ClickCease Gestión de riesgos para CISO - ¿Por qué es tan importante?

¿Qué lugar ocupa la gestión de riesgos entre los CISO y por qué es tan importante?

Rohan Timalsina

30 de mayo de 2023 - Equipo de expertos TuxCare

Los CISO están cada vez más involucrados en las organizaciones, lo que incluye una mayor atención a la gestión de riesgosy no sólo desde el punto de vista de las amenazas, sino también desde una perspectiva operativa y de lógica empresarial.

El creciente panorama de amenazas ha convertido rápidamente la función de CISO en uno de los puestos de nivel C más influyentes. No es de extrañar que las competencias de los CISO sigan ampliándose, yendo mucho más allá de los objetivos originales de ciberseguridad de proteger la infraestructura y los datos.

En este artículo, profundizaremos en qué es la gestión de riesgos en el contexto de la función del CISO. También discutiremos por qué la gestión de riesgos para los CISO se ha vuelto tan importante y qué medidas pueden tomar los CISO para mitigar la seguridad de la información y el riesgo empresarial en sus organizaciones.

Introducción a los CISO y la gestión de riesgos

CISO es la abreviatura de Chief Information Security Officer. Pero, con funciones como las de Director de Información (CIO) y Director de Seguridad (CSO), ¿qué implica exactamente el papel de CISO? ¿Y a qué nos referimos cuando hablamos de gestión de riesgos para los CISO? Veámoslo.

Los CISO son responsables de la seguridad de la información y los datos en toda una organización. Si pensamos en los orígenes de esta función, en la práctica significa que los CISO tenían que protegerse de las amenazas a la ciberseguridad: intrusiones, ransomware, etcétera. 

Tradicionalmente, se ha confiado a los CISO la dirección de un equipo de expertos en ciberseguridad que se centran en los aspectos prácticos de ésta, como la defensa del perímetro, la gestión de vulnerabilidades y áreas relacionadas. En este contexto, las principales funciones del CISO incluyen planificar la prevención de amenazas, supervisar el entorno general de ciberseguridad y garantizar que la infraestructura y los activos de información estén protegidos frente a amenazas internas y externas.

CISO frente a CIO y CSO

¿Qué lugar ocupa el CISO en comparación con el CIO y el CSO? Si pensamos en las funciones tecnológicas de nivel C, el CIO es el de mayor rango. Los directores de información casi siempre dependen directamente del director general y son responsables de la estrategia general de TI, incluida la inversión en TI, la transformación digital, etc.

A su vez, en las grandes empresas, el CISO dependería del CIO, aunque en las organizaciones más pequeñas también podría depender directamente del CEO.

¿Dónde encaja la OSC? Depende de la organización. Los puestos de CISO y CSO podrían ser en cierto modo intercambiables. Aun así, se podría pensar en un CSO como un miembro del personal de nivel C responsable de la seguridad de la organización en un sentido más tangible o físico, y menos en lo que respecta a la seguridad de la información. Las grandes organizaciones tendrán tanto un CSO como un CISO en funciones distintas.

El papel del CISO en la gestión de riesgos

¿Qué hace un CISO a diario? Ya desde el principio, la función de CISO era relativamente compleja, como cabría esperar de una función de nivel C. Las tareas del CISO pueden dividirse en cuatro áreas principales:

  • Determinar los elementos críticos: Entender lo que está en riesgo es un primer paso clave para los CISO, ya que no se puede proteger lo que no se conoce. Como parte de este proceso, los CISO llevarán a cabo una evaluación para identificar la infraestructura, los sistemas y los datos más críticos, reconociendo que la pérdida de acceso a estos elementos puede provocar daños importantes.
  • Proteger contra las amenazas: En esencia, los CISO protegen a las organizaciones contra las amenazas internas y externas. Utilizando una combinación de hardware, software y políticas, los CISO protegen contra estas amenazas, limitando la capacidad de los ciberdelincuentes para entrar y abusar de los sistemas o de los empleados internos para causar estragos.
  • Supervisión: Protegerse de las amenazas ayuda, pero los CISO también necesitan sistemas de alerta temprana para garantizar que los equipos de seguridad puedan responder rápidamente a cualquier amenaza en evolución. Esto incluye la supervisión continua del sistema con notificación temprana.
  • Recuperación y continuidad: La protección ayuda, pero incluso para los CISO más competentes, sigue existiendo el riesgo de que se produzca una violación. En tales casos, la capacidad de responder con rapidez es fundamental para mantener la continuidad de la empresa. Esto incluye la aplicación de estrategias para acelerar la recuperación de los sistemas críticos y restablecer las operaciones normales lo antes posible.

Comprender la gestión de riesgos

Todas las organizaciones se enfrentan a acontecimientos adversos. Con evento adverso nos referimos a la posibilidad de que algo salga mal, perjudicando las operaciones o incluso la propia existencia de la organización. Antiguamente, eran las sequías, las tormentas o los robos físicos los que preocupaban a las empresas.

Las empresas de hoy en día se enfrentan a un grupo diferente de amenazas relacionadas con las tecnologías de la información: ciberdelincuencia, avería de las infraestructuras, pérdida de datos, etc. Cada uno de estos eventos adversos tiene un riesgo de ocurrir. Con el riesgo, hay una probabilidad asociada de que ocurra el suceso, y también un coste asociado.

La gestión de riesgos es, pues, un proceso fundamental que consiste en identificar, evaluar y mitigar estos ataques adversos a los que puede enfrentarse una organización o un individuo. En otras palabras, es un enfoque proactivo para anticiparse a los riesgos potenciales y tomar medidas para reducir su probabilidad o impacto. 

Esto incluye una amplia gama de actividades, como implantar controles de seguridad para evitar filtraciones de datos, desarrollar planes de recuperación de catástrofes para garantizar la continuidad de la actividad empresarial en caso de interrupción grave o realizar inspecciones periódicas de seguridad para identificar y mitigar los riesgos en el lugar de trabajo.

El proceso de gestión de riesgos es el siguiente:

Identificación y análisis de riesgos

La identificación y el análisis de riesgos es un paso crucial en el proceso de gestión de riesgos. Su organización identifica posibles acontecimientos adversos que pueden afectar negativamente a los activos, procesos y resultados. Una vez identificados, se determinan los costes potenciales asociados al riesgo, ya sean menores, fácilmente absorbibles o catastróficos para la organización.

Reducción de riesgos

En función del resultado del paso anterior, sabrá si un riesgo es aceptable o si debe establecer controles específicos para mitigarlo y evitar un resultado potencialmente desastroso. La mitigación no se limita a la prevención: también incluye planes de contingencia para garantizar la continuidad de las operaciones en caso de que ocurra lo peor.

Supervisión de riesgos

Como último paso, la gestión eficaz del riesgo es también una supervisión continua para detectar cambios en el panorama de riesgos. El seguimiento del riesgo también ayuda a su organización a detectar un acontecimiento adverso que aún no se ha producido, pero que se está gestando.

Esto es sólo una introducción a los pasos típicos que una organización daría en el camino de la gestión de riesgos, y los CISO, por supuesto, tienen prerrogativas específicas cuando se trata de la gestión de riesgos.

La gestión del riesgo empresarial y el CISO

Las organizaciones pueden identificar, evaluar y reducir los riesgos en toda su infraestructura utilizando la ERM (Gestión de Riesgos Empresariales) como marco estratégico. Ofrece una estrategia sistemática para conocer las vulnerabilidades, ejecutar planes y responder a los incidentes con eficacia. Las organizaciones pueden detectar proactivamente los riesgos potenciales y garantizar la solidez de sus sistemas integrando las técnicas de ERM en sus operaciones diarias.

El CISO dirige la postura de seguridad de la organización, que desempeña un papel fundamental en la gestión del riesgo empresarial. Trabaja con distintos departamentos para ejecutar las directrices de seguridad, realizar análisis de riesgos y crear estrategias de respuesta ante incidentes. El CISO es un aliado crucial para coordinar las medidas de seguridad con los objetivos de la organización. 

Colmar la brecha entre las medidas técnicas de ciberseguridad y los objetivos empresariales es una de las principales funciones del CISO en ERM. Los CISO deben coordinar las estrategias de seguridad con los objetivos y prioridades de la organización, teniendo en cuenta los costes, la productividad y la satisfacción del cliente. El CISO ayuda a mitigar los riesgos al tiempo que fomenta la innovación y el crecimiento incorporando las cuestiones de seguridad al proceso de toma de decisiones.

¿Por qué es tan importante la gestión de riesgos para los CISO?

Ahora que casi todas las organizaciones dependen de soluciones tecnológicas para sus operaciones cotidianas y que la tecnología está cada vez más integrada en los procesos empresariales, la distinción entre tecnología y el resto de la empresa es cada vez más tenue.

Para gestionar eficazmente las amenazas a la provisión de tecnología, los CISO ya no pueden limitarse únicamente a la tecnología: un CISO debe centrarse en los aspectos empresariales, porque los problemas de seguridad de la tecnología de la información también son intrínsecamente problemas empresariales.

Para ello, el CISO debe mirar más allá de las tareas tradicionales de seguridad informática -proteger, responder, etc.- y centrarse en la evaluación de riesgos -encontrar los eventos adversos, tanto impulsados por la empresa como por las TI, que suponen una amenaza para la organización-.

Los procesos empresariales se vinculan a las TI

Como sugerimos anteriormente, la gestión de riesgos para los CISO se ha vuelto cada vez más importante debido a la forma en que los procesos empresariales se vinculan directamente con la TI, lo que a su vez afecta a los riesgos de TI. En otras palabras, los riesgos de fallo de TI no solo están relacionados con las amenazas: los procesos empresariales internos también pueden crear riesgos.

Cuando los CISO se centran puramente en las amenazas técnicas y externas sin adoptar un enfoque de gestión de riesgos que tenga en cuenta el contexto empresarial más amplio, significa que los CISO están limitados en términos de cuánta protección pueden ofrecer realmente a la organización.

Una gestión eficaz de los riesgos que pueda compensarlos en profundidad requiere un conocimiento muy intrínseco de las operaciones empresariales y de las dependencias inherentes. En otras palabras, el CISO debe comprender una organización, sus procedimientos de toma de decisiones y las propias decisiones para diseñar un plan de seguridad sólido. Un enfoque de gestión de riesgos es fundamental para ese proceso.

Las amenazas pueden estar ocultas

Adoptar un enfoque basado en el riesgo y centrado en el negocio también es importante porque las amenazas operativas y de seguridad pueden esconderse, a veces a plena vista. Los CISO de hoy en día entienden que los riesgos de seguridad no son solo de naturaleza ciberamenazante: la tarea del CISO es ir más allá de los objetivos obvios, por ejemplo, los centros de datos, el IoT y la computación periférica.

Los riesgos de seguridad también pueden esconderse dentro de los procesos empresariales. Al adoptar un enfoque de gestión de riesgos, los CISO están mejor equipados para encontrar los riesgos que son menos obvios - y los riesgos que se encuentran dentro de los procesos de negocio más complicados.

Además, los CISO también deben tener en cuenta los riesgos asociados a los errores humanos. En otras palabras, ¿qué ocurre cuando el personal comete errores en sus tareas cotidianas y qué sucede si algo inesperado sale mal durante la implantación o el funcionamiento de la tecnología?

El régimen regulador

Por último, merece la pena analizar el riesgo de cumplimiento. Desde el punto de vista de las tecnologías de la información, el cumplimiento tiene hoy en día un peso enorme. Normas como ISO 27001, HIPAA, NIST 800-53y PCI DSS pueden dar lugar a fuertes multas cuando las empresas no cumplen los requisitos mínimos de conformidad. La pérdida de conformidad también puede conllevar la pérdida de clientes o dificultades para conseguir nuevos negocios.

Los CISO deben tener en cuenta el cumplimiento en su enfoque de la gestión de riesgos. En otras palabras, ¿cuál es el riesgo de incumplir las normas de cumplimiento? ¿Y cuáles son las consecuencias de no cumplir las normas mínimas de gestión de riesgos contenidas en estas normas de cumplimiento?

 

Retos de la gestión de riesgos para los CISO

Al evaluar las amenazas a la seguridad de la información, los CISO deben mirar más allá de la protección y las soluciones. En su lugar, un enfoque de gestión de riesgos exige que los CISO evalúen lo que está más en riesgo y lo que es más costoso de arreglar.

Sin embargo, el papel del CISO también debe tener en cuenta la organización en general y sus procesos empresariales subyacentes. Algunas de las amenazas más peligrosas pueden radicar en que estos procesos vayan mal, mientras que algunas amenazas aparentemente menos graves pueden tener un impacto significativo en los procesos. Corresponde al CISO identificar dónde residen estos riesgos reales y significativos y desarrollar estrategias para abordarlos con eficacia.

El riesgo de vendedores y proveedores también importa

 

Las organizaciones dependen cada vez más de proveedores externos para la recopilación, transferencia y almacenamiento de datos. El mero hecho de utilizar un proveedor en la nube, como hacen casi todas las organizaciones hoy en día, expone a la empresa a riesgos.

Si bien los CISO harán todo lo posible para proteger la infraestructura tecnológica que gestionan frente a las amenazas, deben estar igualmente atentos cuando se trata de proveedores. También en este caso, los CISO deben adoptar un enfoque de gestión de riesgos. Los proveedores requieren supervisión, y los CISO deben evaluar los controles de seguridad de los proveedores para asegurarse de que la infraestructura y los datos de su organización no están en peligro.

A estas alturas debería estar claro que la gestión de la seguridad y los riesgos de un CISO no existe en una burbuja tecnológica aislada del resto de la empresa. La gestión de riesgos ya estará integrada en muchas funciones empresariales; las grandes organizaciones dedicarán importantes recursos a la gestión de riesgos en toda la organización.

Los CISO deben trabajar estrechamente con otras divisiones de negocio para integrar la gestión de riesgos, introduciendo el conocimiento de los riesgos tecnológicos en el panorama más amplio de la gestión de riesgos, al tiempo que se basan en la evaluación general de riesgos de la organización para determinar cómo afecta al riesgo informático.

El CISO debe empujar a la organización hacia las mejores prácticas de reducción de riesgos, específicamente en la infraestructura de TI, por ejemplo, a través de la implementación de mecanismos estrictos de despliegue de parches de seguridad, preferiblemente automatizados, opciones adecuadas de soporte de proveedores para los sistemas adquiridos (para garantizar que los sistemas estén siempre cubiertos con nuevas versiones de firmware), controladores y asistencia técnica, así como auditorías de seguridad fiables y periódicas realizadas ya sea por equipos internos (si tienen los conocimientos técnicos o contratistas externos de renombre para proporcionar una visión clara del panorama de seguridad actual) - entre muchas otras cosas. 

Algunas empresas no dispondrán de los recursos necesarios para alcanzar todos estos objetivos de forma adecuada, pero existen soluciones que los proporcionan, como las que ofrece TuxCare - para ayudar al CISO a desempeñar su función con mayor eficacia.

Cualquier riesgo informático conocido y permitido, como un sistema sin parches o un servidor con un cortafuegos mal configurado, es directamente traducible en riesgo empresarial -riesgo de violación de datos, riesgo de incumplimiento, riesgo para la reputación, riesgo financiero, riesgo de robo de propiedad intelectual o riesgo operativo- y todos ellos, o de hecho cualquiera, causarán un gran daño a la empresa.

Comuníquese con fluidez

 

Una parte fundamental del proceso de gestión de riesgos es la comunicación y la consulta. Podría decirse que los detalles importantes sobre los riesgos sólo saldrán a la luz cuando se entablen debates más amplios. En otras palabras, evaluar realmente el riesgo es cuestión de obtener múltiples perspectivas.

Para los CISO, esto significa comunicación a lo largo de la cadena de mando, colaborando estrechamente con el personal sobre el terreno para detectar riesgos ocultos. También implica una comunicación clara con la alta dirección, para que los riesgos informáticos se conozcan y comprendan plenamente.

Gestionar el conflicto de intereses

La gestión de riesgos también puede dar lugar a un conflicto de intereses. Por ejemplo, los CIO compran y gestionan activos tecnológicos, lo que puede suponer un conflicto entre los costes y la sustitución de activos antiguos, por ejemplo, frente a la puesta en marcha de activos nuevos, seguros y libres de riesgos.

La segregación de funciones es clave, por lo tanto, y los CISO deben mantenerse firmes en sus obligaciones como gestores de riesgos para garantizar que la tecnología que se despliega apoya la gestión de riesgos dentro de su organización. Del mismo modo, cuando se trata de procesos empresariales, la eficiencia puede chocar con la aversión al riesgo. También en este caso, los CISO deben garantizar que la seguridad informática nunca se vea comprometida por la eficiencia empresarial.

Cómo pueden reducir el riesgo los CISO

Mediante la aplicación de tácticas de riesgo eficaces, los CISO pueden garantizar que los activos críticos de su organización, incluida la información y los sistemas sensibles, permanezcan seguros frente a posibles amenazas. Además, una gestión eficaz del riesgo ayuda a los CISO a priorizar sus inversiones en seguridad y asignar recursos a las áreas que requieren más atención. 

  • Realizar evaluaciones periódicas de los riesgos: Mediante la evaluación periódica de los riesgos potenciales a los que puede enfrentarse su organización, los CISO pueden identificar y priorizar los riesgos más significativos y desarrollar estrategias de mitigación eficaces.
  • Desarrollar y aplicar políticas y procedimientos de seguridad: Los CISO pueden reducir el riesgo desarrollando y aplicando políticas y procedimientos de seguridad exhaustivos que se ajusten a las mejores prácticas del sector y a los requisitos normativos.
  • Impartir formación continua sobre concienciación en materia de seguridad: Los CISO pueden ayudar a reducir el riesgo proporcionando formación continua de concienciación sobre seguridad a sus empleados para garantizar que son conscientes de las posibles amenazas a la seguridad y saben cómo responder a ellas.
  • Implantar controles de seguridad: Los CISO pueden reducir el riesgo implantando controles de seguridad eficaces, como cortafuegos, sistemas de detección de intrusiones y cifrado, para proteger los activos críticos de su organización frente a posibles amenazas.
  • Desarrollar y aplicar planes de respuesta a incidentes: Los CISOs pueden reducir el riesgo mediante el desarrollo e implementación de planes de respuesta a incidentes que describan los pasos a seguir en caso de un incidente de seguridad. Esto permite a la organización responder con prontitud y eficacia a los incidentes de seguridad y minimizar su impacto.

Live Patching para la gestión de riesgos

La aplicación de parches en vivo ofrece a las organizaciones importantes ventajas en la gestión de riesgos. Se trata de un enfoque de aplicación de parches automatizado y no disruptivo que mejora la ciberseguridad al cerrar vulnerabilidades, reduciendo así el riesgo de ataques. Además, puede emplearse en diversos servicios tecnológicos, como sistemas operativos Linux empresariales, bases de datos y bibliotecas de software de uso común.

TuxCare ofrece KernelCare Enterpriseque parchea en vivo todas las distribuciones populares, incluyendo CentOS, AlmaLinux, Debian, RHEL, Ubuntu, Oracle Linux, Amazon Linux, CloudLinux, Rocky Linux, y muchas más.

Para saber más sobre cómo funciona la aplicación de parches en directo, diríjase aquí.

Conclusión

El papel de un CISO no se limita a un ámbito estrecho. Si bien los CISO son responsables de la ciberseguridad y de proteger la infraestructura, las aplicaciones y los datos frente a amenazas internas y externas, hacerlo con eficacia requiere adoptar un enfoque de gestión de riesgos.

La gestión de riesgos para los CISO es global. Los CISO necesitan una visión amplia y profunda del riesgo en toda la empresa. Esta visión holística permite a los CISO gestionar eficazmente los riesgos de seguridad de la información en toda la empresa.

Los CISO deben gestionar no sólo el riesgo informático, sino comprender e influir en el riesgo en toda la empresa, incluido el riesgo impuesto por las decisiones tomadas por los ejecutivos de alto nivel.

Por último, los CISO deben aceptar que no siempre es factible eliminar o evitar por completo todos los riesgos. La mitigación es esencial siempre que sea posible, pero en una gran organización, cierto nivel de riesgo debe ser aceptado y comunicado a los compañeros para que la organización pueda gestionarlo y acomodarlo eficazmente.

Resumen
Gestión de riesgos para CISO - ¿Por qué es tan importante?
Nombre del artículo
Gestión de riesgos para CISO - ¿Por qué es tan importante?
Descripción
Lea esta entrada de blog y conozca la importancia de la gestión de riesgos para los CISO y los pasos que pueden dar los CISO para mitigar los riesgos.
Autor
Nombre del editor
TuxCare
Logotipo de la editorial

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Más información sobre Live Patching con TuxCare

Conviértete en escritor invitado de TuxCare

Empezar

Correo

Únete a

4,500

Profesionales de Linux y código abierto

Suscríbase a
nuestro boletín