Adaptación del articulo “CISOs’ Lessons: Why We Need to Listen» https://lumu.io/blog/cisos-lessons-why-we-need-to-listen/?utm_source=email&utm_medium=zoho_marketing_hub&utm_campaign=ao1388_16112022_b2b_emm_zhmhub_trf_cisos_lessons_learnes_email_promo

El informe Lecciones de los CISOs comparte opiniones de los líderes de ciberseguridad que han experimentado las peores violaciones de la seguridad. He aquí por qué deberíamos prestar atención.

Es muy difícil ser sincero sobre un incidente de seguridad grave. Al recopilar el informe Lecciones de los CISO sobre las brechas de seguridad, LUMU ha tenido la oportunidad de hablar con 5 CISO que han dirigido equipos a través de algunas de las peores brechas de seguridad imaginables. Estos líderes de la ciberseguridad han decidido superar el estigma que rodea a las brechas para compartir sus ideas. Merece la pena escuchar sus historias para apreciar plenamente la realidad de vivir una brecha y prestar atención a sus lecciones, no sólo para el nivel C, sino para todos nosotros.

Desgraciadamente, la narrativa en torno a una brecha se centra a menudo en cómo se debería haber detenido el acceso inicial. Sufrir una brecha de seguridad se ve como una especie de marca de vergüenza. Esto puede impedir que los líderes compartan sus lecciones de estas violaciones, y obstaculiza el flujo de información que podría hacer que la industria de la ciberseguridad sea más eficiente.

Las Brechas de Seguridad son Inevitables

¿Sufrir una brecha significa que ya ha fracasado? Michael Coates, antiguo CISO de Twitter le dijo a LUMU «No, pero eso viene con un gran asterisco». Todo se reduce a si usted está suficientemente preparado cuando el adversario obtiene el acceso. Si su falta de preparación ha sido atroz, entonces sí, una brecha de seguridad puede conducir a una grave violación de datos y significar un fracaso.

En un plazo suficientemente largo, todas las empresas sufrirán una brecha de seguridad. Como les dijo el CISO Márcio Sá, «el adversario tiene la ventaja de un gran número de puntos de distribución que puede atacar mientras que usted tiene recursos limitados para defenderlos». Eso no significa que la defensa sea inútil, pero sí que una estrategia de defensa en profundidad debe considerar los riesgos y estar preparada para defender, detectar, mitigar y remediar los incidentes de seguridad.

En 2011, la RSA fue vulnerada a pesar de ser una de las empresas de ciberseguridad más reputadas del mundo, y a pesar de contar con herramientas de seguridad de primer nivel y con talentos de talla mundial operando sus defensas. El antiguo director de tecnología de la RSA, Bret Hartman, dijo que sus herramientas de monitorización y visibilidad marcaron la diferencia para evitar la catástrofe. La RSA fue capaz de detectar la intrusión en sólo 5 días (la media actual del sector es de unos espantosos 201 días). A partir de ahí pudieron seguir todos los movimientos de los atacantes por la red.

La Realidad de Experimentar una Brecha

Es difícil exagerar la escala de una operación de respuesta a incidentes. Todos equipos de la empresa se reúnen en una «sala de guerra física» para coordinar las tareas. Se traen equipos externos de bufetes de abogados, expertos forenses, agencias gubernamentales y más. «Hay países que te llaman», subrayó Tim Brown, CISO de SolarWinds.

Michael Coates dijo que lo único que Hollywood acierta es la imagen de una habitación llena de gente con capucha, acurrucada sobre ordenadores portátiles en mitad de la noche, rodeada de cajas de pizza. Hay tantas «líneas de trabajo» que coordinar durante el día la revisión de las comunicaciones externas y la información a los líderes es imposible, por lo que se realiza a última hora de la noche o a primera hora de la mañana.

Por mucho que se puedan (y deban) coordinar ejercicios de mesa y juegos de rol para simular una brecha, la experiencia completa de una brecha es algo para lo que no se puede preparar. Hay innumerables lecciones prácticas que aprender, que abarcan temas como las comunicaciones, las asociaciones, la gestión de equipos, la supervisión, la visibilidad y otros.

Un CISO dijo que «aguantó» durante la brecha, pero que después se sufría un desastre físico, emocional y mental. «Lloré, lloré, lloré», dijo. Otro nos habló de las innumerables llamadas que tuvo que hacer a lo largo de su carrera a los responsables de ciberseguridad de otras empresas para decirles que habían sido potencialmente vulnerados, y de cómo los veteranos de la ciberseguridad se derrumbaban también.

La Carga del CISO

Todavía existe cierto debate sobre cuál debe ser el papel del responsable de la seguridad de la información dentro de una empresa: ¿debe el CISO depender del director general, del CSO o del CIO?

Lo que quedó claro en estas conversaciones es que la función de seguridad de la información no es algo que pueda delegarse en un equipo aislado. La seguridad de la información es un riesgo empresarial que se extiende a toda la organización y que requiere consideración a la hora de diseñar y realizar los procesos de cada departamento. La «función de seguridad de la información» es simplemente demasiado grande para que una sola persona asuma toda la responsabilidad.

Hay muchos chistes sobre el significado de CSO (Chief Scapegoat Officer). Cuando se produce una brecha de seguridad, siempre es el jefe de seguridad el que asume la culpa. En cambio, liderar un equipo a través de una brecha de seguridad es una habilidad poco común que se está volviendo cada vez más demandada. Experimentar una brecha de seguridad no debería ser una marca de vergüenza, sino una insignia de honor ganada en el frente de batalla cibernético.

Mientras reflexionaba sobre la brecha de RSA de 2011, Bret Hartman dijo que aquello fue un «gran canario en la mina de carbón» pero que, más de una década después, todavía no estamos mucho mejor que entonces. Por desgracia, las lecciones que hay que aprender de los innumerables incidentes de seguridad no se cuentan ni se escuchan. Sólo podemos esperar que más líderes de la ciberseguridad salgan a la luz con sus lecciones, que presten atención a las lecciones compartidas en el informe Lecciones de los CISO y que las tomen en serio.