leowolfert - Fotolia

Gestionar Aprenda a aplicar las mejores prácticas y optimizar sus operaciones.

La seguridad cibernética se enfoca demasiado en la tecnología, dice el CISO de Domino’s

Muchas organizaciones todavía se están centrando solo en la tecnología y el cumplimiento, lo que significa que sus defensas cibernéticas no son tan sólidas como piensan, según uno de los directores de seguridad de la información de Domino's Pizza.

Aunque la sabiduría común ha reconocido durante años que la seguridad es una combinación de personas, procesos y tecnología, muchas empresas todavía se centran principalmente en la tecnología, según Paul Watts, CISO de Domino's Pizza para el Reino Unido e Irlanda.

"También se enfocan demasiado en los tiempos y el cumplimiento, pero eso no es necesariamente sinónimo de buena seguridad, la cual requiere una buena ciber higiene básica y una cultura de seguridad establecida", dijo a la audiencia de Infosecurity Europe 2018 en Londres.

"Todo el cumplimiento y la certificación en el mundo no sustituye a una base sólida para las defensas cibernéticas, y sé de organizaciones que han encontrado brechas debido a pruebas de penetración, aunque el CISO tenía una serie de certificaciones y había implementado una gran cantidad de controles de seguridad de alto grado".

En teoría, la organización parecía sólida, dijo Watts, pero los pen testers pudieron acceder a los datos confidenciales de la compañía en una hora con empleados de ingeniería social, descubrieron contraseñas no protegidas en la red y se movieron lateralmente con facilidad porque un técnico había usado la misma contraseña como su contraseña segura para sus cuentas personales.

Las empresas exitosas, dijo Watts, son aquellas que no solo han reconocido que las personas y el proceso son clave para la seguridad, sino que han actuado al respecto al comprender cómo trabajan con su gente y cómo invertir en programas de capacitación y concientización sobre seguridad.

"Al comprender el negocio y cómo las personas trabajan, los equipos de seguridad pueden colaborar con el negocio para ser habilitadores y garantizar que no bloqueen a las personas para que hagan su trabajo, porque entonces simplemente buscarán otras formas de hacer las cosas, lo que inevitablemente es menos seguro", dijo.

Una mejor comunicación entre la empresa y la seguridad de TI significa que los equipos de seguridad de TI entienden qué servicios son críticos para la empresa, dijo Watts.

"Cuando la seguridad de TI es consciente de estas cosas, puede garantizar que haya servicios de respaldo disponibles para evitar cualquier interrupción en los procesos de negocio cuando se llevan a cabo procesos esenciales de mantenimiento de seguridad de TI, por ejemplo", dijo. "Este enfoque de tener conversaciones honestas sobre confidencialidad, integridad y disponibilidad garantiza una mayor seguridad y que no haya sorpresas para nadie".

Los equipos de seguridad de la información también necesitan comprometerse con la junta directiva, y aquellos que lo hacen normalmente encuentran que es más probable que la junta respalde proyectos de seguridad porque entienden los riesgos y beneficios comerciales asociados, dijo Watts.

"Otra razón importante para involucrarse con la junta directiva es que si no lo hacen y no les comunican sobre los riesgos cibernéticos, se puede crear la ilusión de que todo está bien, y eso es un gran error", aclaró.

"La honestidad es importante. Trabajen con la junta directiva y asegúrense de que comprendan las implicaciones comerciales de todos los riesgos cibernéticos que han identificado".

Un área sobre la que los equipos de TI tienden a evitar tener conversaciones con la empresa y la junta directiva es el tema del equipo, el software y los sistemas heredados, dijo Watts.

"El directorio y la empresa deben estar al tanto de los costos reales de mantener la infraestructura heredada, que generalmente es mayor de lo que piensan, así como las implicaciones de seguridad de los activos más allá de la expiración del soporte", dijo.

"Las juntas necesitan entender que los activos resbalosos a menudo significan acumular riesgos, por lo que al tener la conversación, la junta es consciente y no hay sorpresas cuando surge la necesidad de invertir en un nuevo kit que normalmente tiene mejores instalaciones de seguridad".

La nube es otra área sobre la que los equipos de seguridad necesitan conversaciones honestas, dijo Watts, para asegurarse de que la empresa pueda aprovechar la eficiencia y los costos de la computación en la nube sin perder el control, garantizando que haya buenos procesos de administración desde el principio.

En resumen, Watts aconsejó a las organizaciones que sean transparentes sobre los riesgos y tengan un sólido equilibrio entre el riesgo y la recompensa de la seguridad cibernética.

"Tengan una buena cultura de seguridad cibernética y gasten la cantidad proporcional de tiempo, dinero y energía en educar a las personas en la organización, para finalmente obtener la aprobación del consejo", dijo. "Sean transparentes, comuníquense regularmente con ellos y asegúrense de que comprendan los riesgos y las recompensas. Todas estas cosas generarán conversaciones importantes sobre cómo ser mejores y más higiénicos cuando administren su organización de servicios de TI para el beneficio del negocio".

Este artículo se actualizó por última vez en junio 2018

Profundice más

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close