Un panel de discusión digital patrocinado por Sloan CIO Digital Learning Series del MIT cubrió una variedad de temas, desde la protección de los trabajadores remotos hasta el phishing y cómo administrar el riesgo.

Imagen: vicky_81, Getty Images / iStockphoto
A los CISO se les pregunta qué tan segura es su organización contra los ciberataques. Sin embargo, en lugar de intentar determinar eso, el CISO de Mars dijo que prefiere replantear la pregunta y con una nota de precaución.
VER: Navegando por la privacidad de los datos (Característica especial de ZDNet / TechRepublic) | Descarga la versión gratuita en PDF (TechRepublic)
“No es, ¿qué tan seguros estamos, sino qué tan listos estamos para responder?” dijo Andrew Stanley, quien fue uno de los tres CISO participantes en el panel de discusión del MIT Sloan CIO Digital Learning Series el miércoles sobre “Mantener nuestras organizaciones ciberseguras en el entorno COVID-19. ¿Qué tan seguros estamos?”
Sin embargo, incluso con una gran defensa en profundidad, es probable que surjan problemas “y socaven todo el gran trabajo que hemos hecho”, dijo Stanley. Por lo tanto, es una cuestión de qué tan bien un CISO puede anticipar los eventos de seguridad “y, en última instancia, su capacidad para responder y restaurar”.
Si bien eso puede impulsar el debate con la junta de una organización, agregó: “He descubierto que eso ha … sido finalmente un éxito para mí”.
El panel también estuvo formado por Katie Jenkins, CISO de Liberty Mutual, y Danny Allan, CTO de Veeam Software.
La moderadora Keri Pearlson, directora ejecutiva de ciberseguridad de la Sloan School of Management del MIT, preguntó a los panelistas qué factores incluyen al evaluar la seguridad de su organización.
“No creo que haya una visión definitiva de cuán seguros estamos”, respondió Jenkins, y dijo que su enfoque es hacer una autoevaluación y una evaluación independiente. Tiene que haber una visión holística que incluya una variedad de de elementos, incluida la seguridad de sus socios y las personas con las que hace negocios, dijo.
Esta es una pregunta que generalmente proviene de una junta directiva o un CEO, dijo Allan. “La respuesta simple es que nunca estamos tan seguros como me gustaría porque hay mucha complejidad y tantos componentes para estar seguro”.
VER: Política de mejores prácticas de certificados SSL (TechRepublic Premium)
Allan dijo que hay dos preguntas que le gusta hacer: ¿Estamos más seguros de lo que estábamos ayer? “En última instancia, la seguridad es un proceso iterativo, por lo que siempre buscamos el ‘sí'”. Dijo que también trata de evaluar si su equipo de seguridad está siendo proactivo o reactivo. “Uno nunca quiere ser reactivo”, dijo.
La pandemia ha cambiado la lente, pero no la posición de cuán segura es Liberty Mutual, dijo Jenkins. “Nos ha colocado en una posición de evaluar rápidamente nuevos tipos de riesgo que podrían cambiar nuestra postura de seguridad”, por ejemplo, el riesgo de terceros y la seguridad de plataformas de colaboración como Zoom, dijo.
Su equipo cambia sus ejercicios anti-phishing cada trimestre, por lo que el último fue enviar a los empleados un correo electrónico con la marca para que pareciera que provenía de Zoom pidiendo a los empleados que actualizaran sus credenciales. Si lo hicieron, se les notificó que fallaron en el ejercicio, dijo Jenkins.
Los ejercicios anti-phishing han sido “muy controvertidos en nuestro equipo”, dijo Stanley. “Una parte de mí quería aprovechar la crisis” y mostrar a los empleados que ahora son más vulnerables, dijo. Pero “en la cultura Mars, eso es profundamente alienante “, y el liderazgo sintió que era injusto y explotador, dijo.
Si bien el equipo de seguridad normalmente hace estos ejercicios cada seis semanas, Stanley dijo que esperaron 10 semanas debido a la pandemia y “como resultado, vimos un aumento en las vulnerabilidades”. Pero, dijo, también encontraron la voluntad de cambiar los comportamientos como resultado.
En respuesta a una pregunta sobre las métricas que usan los líderes de seguridad, Allan dijo que su organización usa la Marco de ciberseguridad del NIST, que aboga por medir, proteger y responder.
VER: Ataque de ransomware: por qué una pequeña empresa pagó el rescate de 150.000 dólares (TechRepublic)
“No hay una métrica única que me reconforte ”, dijo Jenkins.” Observamos la tasa de fracaso de los ejercicios de phishing, pero pueden ser engañosos “. Dijo que es importante” despegar los detalles “para ver si, por Por ejemplo, dentro de la población total, resulta que los nuevos empleados fracasan con más frecuencia. “Eso me dice que necesitan la capacitación adecuada para solucionarlo. Miro la historia detrás de la métrica para entender qué está pasando “.
La gestión del riesgo en una organización implica una discusión sobre cuánto dinero quiere gastar la organización, dijo Stanley. Eso conduce inevitablemente a tratar de cuantificar cuánto obtendrá la organización a cambio de su gasto, dijo. “Todavía discutimos y debatimos si debemos llegar a un punto de cuantificación y ponerle una cifra en dólares. Me resisto. Si alguien me presiona para cuantificarlo, será de una compañía de seguros”.
El riesgo es casi imposible de cuantificar, coincidió Allan. “Todo el mundo quiere el mismo resultado y que la organización lo haga bien, por lo que si puede ponerse de acuerdo sobre ese marco y proporcionar conciencia y transparencia, entonces puede basarse en, ‘¿qué haremos ahora?'”, Dijo. aceptación del riesgo “.
Pero si un líder de seguridad puede brindar transparencia sobre cuáles y dónde están los riesgos para las líneas de negocio, eso puede ayudar a la organización a determinar qué está dispuesta a aceptar, dijo. “La seguridad no debería tomar esa determinación, sino las líneas de negocio”.