Krypton Solid

Krypton Solid
Krypton Solid

La última tecnología en raciones de 5 minutos

La gobernanza de la ciberseguridad se queda corta en medio de los crecientes presupuestos de seguridad

A medida que se desarrollaba el ataque de ransomware WannaCry en mayo de 2017, el CISO de Airlines Reporting Corp. Rich Licato consultó con su personal.

Licato respondió preguntas: ¿El ataque fue relevante para la empresa? ¿Dónde estaban sus vulnerabilidades? ¿Estaba protegida la organización? Rápidamente recibió sus respuestas: la compañía estaba cubierta al 100% con sus capas de protección de red y protección de punto final, mientras que estaba cubierta en un 99% con sus actualizaciones de parches.

No hubo personal preso del pánico ni necesidad de apagar los sistemas.

«Sabíamos que no era un problema para nosotros, y lo supimos con bastante rapidez», dijo Licato, y agregó que su equipo parcheó el 1% de los sistemas más antiguos que no se habían actualizado antes del ataque.

Muchas empresas se quedan cortas en lo que respecta a la evolución de los procesos de gestión del riesgo cibernético. Considere el sexto informe anual Risk in Review de PwC, publicado en abril de 2017, que encuestó a más de 1,500 ejecutivos de 30 industrias. Encontró que, aunque los encuestados identificaron la ciberseguridad como un riesgo creciente, solo el 9% obtuvo una puntuación alta en lo que respecta a la madurez del riesgo cibernético en su organización.

Mientras tanto, el proveedor de seguridad empresarial Bromium Inc. encuestó a 210 profesionales de la seguridad a principios de 2017 y descubrió que el 10% admitió haber pagado un rescate u ocultar una infracción, mientras que el 35% admitió haber dado la vuelta, apagar o eludir su configuración de seguridad corporativa.

Licato atribuyó la capacidad de su equipo para evaluar si WannaCry amenazaba a Airlines Reporting y dónde lo hizo a tener no solo las tecnologías defensivas adecuadas en la pila de TI, sino también a tener un programa sólido de gobernanza de ciberseguridad. Este programa aseguró que todas las tecnologías, protocolos y procedimientos necesarios estuvieran implementados para responder a cualquier riesgo, amenaza o solución emergente que pudiera afectar al mercado.

CONTENIDO RELACIONADO  Comprensión de las arquitecturas de Secure Access Service Edge (SASE)

«Cuando se trata de madurar y mantener su programa de riesgo cibernético, lo reduzco a la cultura», dijo. «Tratar de tratar la seguridad como una cosa separada y no integrarla en su proceso comercial, no creo que cree un programa sostenible y nunca llega al nivel de madurez que desea».

Acción versus reacción

Los expertos en ciberseguridad dicen que los informes recientes confirman lo que están viendo en muchas organizaciones: los programas de gobernanza de ciberseguridad a menudo se enfocan en brindar soluciones puntuales, lo que las convierte en tácticas reactivas que no pueden seguir el ritmo de las necesidades y los riesgos comerciales que cambian rápidamente.

«Es un poco un fracaso dentro de los programas de gobernanza», dijo Cynthia J. Larose, presidente de la práctica de privacidad y seguridad y profesional certificado en privacidad de la información en el bufete de abogados Mintz, Levin, Cohn, Ferris, Glovsky y Popeo, PC

Es esta falta de gobernanza, dijeron ella y otros, lo que hace que las empresas ejecuten sistemas obsoletos y sean vulnerables a ataques como WannaCry.

[Boards] están luchando con la ciberseguridad. Cada año, el presupuesto aumenta, y preguntan si están más seguros y escuchan: ‘No, en realidad no’.
Greg BellCo-líder de la iniciativa de crecimiento estratégico de servicios de ciberseguridad global, KPMG International

Las organizaciones luchan con la gestión de la gestión del riesgo cibernético y el desarrollo de una postura de gobernanza madura por una variedad de razones, dijeron los expertos en ciberseguridad. Los ejecutivos corporativos a menudo separan el riesgo cibernético de otras áreas de riesgo, por lo que se aisla. Muchos líderes de la empresa, incluidos los CIO y otros gerentes de TI, también aíslan la ciberseguridad como un programa separado, convirtiéndola en algo que está atornillado en lugar de integrado en la pila de TI y la cultura de la empresa.

Además, la ciberseguridad es complicada y cara, lo que dificulta que los ejecutivos experimentados la aborden.

«[Boards] están luchando con la ciberseguridad. Cada año, el presupuesto aumenta, y preguntan si están más seguros, y escuchan: ‘No, en realidad no’ «, dijo Greg Bell, codirector de la iniciativa de crecimiento estratégico de servicios de ciberseguridad global para KPMG International.

Bell dijo que las empresas en algunas industrias clave, a saber, los servicios financieros y otros sectores altamente regulados, han desarrollado programas de gobernanza maduros para administrar la seguridad cibernética. Pero con la excepción de las empresas más grandes, la gran mayoría de las organizaciones en la mayoría de los otros sectores no han hecho el trabajo pesado necesario para implementar las políticas, procedimientos y protocolos que se alinean con las necesidades comerciales cambiantes y los requisitos de ciberseguridad.

Maduración de la gobernanza de la ciberseguridad

Para garantizar que una empresa tenga tal alineación estratégica, Bell dijo que debe desarrollar, gestionar, adherirse y evolucionar continuamente un plan de gobernanza que incluya características clave que vayan más allá de los marcos operativos de ciberseguridad existentes, como NIST 800-53 y la serie ISO / IEC 27000. Las empresas necesitan esos estándares operativos, así como su propio marco que describe los procesos de gobernanza, explicó.

Dijo que KPMG aconseja a sus clientes que utilicen su propio marco de supervisión cibernética que se integra con los procesos comerciales para que la ciberseguridad se alinee con la estrategia. También es vital tener una comprensión clara de dónde reside la información y la propiedad intelectual y un plan para gestionar una infracción u otro incidente cibernético cuando ocurra, agregó Bell.

Larose proporcionó una lista de características que indican un enfoque maduro para controlar el riesgo cibernético, que incluye lo siguiente:

  • un líder responsable de la ciberseguridad;
  • un comité de ciberseguridad interdisciplinario multifuncional que se reúne periódicamente con varios líderes empresariales, incluidos expertos en seguridad y jefes funcionales que colaboran activamente en cuestiones de riesgo y seguridad;
  • formación continua para empleados, socios e incluso clientes; y
  • una junta que se ocupa de los problemas de ciberseguridad y la respalda con fondos.

Al igual que Bell, Larose dijo que la mayoría de las empresas no poseen esas características. Además, no es optimista de que desarrollarán esa capacidad en el corto plazo a pesar de que los ciberataques continúan siendo noticia y cuestan dinero a las empresas. En cambio, cree que se necesitarán grandes cambios antes de que las empresas estadounidenses tomen medidas.

Ella espera que ese tipo de interrupción, una que cerrará y paralizará la capacidad de las empresas para hacer negocios, llegará pronto, dejando a aquellos que tienen procesos maduros de gestión y gobernanza del riesgo cibernético en mejores condiciones para capear tal evento.

«Ambos serán los que obtendrán ganancias y crecerán, tendrán la ventaja competitiva», dijo.

¡Haz clic para puntuar esta entrada!
(Votos: Promedio: )

También te puede interesar...

Empresas de canal para ver competencias revisadas

El mensaje que Gavriella Schuster, gerente general de los Programas de Socios Mundiales de Microsoft, está enviando a los socios este mes tiene que ver con conectar socios con clientes. Hoy, el proveedor anunció que

¿Cómo puedo usar SSD en un servidor vSphere?

Los SSD están diseñados para emular discos duros magnéticos convencionales, incluso utilizando interfaces de disco duro físico estándar… como Serial Attached SCSI (SAS), Fibre Channel (FC) y Serial ATA (SATA) más antiguo. Esto significa que

Cómo definir datos, información y conocimiento

es convertir datos en información significativa que, a su vez, permite a la organización generar conocimiento: Los límites entre los tres términos no siempre son claros. Lo que son datos para una persona es información

¿Qué es la exploración de datos?

La exploración de datos es el primer paso en el análisis de datos que implica el uso de herramientas de visualización de datos y técnicas estadísticas para descubrir las características del conjunto de datos y

¿Qué es el carácter? – Definición de Krypton Solid

1) En tecnología de la información, un carácter es un símbolo imprimible que tiene un significado fonético o pictográfico y generalmente forma parte de una palabra de texto, representa un número o expresa puntuación gramatical.

2. XaaS (Anything as a Service)

Algunos administradores de TI están satisfechos con la infraestructura, la plataforma y la entrega de software, pero otros no descansarán hasta que puedan obtener cualquier cosa en la nube. Estas sales de Veruca de TI

¿Qué es un procedimiento almacenado?

Un procedimiento almacenado es un conjunto de declaraciones de lenguaje de consulta estructurado (SQL) con un nombre asignado, que se almacenan en un sistema de administración de bases de datos relacionales (RDBMS) como un grupo,

Navegando por Agile2015

¿Es esta la primera vez que va a Agile2015? No estás solo, también es mi primera vez, pero por lo que tengo entendido, esta no es la conferencia técnica de tu madre. Así que le

¿Dell venderá Documentum de EMC?

Dell tendrá que deshacerse de cosas para pagar este acuerdo, y creo que Dell pondrá a la venta Documentum de EMC. EMC ha intentado deshacerse de Documentum durante años y no ha podido obtener el

Más aplicaciones asesinas para IoT industrial

La aplicación asesina es un concepto poderoso. Es el vehículo para impulsar la adopción de cualquier tecnología nueva, y el IoT, especialmente el IoT industrial, necesita ese catalizador. En muchos sentidos, arroja luz sobre las

Descargue el último número de Modern Infrastructure E-Zine

En cada número de Infraestructura moderna, nuestros expertos independientes analizan de cerca cómo las tendencias y tecnologías emergentes están afectando a los centros de datos y las estrategias de TI actuales. Manténgase actualizado con las

Los gadgets vuelven a Win10 Build 10576

Goody, Goody: una de las cosas que menos me gustó de la compilación 10565 en el período previo a la compilación Threshold 2 programada para finales de este mes (noviembre de 2015) aparentemente se ha

Explicación de PeopleSoft 9.2 Update Manager

El lanzamiento del año pasado de PeopleSoft 9.2 aseguró a los usuarios inquietos que Oracle Corp. no estaba abandonando la línea de productos heredados por las nuevas ofertas financieras y de gestión de capital humano

Oracle ERP Cloud expande sus asistentes digitales

Oracle ERP Cloud se centra en los asistentes digitales en sus aplicaciones, incluido su producto de gestión de capital humano. Esa puede ser una de las conclusiones más importantes de Oracle OpenWorld 2019, que comenzó

Informe técnico de gestión de servicios de adquisiciones

Las organizaciones de adquisiciones están bajo presión para generar ahorros de costos y gestionar los riesgos. Descubra cómo puede impulsar la eficiencia operativa y aumentar la productividad a través de flujos de trabajo digitales automatizados,

Disciplina de requisitos en todo el SDLC

¿Qué dos documentos vienen después del documento de especificación de requisitos? Comencemos por discutir los requisitos como una disciplina realizada en el contexto de un proceso de desarrollo de aplicaciones de software, como el Proceso

Enfoques de uso de Win10 Niveles de Win7

Bien, el equilibrio del uso de Windows se está alejando de Windows 7 hacia Windows 10. Una historia de WindowsReport apareció esta mañana en ese sentido. Del redactor George Finley, se titula «Windows 10 podría

¿Qué es VMware Blast Extreme?

VMware Blast Extreme es un protocolo de visualización remota diseñado para entregar cargas de trabajo virtuales con uso intensivo de gráficos mediante el estándar de compresión de video avanzado H.264. Los dispositivos pueden decodificar el

Deja un comentario