Krypton Solid

Krypton Solid
Krypton Solid

La última tecnología en raciones de 5 minutos

Gestión de la ciberseguridad y los riesgos de la cadena de suministro: el papel de la junta

La seguridad ya no es responsabilidad exclusiva del departamento de seguridad y TI. Los tipos de amenazas por sí solos han cambiado en los últimos años, a medida que los ataques por motivos políticos y quienes buscan la propiedad intelectual se vuelven cada vez más comunes.

Para complicar aún más el problema, sigue aumentando el número de leyes que exigen la divulgación de violaciones de datos de los clientes, así como las demandas colectivas de consumidores y accionistas.

Estos factores han llevado el tema de la seguridad de TI a la sala de juntas, cambiando la forma en que los dos grupos hablan sobre la gestión de riesgos, según Bret Arsenault, vicepresidente corporativo y CISO de Microsoft.

«Es una responsabilidad completamente compartida», dijo en la Conferencia RSA de este año en San Francisco. «Los grandes diferenciadores en la madurez de [a security and risk management program] son: ¿Está responsabilizando a TI o está responsabilizando a toda la empresa y a la cadena de suministro? ¿Y cómo vas a hacer eso? «

Pero muchas empresas siguen rezagadas cuando se trata de compartir esa responsabilidad.

Riesgos de la cadena de suministro y la ciberseguridad

Tomemos como ejemplo la gestión de riesgos de la cadena de suministro (SCRM). Al presentar el caso a la junta con respecto al valor de retorno de la inversión de los análisis de GRC, la cadena de suministro es un buen lugar para comenzar, dijo Jon Boyens, gerente de programa de cyber-SCRM en NIST.

Jon Boyens, director de programa, cibernético, gestión de riesgos de la cadena de suministro, SCRM, NIST, imagen, foto de cabezaJon Boyens, programa

gerente de cadena de suministro cibernético

gestión de riesgos, NIST

«La gente de la cadena de suministro ha tenido bastante éxito en mostrar el ROI porque las interrupciones de la cadena de suministro son costosas», dijo Boyens durante un panel de RSA.

CONTENIDO RELACIONADO  Los tres mejores consejos para seleccionar una recuperación ante desastres como proveedor de servicios

¿Qué tan caro? Para empezar, el 55% de las interrupciones de la cadena de suministro superarán los $ 25 millones en costos, según una encuesta reciente del Business Continuity Institute. Además, el 24% de estos son causados ​​por ciberataques y el 22% por violaciones de datos.

Además de la pérdida de ingresos, descuidar los riesgos de la cadena de suministro cuando se trata de análisis de GRC puede resultar costoso de otras formas, como comprometer la reputación de su marca y perder valor para los accionistas. Pero la más importante de estas pérdidas potenciales, especialmente para los miembros de la junta, es la propiedad intelectual, porque ahí es donde reside la mayor parte del valor de una organización, dijo Boyens.

«La propiedad intelectual valiosa no solo se encuentra dentro de su organización, sino que a menudo, para hacer negocios, debe compartir la propiedad intelectual con sus socios, y eso es lo que se está perdiendo», dijo.

La seguridad ha pasado de ser un problema de TI a un problema de sala de juntas.

Bret ArsenaultVP corporativo y CISO, Microsoft

En su trabajo con NIST que analiza SCRM en diferentes sectores, Boyens dijo que está sorprendido de cuántas empresas no hacen su debida diligencia al decidir con quién están haciendo negocios y cómo. Esto incluye procesos de auditoría, así como el desarrollo y prueba de productos. Citó otra estadística de BCI: el 72% de las empresas encuestadas informaron que no tienen una visibilidad completa de sus cadenas de suministro.

«Mucha gente dice: ‘Vendí mi producto, ese es el final. Diga [you] vender un producto y luego ese producto es violado. [Your] «La marca está en los titulares, pero en realidad es el propietario del producto el que no estaba haciendo los parches», advirtió Boyens.

Las empresas no pueden permitirse esta falta de visibilidad y control de sus cada vez más complejas cadenas de suministro, dijo Boyens. Las tendencias como la impresión 3D y el Internet de las cosas no solo agravan los riesgos cibernéticos relacionados con las cadenas de suministro, sino que la tecnología SCRM habilitada para TI se basa en plataformas de TI que pueden ser extremadamente inseguras.

«Los datos de la cadena de suministro y del producto se ejecutan sobre el software empresarial que conecta las cadenas de suministro, y los eslabones débiles abundan en todo el mundo … y eso va a crear enormes interrupciones», dijo. «Su mayor control está dentro de su organización, comenzando por controlar las prácticas dentro de ella».

Comunicar el valor del análisis GRC a la junta

Una cosa es señalar estas estadísticas y riesgos a la atención de los miembros de la junta; el desafío es ayudarlos a comprender esa información y su papel en la gestión de los riesgos de la cadena de suministro y hacer uso de los análisis de GRC.

Abordar este desafío comienza con lograr que los altos ejecutivos se involucren más en la seguridad, dijo Arsenault de Microsoft. Destacó a los directores financieros en particular porque entienden la seguridad desde el punto de vista del riesgo operativo. Desafortunadamente, existe una brecha entre cuánto valor dan los ejecutivos de alto nivel a la seguridad de la información y qué tan involucrados están en ella. Según datos inéditos de la investigación de campo que el equipo de Arsenault realizó el año pasado, el 82% de los ejecutivos financieros y el 76% de sus pares de nivel C consideraron que la seguridad de la información era muy valiosa para la empresa. Sin embargo, solo el 13% de los ejecutivos financieros y el 28% de otros altos ejecutivos informaron estar involucrados en decisiones de seguridad de la información.

Bret Arsenault, vicepresidente corporativo y CISO, Microsoft, imagen, foto de cabezaBret Arsenault,

vicepresidente corporativo

y CISO, Microsoft

(usado con permiso

de Microsoft)

«Esto es importante porque, mientras se prepara para la junta, para la alta dirección, ¿qué nivel de participación tienen y con qué frecuencia [have that conversation with them]», Dijo Arsenault.

La brecha de participación no es la única desconexión que impide que la seguridad se convierta en una responsabilidad compartida, ha descubierto Arsenault. Según la investigación de campo de su equipo, si bien la mayoría de los ejecutivos de nivel C (92%) reconocen la importancia de integrar la seguridad de la información con cada departamento comercial, la comunicación directa con los líderes de seguridad de la información es muy poco frecuente: el 56% de los ejecutivos financieros y el 57% de sus c pares de nivel se reunieron con líderes de seguridad trimestralmente o menos, mientras que solo el 44% de los ejecutivos financieros y de otro tipo se reunieron con líderes de seguridad mensualmente o más.

Boyens estuvo de acuerdo en que los silos impiden una gestión eficaz de la seguridad y los riesgos, especialmente en la cadena de suministro. De hecho, basándose en su trabajo de campo con NIST y su experiencia trabajando en el sector gubernamental, cree que estas fallas en la comunicación son la barrera más grande.

«Hay CIO, CISO responsables de TI; diferentes líneas de negocio responsables de su línea de negocio, pero rara vez hay una intersección entre los dos», dijo.

Esto se debe no solo a la falta de intersección entre la capacitación en SCRM y la capacitación en gestión de TI, sino también a la falta de participación de los propietarios del sistema en los procesos de seguridad de la información.

«Esto crea enormes, enormes puntos ciegos», dijo Boyens.

Estos silos pueden ser problemáticos al analizar la inteligencia de riesgo empresarial y big data, que es clave para SCRM, dijo Boyens. Los macrodatos se distribuyen en muchas áreas diferentes de una organización, incluidos los registros de eventos del servidor, antivirus y cortafuegos; información del personal; y equipo dentro del alcance. Con los silos en su lugar, se necesita un mayor esfuerzo para dividirlos para llegar a todas esas fuentes de datos y mover la información a una ubicación central para que pueda ser analizada.

Llenar los vacíos en la gestión de los riesgos de la cadena de suministro

Arsenault y Boyens ofrecieron varias sugerencias para aliviar estas brechas en la gestión de riesgos. Por un lado, los líderes de TI y seguridad deben considerar si están usando el lenguaje correcto para comunicar los riesgos a la junta y si es demasiado técnico. Arsenault aconsejó a la audiencia que evite el uso de imágenes, gráficos y acrónimos de tres letras y que se ciña a una prosa breve y sencilla.

«Te obliga a escribir como un humano», dijo.

En segundo lugar, hable sobre el riesgo en términos de deuda técnica, o la responsabilidad que un software o plataforma de tecnología acumula con el tiempo y cuánto costará «pagar» esa deuda. En otras palabras, monetice el riesgo asociado con el uso de ciertos productos mostrando los costos como aparecerían en un balance.

«Al comité de auditoría le encanta usar ese lenguaje. Hablamos sobre la deuda técnica y las cosas que estamos limpiando», dijo Arsenault, y agregó que muchos miembros del comité de auditoría provienen de un historial de CFO.

En tercer lugar, desarrolle sesiones educativas para la junta. Hay una variedad de personalidades en cualquier consejo y no todo el mundo hace preguntas durante las reuniones del consejo. Las sesiones educativas, en particular aquellas que involucran a expertos externos con una perspectiva de la industria, pueden ser beneficiosas para aquellos miembros de la junta menos vocales que no han pasado mucho tiempo en este espacio, dijo Arsenault.

Finalmente, cree un consejo de riesgos de la cadena de suministro. Al realizar talleres con empresas que se ocupan de los riesgos cibernéticos en su cadena de suministro, el NIST ha descubierto que las más sofisticadas contaban con consejos de riesgos de la cadena de suministro.

«Reúnen a los actores clave para una estrategia SCRM integral y de extremo a extremo», dijo Boyens.

Las formas en que se establecen estos consejos varían y, a menudo, involucran no solo a las unidades comerciales de la cadena de suministro, sino también a los líderes e ingenieros financieros y de seguridad de la información. Además, es importante recordar que crear un consejo no es fácil, advirtió Boyens.

«Incluso la organización más sofisticada que encontramos estaba teniendo dificultades para lidiar con eso: todos los años tenían que cambiar [the organization of the council] alrededor «, dijo.

¡Haz clic para puntuar esta entrada!
(Votos: Promedio: )

También te puede interesar...

¿Qué son los procedimientos acordados (AUP)?

Un procedimiento acordado es un estándar que una empresa o un cliente describe cuando contrata a una parte externa para realizar una auditoría sobre una prueba o proceso comercial específico. Los procedimientos, que se denominan

¿Qué es el análisis de operaciones de TI (ITOA)?

El análisis de operaciones de TI (ITOA) es la práctica de monitorear sistemas y recopilar, procesar, analizar e interpretar datos de varias fuentes de operaciones de TI para guiar decisiones y predecir problemas potenciales. La

Cómo mejorar la narración de su ciencia de datos

Así que ha realizado un análisis que ha desarrollado una visión poderosa. ¿Ahora que? Si no puede comunicar sus resultados a la audiencia adecuada, ya sean trabajadores o ejecutivos de la línea de negocio, el

Solicitud rechazada

Solicitud rechazada La URL solicitada fue rechazada. Comuníquese con el servicio de atención al cliente por correo electrónico al si cree que recibió este mensaje por error. Consulte la siguiente información: Su ID de soporte

Las herramientas declarativas de DevOps cuadran

DevOps tiene como objetivo impulsar la colaboración entre los equipos de desarrollo y operaciones, pero la calidad del software impulsa DevOps … adopción más que cualquier otro factor. Como muestra esta comparación de Ansible frente

Haciendo espacio para la generación Millennial

Karen Kocher vigila a los Millennials. Y en su empleador, la compañía de seguros de salud Cigna, hay muchos, que comprenden el 50% de la población. Debido a que muchos en esta generación más joven

Revisión de la seguridad electoral de 2020

Escuche este podcast El podcast Risk & Repeat de esta semana repasa las elecciones de 2020, que estuvieron libres de ataques cibernéticos o hackeos importantes, pero han visto un aumento en las campañas de desinformación

Cómo eliminar ransomware: paso a paso

Un ataque de ransomware puede resultar debilitante, independientemente de si la víctima es una empresa unipersonal o una gran empresa multinacional. Ver una pantalla de computadora que muestra que los sistemas están comprometidos o intentar

¿Qué es el sistema de gestión de patio (YMS)?

Un sistema de gestión de patio (YMS) es un sistema de software diseñado para supervisar el movimiento de camiones y remolques en el patio de una instalación de fabricación, almacén o centro de distribución. YMS

Instalación del hipervisor Xen en Ubuntu

Si se hace correctamente, la instalación del hipervisor Xen puede abrir oportunidades para la experimentación en el laboratorio y, potencialmente, una plataforma de producción de bajo costo. Gracias a su disponibilidad gratuita y su proceso

Comparta sus pensamientos en Twitter

2015 podría ser el año de la Internet de las cosas (IoT), si hay que creer en el rumor del reciente International Consumer Electronics Show (CES) en Las Vegas. IoT ocupó un lugar central en

Galerías de imágenes de disco virtual Win10

Hay una historia absolutamente fascinante circulando en línea en este momento, cortesía de Rafael Rivera en Thurrott.com. Titulado «Soporte de galería en línea que viene a Hyper-V Quick Create», explica un método de apuntar y

Commvault se reúne alrededor de la nube

Commvault aumentó sus ingresos año tras año por tercer trimestre consecutivo, con una gran ayuda de la nube. Como todos los proveedores de almacenamiento, Commvault está buscando una forma de trabajar con proveedores de nube

El bombo hiperconvergente no va a desaparecer pronto

Si bien la infraestructura hiperconvergente puede ser un concepto joven, el escenario se está llenando rápidamente de posibles actores principales. Este es un concepto de tecnología que se va a pegar. A medida que los

La IA conversacional es el ‘próximo gran paso’

Los avances en la inteligencia artificial, el procesamiento del lenguaje natural y la comprensión del lenguaje natural, provocados por la computación en la nube y un hardware más potente, han impulsado una nueva ola de

¿Qué es el sistema de información de laboratorio?

Un sistema de información de laboratorio (LIS) es un software de computadora que procesa, almacena y administra datos de todas las etapas de los procesos y pruebas médicas. Los médicos y los técnicos de laboratorio

Deja un comentario