléctricas y otras infraestructuras físicas críticas.
En resumen: las defensas de una empresa son tan fuertes como la junta directiva y sus altos directivos permiten que lo sean.
¿Qué pasaría si hubiera una infracción, como en el caso de SolarWinds? Los CISO no determinan la importancia de un incidente de ciberseguridad; Los altos ejecutivos de una empresa y su junta directiva toman esta decisión. Las responsabilidades del CISO en este escenario implican responder al incidente y realizar los análisis de seguimiento necesarios para ayudar a minimizar o evitar incidentes futuros.
Incluso antes de que la SEC interviniera, la responsabilidad era una preocupación subyacente entre los funcionarios de seguridad. Aquellos cuyo trabajo es proteger nuestros sistemas de datos invariablemente se sienten responsables cuando algo sale mal, sin importar lo que diga una agencia federal.
En nuestro negocio, frustrar a un mal actor 99 veces no hará ninguna diferencia si un intruso logra traspasar las defensas en el intento número 100. Esta es la carga que conlleva el título de CISO, y es por eso que siempre he recomendado (mucho antes de las nuevas reglas de transparencia de la SEC) que un CISO comprenda el complejo panorama de amenazas, así como el entorno regulatorio en evolución.
La decisión Chevron: una nueva capa de complejidad
Para los profesionales de la ciberseguridad, la medida legal potencialmente más importante que la desestimación de la demanda de SolarWinds fue la decisión de la Corte Suprema en junio de revocar la llamada doctrina Chevron. La doctrina Chevron, establecida en un caso anterior en 1984, exigía que los tribunales cediesen a la interpretación razonable de leyes ambiguas por parte de una agencia federal.
Ahora ya no se presume la sabiduría de las agencias, ya sea la SEC u otros organismos. La reversión de este precedente de Chevron de décadas de antigüedad ha creado incertidumbre en torno a la aplicación de las regulaciones de ciberseguridad, lo que potencialmente dificulta aún más que los CISO naveguen por el panorama regulatorio.
Incluso si las reglas evolucionan, la misión profesional del CISO permanece sin cambios: proteger su organización en un mundo de amenazas constantes y en constante evolución. Requiere pensamiento claro y la capacidad de mantener la cabeza fría en medio del caos.
En otras palabras: mantén la calma y sigue adelante.