Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Repensar el
Seguridad &
Estrategia de riesgo
EDITADO POR
Tom Scholtz
Distinguido vicepresidente y analista de Gartner
© 2020 Gartner, Inc. y/o sus afiliados. Reservados todos los derechos. CTMKT_864876
Machine Translated by Google
Introducción
Comience la década con una mentalidad renovada y una visión clara del
riesgo empresarial y las tendencias emergentes.
Tom Scholtz
Distinguido vicepresidente y analista de Gartner
Mejora tu seguridad
& Perspectiva de riesgo
Los profesionales de seguridad a menudo se centran en las Los CISO deben lograr un equilibrio entre lo que se necesita en un
amenazas e infracciones que dominan los titulares (Equifax, Marriott programa de seguridad y los riesgos a asumir para que el negocio avance. Sin
International, Aadhaar) y no necesariamente en las más críticas para la este equilibrio, las organizaciones pierden oportunidades y el CISO se
organización. convierte en una costosa distracción en la mente de los líderes
empresariales.
Un ejemplo perfecto es cuando los equipos de seguridad frenan las iniciativas
en la nube debido a preocupaciones infundadas sobre la seguridad de la nube. Puede que sea más fácil decirlo que hacerlo. La disrupción digital puede
Este miedo exagerado puede resultar en la pérdida de oportunidades estar avanzando a una velocidad cada vez mayor, pero las creencias
y en gastos inadecuados. fundamentales arraigadas en nuestras mentes a menudo no ayudan. Es hora
de replantear su mentalidad para lograr el éxito en medio de la disrupción.
Estas historias de alto perfil están llenas de escenarios pesimistas.
Cambiar el punto de vista conceptual y/o emocional con el que ves una
Sin embargo, las vulnerabilidades de día cero representaron situación a un nuevo marco de referencia que se ajuste a los “hechos”.
aproximadamente el 0,4% de los incidentes en la última década. La
de la realidad futura de su mercado. Entonces podrás crear el nuevo
cantidad gastada en intentar detectarlos no guarda relación con los
contexto para el cambio.
riesgos reales que plantean.
Generar confianza y resiliencia El éxito, añade Scholtz, depende de la voluntad de los CISO de adoptar un
nuevo conjunto de principios de confianza y resiliencia:
Los negocios digitales han creado un nuevo ecosistema, en el que
los socios agregan nuevas capacidades comerciales y complejidades de • Cambiar a una toma de decisiones basada en el riesgo y alejarse del
seguridad. La visión del CISO sobre el riesgo y la seguridad debe cumplimiento de casillas de verificación
basarse en un ecosistema que permita la confianza y la resiliencia.
• Comenzar a respaldar los resultados comerciales en lugar de proteger
únicamente la infraestructura.
"El objetivo es proporcionar un ecosistema que equilibre el imperativo
de proteger la empresa con la necesidad de adoptar nuevos enfoques • Conviértete en un facilitador, no en un defensor
tecnológicos innovadores y arriesgados para seguir siendo • Determinar cómo fluye la información; no intentes controlarlo
competitivos", afirma Tom Scholtz, distinguido vicepresidente y analista • Centrarse en las personas y aceptar los límites de la tecnología.
de Gartner.
• Invierta en detección y respuesta, y deje de intentar proteger
La mayoría de las vulnerabilidades explotadas seguirán siendo conocidas perfectamente la organización
por los profesionales de seguridad y TI en el momento del incidente.
organización?
Ataque dirigido a través de SMS
A la mañana siguiente, varios miembros del equipo de liderazgo senior del
hospital lanzan estas preguntas y más a Grant y al CIO. Grant explica que su
vistiendo
equipo de seguridad de la información tenía poco personal y estaba bajo presión
/'viSHING/
para introducir varias tecnologías nuevas con plazos reducidos.
sustantivo
En otras palabras, el equipo no tenía los recursos ni el tiempo para seguir el ritmo Aplicar las lecciones aprendidas
de las amenazas y tendencias en constante cambio, lo que les impidió identificar y
• Abordar y parchear vulnerabilidades conocidas. Evaluar los recursos existentes
protegerse contra las vulnerabilidades conocidas, que son las amenazas con
y garantizar la inversión en una combinación equitativa de soluciones
mayor probabilidad de poner en riesgo a una organización.
de detección y prevención.
Las organizaciones están luchando por mantenerse al día con el panorama • Manténgase al tanto de las tendencias y comprenda su impacto.
de amenazas actual. Existen demasiados procesos manuales y los Grant y su equipo no pudieron hacerlo, lo que dejó a su hospital vulnerable.
administradores de seguridad y riesgos deben lidiar con la falta de recursos,
habilidades y presupuestos. • Si te atacan, no lo culpes. Una de las etapas más importantes de la respuesta a
incidentes es centrarse en las causas fundamentales. Señalar a los demás
Pero, ¿qué pueden hacer los CISO ante los crecientes ataques y la falta de
con el dedo no resuelve nada.
recursos?
• Utilice la gestión de comportamiento antiphishing (APBM). Este es un elemento
crítico de una estrategia de seguridad centrada en las personas.
• Proteger la puerta de enlace de correo electrónico. Puerta de enlace de correo electrónico segura (SEG)
• Aislar sistemas vulnerables. Los sistemas que aún no se ven afectados por el
malware pueden seguir siendo vulnerables y, a menudo, son en los que
más se confía. Una solución temporal útil: limitar la conectividad de la
red cuando se produce una infracción o un ataque.
A los CISO de grandes empresas se les pide cada vez más que informen a su Empezar
junta directiva sobre los riesgos tecnológicos y de ciberseguridad al menos
Esta es su diapositiva de alto nivel, "llamar la atención". Establece el
una vez al año.
escenario para el tablero y simplemente debe identificar los temas que
Presentarse ante la junta ofrece nuevas oportunidades, pero puede ser una cubrirá en las siguientes diapositivas. No son necesarios detalles, pero debe
tarea desafiante e intimidante. Estas presentaciones no tienen por qué ser una indicar que la presentación incluirá información sobre la ejecución
inmersión profunda en los detalles de cada tecnología. La clave es del negocio, la estrategia, los desarrollos externos y la posición de
Tenemos algunos puntos Nuestra reciente adquisición tiene Los eventos externos requieren La ejecución de la actual Tomar nota del estado actual y
positivos, pero el trabajo un cambio menor en nuestra sólo tácticas menores. estrategia de seguridad va en gran respaldar el plan de acción.
continuo de reparación en varias posición de riesgo. respuestas. medida según lo previsto. La
áreas mejorará el desempeño Todos los demás riesgos madurez de nuestro proceso
del negocio. materiales son estables. continúa mejorando y supera los
puntos de referencia de nuestros
pares y el objetivo que se acerca.
Usaremos la seguridad para ayudar Proporcionaremos un alto nivel de Nuestras herramientas serán adecuadas para su propósito. Nuestro pueblo estará plenamente
a hacer crecer el negocio. disponibilidad y continuidad del comprometido.
Ejecutaremos el cambio de
servicio.
Seremos eficientes en nuestra manera eficiente y confiable. Nuestro pueblo tomará las
gestión de seguridad. Los clientes tendrán confianza en nuestros decisiones correctas.
Incorporaremos la mejora continua
servicios e instalaciones.
Ejecutaremos proyectos a tiempo y en nuestros procesos. Invertiremos en nuestra gente y
dentro del presupuesto. Cumpliremos con todas las desarrollaremos su experiencia.
Mantendremos nuestro riesgo operativo
regulaciones aplicables.
Gestionaremos a nuestros proveedores dentro de un apetito de riesgo Protegeremos nuestro knowhow como
de forma rentable. Las personas adecuadas tendrán definido. ventaja competitiva.
acceso a la información adecuada.
El llamado a la acción
Concluya la presentación con una diapositiva de cierre para reiterar los puntos principales
puntos que ha planteado y sea claro sobre todo lo que solicite. Responda preguntas y
Continuarán los Las acciones menores No se requiere ninguna La ejecución de la actual Tomar nota del estado actual y
programas de trabajo en respuesta a cambios acción para cambios estrategia de seguridad va respaldar el plan de acción.
habituales (BAU) que externos se ejecutarán menores en la posición de riesgo material.
en gran medida según lo
mejoran el desempeño como BAU. previsto. La madurez
empresarial. de nuestro proceso continúa
mejorando y supera los
puntos de referencia
Cómo responder: comience con algo como: “Considerando la naturaleza La cuestión del riesgo
en constante evolución del panorama de amenazas, es imposible
Cómo suena: ¿ Sabemos cuáles son nuestros riesgos? Que te mantiene
eliminar todas las fuentes de riesgo de información. Mi función es
despierto en la noche?
implementar controles para gestionar el riesgo. A medida que nuestro
negocio crece, tenemos que reevaluar continuamente cuánto riesgo es
Por qué se pregunta: La junta sabe que aceptar el riesgo es una elección (si
apropiado. Nuestro objetivo es crear un programa sostenible que equilibre la
no lo hacen, es un desafío que deben resolver). Quieren saber que se
necesidad de proteger con la necesidad de administrar nuestro negocio”.
están manejando los riesgos de la empresa. Los CISO deben estar
preparados para explicar la tolerancia al riesgo de la organización para defender
las decisiones de gestión de riesgos.
Cómo responder: Explique el impacto empresarial de las decisiones Cómo responder: utilice un enfoque de cuadro de mando integral en el
de gestión de riesgos y asegúrese de que sus posiciones estén que la capa superior exprese las aspiraciones comerciales y el desempeño
respaldadas por evidencia. La segunda parte es vital porque los de la organización frente a esas aspiraciones se ilustra mediante un
directorios toman decisiones basadas en la tolerancia al riesgo. mecanismo simple de semáforo. En la medida de lo posible, explique
Cualquier riesgo fuera del nivel de tolerancia requiere una solución las aspiraciones en términos de desempeño empresarial, no de tecnología.
para ponerlo dentro de la tolerancia. Esto no requiere necesariamente El rendimiento se sustenta en una serie de medidas de seguridad que se
cambios dramáticos en cortos períodos de tiempo; cuidado con reaccionar evalúan utilizando un conjunto de criterios objetivos.
exageradamente. La junta buscará garantías de que los riesgos materiales
se estén gestionando adecuadamente y de que en algunos casos pueden ser
La pregunta del incidente
apropiados enfoques sutiles a largo plazo.
Cómo suena: ¿Cómo sucedió esto? ¿Pensé que tenías esto bajo control?
La cuestión del rendimiento
¿Qué salió mal?
Cómo suena: ¿Estamos asignando recursos adecuadamente?
Por qué se pregunta: Esto se pregunta cuando ha ocurrido un incidente o
¿Estamos gastando lo suficiente? ¿Por qué gastamos tanto?
evento y la junta ya lo sabe o el CISO les está informando al respecto.
Por qué se pregunta: La junta directiva querrá asegurarse de que los líderes
Cómo responder: Un incidente es inevitable, así que sea objetivo. Comparte lo
de seguridad y gestión de riesgos no se quedan quietos. Los miembros
de la junta querrán saber sobre métricas y ROI. que sabes y lo que estás haciendo para descubrir cualquier cosa que no
sepas actualmente. En resumen, reconozca el incidente, proporcione detalles
sobre el impacto empresarial, describa las debilidades o brechas que
deben resolverse y proporcione un plan de mitigación. Tenga cuidado de
no respaldar una opción como la opción final cuando esté frente a la junta
directiva. La responsabilidad de la supervisión de la seguridad y los
riesgos sigue siendo del líder de seguridad, pero la responsabilidad siempre
debe definirse en la junta directiva.
nivel ejecutivo.
Desafíos de seguridad clave para los CIO Utilice datos para descubrir nuevas fuentes de talento
Los CISO de hoy se enfrentan a nuevas condiciones: Gartner TalentNeuron™ recomienda lugares para encontrar talento digital. Los
CISO pueden consultar con sus pares de recursos humanos cómo los datos pueden
1. Se requieren nuevas capacidades y roles de seguridad. descubrir fuentes de talento no explotadas.
La digitalización está impulsando la necesidad de una gama más amplia de
• Ubicaciones con menos escasez de talentos. Analice los datos tanto de la oferta
roles que implican nuevas habilidades y conocimientos. Se espera que los
como de la demanda para obtener una imagen más clara de a qué ubicaciones
CISO agreguen selectivamente más de 30 capacidades de este tipo a su
dirigirse.
función durante los próximos 24 meses, como estrategas de
seguridad responsables de establecer la estrategia de seguridad e informar • Empresas e industrias adyacentes. Extraiga estas fuentes para identificar empresas
que contraten activamente el talento que desea y luego agréguelas a sus criterios
la estrategia de toda la empresa.
de contratación.
2. Es difícil contratar nuevos talentos en seguridad. Se necesitan un promedio de
• Ciudades con reservas de talentos emergentes. Utilice datos para identificar
130 días para cubrir los puestos vacantes en seguridad de TI; Las vacantes ciudades con reservas de talento digital incipientes. Le permiten ampliar sus
quedan sin cubrir y los equipos carecen de personal durante muchos meses. recursos de contratación.
Como resultado, los equipos de los CISO a menudo se ven arrastrados a un ciclo
continuo de alta rotación y contratación lenta.
Para adoptar un enfoque lean, Gartner recomienda estas Requisitos previos para adoptar una
acciones: organización de seguridad eficiente
• Desafíe el status quo de su organización de seguridad La adopción formal de una estrategia de organización de seguridad
cuestionando supuestos fundamentales sobre la responsabilidad eficiente no está exenta de riesgos y tiene varios requisitos previos clave:
y el papel del equipo de seguridad de la información, lo que puede
• Claro apoyo ejecutivo. Esto es clave. Garantizar que el liderazgo sea
tener un efecto material en las demandas del equipo y, por lo tanto, en la
eficacia del equipo. plenamente informados de los motivos y objetivos de la estrategia, así como
de los riesgos y complicaciones asociados.
• Evaluar la eficacia de su equipo de seguridad actual para
• Equipos de seguridad con experiencia en la gestión de equipos
identificar funciones o capacidades (como la comunicación de
distribuidos. Los equipos también deben tener experiencia en instituir y
concientización del usuario) que pueden transferirse a otras partes del
negocio o de TI. gestionar funciones de gobernanza, como comités directivos y foros
de coordinación y planificación.
• Identificar ubicaciones alternativas en el negocio o en TI para capacidades
• Un entorno cultural que fomente el aprendizaje. Él
que no cuentan con recursos suficientes o que funcionan de
También debería fomentar el crecimiento personal y la adopción de
manera subóptima.
nuevas responsabilidades, ya que este enfoque se basa en gran
• Identificar y comunicar las ventajas, desventajas y requisitos previos de adoptar medida en la capacidad, capacidad y voluntad de los empleados no
un enfoque lean en su empresa. relacionados con la seguridad para asumir nuevas responsabilidades adicionales.
Investigación adicional
Actualice su perspectiva de seguridad y riesgo Más inteligente con los artículos de Gartner (continuación)
Investigación de clientes
TI trimestral: primer trimestre de 2018
Luchando contra el phishing: optimice su defensa Gartner, equipo de investigación del CIO, febrero de 2018
Neil Wynne, Andrew Walls, Peter Firstbrook, diciembre de 2017 Adopte una organización de seguridad digital eficiente para mitigar la escasez
de habilidades
Implementar un enfoque basado en riesgos para la gestión de vulnerabilidades
Tom Scholtz, abril de 2019
Prateek Bhajanka, Craig Lawson, agosto de 2018
Más inteligente con los artículos de Gartner
Más inteligente con los artículos de Gartner
Diez resoluciones del CIO para 2019 5 lugares donde no pensaste buscar talento digital
Mark Raskino, enero de 2019 Más inteligente con Gartner, Dion Love, julio de 2019
Más inteligente con Gartner, Jonathan Care, mayo de 2017 Más inteligente con Gartner, Sam Olyaei y Matt Stamper, junio de 2017
17
Machine Translated by Google
Aprende más.
Cavar profundo.
Mantenerse a la vanguardia.
Contenido gratuito:
visite Smarter With Gartner
Manténgase al tanto de las tendencias y conocimientos sobre seguridad y riesgos.
Asiste a la conferencia:
Cumbres de seguridad y gestión de riesgos de Gartner
Aprenda de la mano de los expertos de Gartner cómo guiar su organización hacia
un futuro digital seguro.
Conviértete en cliente:
1 855 307 8858
gartner.com/es/conviérteteencliente
© 2020 Gartner, Inc. y/o sus afiliados. Reservados todos los derechos. CTMKT_864876