En los últimos cinco años, me he reunido con cientos de directores de seguridad de la información (CISO) de empresas Fortune 500, pequeñas empresas y agencias gubernamentales. Los riesgos involucrados en la protección de nuestros datos, nuestra privacidad y nuestra seguridad nacional nunca han sido tan altos, sin embargo, los profesionales de la seguridad se ven obstaculizados en el desarrollo de nuevos métodos y pedagogía para enfrentar el rápido ritmo de riesgo y cambio. Si bien existen muchos marcos de protección de ciberseguridad como NIST o regímenes de cumplimiento específicos de la industria como PCI o HITRUST, la sabiduría aceptada de las últimas décadas se está desmoronando ante los nuevos y cada vez más difíciles desafíos de la ciberseguridad. Entonces, ¿a quién recurre un profesional de seguridad informática en busca de consejo? ¿Qué tal Warren Buffett?
Buffett es uno de los mejores pensadores de inversiones y negocios de nuestro tiempo. Lo que la mayoría de los líderes de seguridad no saben es que su enfoque para proteger sus propias inversiones (y el siguiente consejo que se cree que ha dado sobre el tema) se aplica igualmente a sus crecientes desafíos. “Lo que aprendemos de la historia es que las personas no aprenden de la historia”. Una de las mayores ideas que hemos obtenido de nuestras interacciones con líderes de seguridad informática es que, a pesar del cada vez más peligroso panorama de amenazas, medido por el aumento en el número de violaciones y daños materiales causados, la mayoría de los equipos de seguridad están apostando por tecnologías y prácticas de gestión que han fracasado, pero que funcionaron bien en una era pasada y que hoy en día son ineficaces. Solo este año, las empresas invertirán $86.4 mil millones en tecnología diseñada para proteger sus datos, más del doble que hace menos de cinco años. ¿Cómo están funcionando estas inversiones según los titulares del día?
Consejo para los CISO: Evalúen sus carteras de tecnología de la misma manera que Buffet evaluó sus muchas inversiones, creando revisiones de rendimiento semestrales o anuales de esas inversiones para informar cómo avanzar. Crear un marco de inversión que mida el rendimiento de las inversiones en su personal, procesos y tecnologías. Las métricas podrían incluir reducciones en incidentes, velocidad de implementación de aplicaciones, reducciones de costos en el gasto total de TI, tiempo de cumplimiento o aceptación del cliente.
“El riesgo proviene de no saber lo que estás haciendo”. Muchos CISO de hoy están aterrados por “volar a ciegas”, sin poder detectar malware en los dispositivos de su organización, desde PC y teléfonos inteligentes hasta los servidores en el centro de datos o aplicaciones en la nube pública. Además, los datos de seguridad que recopilan a menudo se ven inundados por “falsos positivos”, persecuciones salvajes basadas en las miles de alertas falsas que reciben y procesan diariamente. La mayoría de las organizaciones carecen de una comprensión básica de cómo funcionan las aplicaciones, cómo se comunican a través de redes y qué partes de su entorno informático están expuestas a actores malintencionados.
Consejo para los CISO: Asuman que nunca crearán un programa de seguridad perfecto capaz de repeler todas las amenazas externas. Enfoquense en construir un mapeo completo de cómo se comunican sus aplicaciones, usuarios y redes para comprender su superficie de ataque y los puntos de mayor vulnerabilidad. Las batallas modernas se libran tanto con inteligencia como con poder de fuego.
En resumen, los jefes de ciberseguridad pueden aprender mucho de Warren Buffett. Evaluar las inversiones tecnológicas y comprender la superficie de ataque son dos aspectos clave para enfrentar los desafíos actuales de la ciberseguridad. No podemos seguir confiando en métodos y prácticas obsoletas, es hora de adaptarnos y aprender de los mejores.
Fuente del artículo: Forbes
