transfer
transfer

CISO: Awareness, Security and Analysis

Definición Con la evolución de la tecnología y sus nuevas funcionalidades han aparecido, junto a nuevas vulnerabilidades, nuevas tareas técnicas las cuales hay que trabajar día a día para continuar mejorando. Con esta evolución han aparecido nuevos puestos de trabajo para mejorar el funcionamiento de las empresas. Hoy queremos hablaros de la figura del CISO dentro de una empresa. Toda empresa que trabaje con una parte IT necesitará la figura del CISO en su organización. Para entender las funciones, su día a día, los problemas y errores que nunca debe cometer; es necesario entender y definir que es un CISO.  Hemos recurrido a la definición de Tech Target la cual dice: el Chief Information Security Officer (CISO) es un ejecutivo de alto nivel responsable de desarrollar e implementar un programa de seguridad de la información, que incluya procedimientos y políticas diseñadas para proteger las comunicaciones, los sistemas y los activos de la empresa de amenazas internas y externas. El CISO también puede trabajar junto con el director de información o CIO para adquirir productos y servicios de ciberseguridad y gestionar la recuperación de desastres y los planes de continuidad del negocio. Para entender también que poder de decisión tiene un CISO es importante ver el cronograma habitual en una organización. Este variará según la escala de la empresa y sus necesidades. El CISO tiene un papel ejecutivo y trabaja bajo el mando del CSO (Chief Security Officer), a la vez, este informa al CEO (Chief Executive Officer) para tomar decisiones. Todo y la existencia de este cronograma la figura del CISO, en estos últimos años, está cogiendo peso en las decisiones de negocio. Es lógico el camino que está cogiendo viendo la importancia que ha cogido la ciberseguridad dentro de las estrategias de transformación digital. Funciones La función principal del CISO debe ser mejorar el sistema de seguridad IT siguiendo, de muy cerca, los pasos de mejora y evolución de la empresa. A la vez, para crecer de manera acorde con la organización, deberá entender los objetivos y las necesidades que tiene la empresa y adaptar la seguridad a esta para que pueda mejorar con seguridad y estabilidad. Con esto se logra obtener un menor riesgo de fuga o ataque. Los cambios o avances vendrán en medida de las posibilidades técnicas, humanas y económicas de la empresa.   Así pues las funciones específicas de un CISO según IEBS són:  Alinear la estrategia de ciberseguridad con los objetivos de la empresa. Definir la normativa de seguridad y procurar que se cumpla.  Prevenir, detectar y analizar vulnerabilidades. Informar y reportar a dirección cualquier cuestión relacionada con la ciberseguridad. Dar respuesta rápida ante cualquier incidente de ciberseguridad. Formar, concienciar y sensibilizar a la organización en materia de seguridad de la información. Establecer e implementar políticas relacionadas con la seguridad de la empresa. Garantizar la privacidad de los datos de la empresa. Llevar a cabo el descubrimiento electrónico y las investigaciones forenses digitales.  Supervisar y gestionar la arquitectura, auditorías de seguridad y el control de acceso de información.   A la vez deberá ser capaz de desarrollar y formar a un equipo para el traspaso eficaz de tareas. El tiempo para el CISO es vital, en ciberseguridad cada segundo cuenta, es por eso que un buen traspaso de tareas dará más libertad para poder focalizarse en tareas prioritarias.   Otra función, aunque a veces no es considerada como tal, es la de convencer a la empresa correspondiente de la necesidad de invertir en seguridad de manera continuada. Esta inversión es de tiempo y dinero pero es necesaria para una evolución segura a largo plazo. Son muchos los expertos que piensan que solo existen dos tipos de empresas: ‘las que ya han sido atacadas y lo saben y las que han sido atacadas y no lo saben’. Para los CISOs es un problema la reticencia existente en muchas empresas a invertir en ciberseguridad. Es por eso que los CISOs deben focalizar su atención en la concienciación ya que aún son muchas de estas organizaciones las que empiezan a actuar cuando ya es tarde. Actuar cuando han sufrido un robo, desaparición de datos, detección de actividades sospechosas, salida de documentos confidenciales u otras, ya no sirve, el daño está hecho. Aquí recae la importancia de la concienciación.   También será importante dar a conocer a las empresas que recurrir a la ciberseguridad solo cuando tienen problemas con sus datos o quieren cumplir con lo que la ley marca, no es la solución. Las empresas resuelven el problema y no profundizan en su seguridad para mejorarla. ‘El 66% de los Ciso de todo el globo estima que su organización no está preparada para hacer frente a un ciberataque en la actualidad, un 53% en España’, según el estudio Voice of the Ciso, elaborado por Proofpoint Tareas de un CISO Las tareas que debe realizar el CISO son muy extensas e importantes y no puede estar todo el día revisando pequeños detalles y generando reportes. Estas tareas son muy importantes, pero esos procesos pueden ser llevados de manera automatizada o por el equipo. Por eso la importancia de un buen equipo. En ciberseguridad ningún elemento puede pararse y todos son necesarios.   Las tareas diarias fijas que un CISO debería realizar son:  Reunirse con su equipo. No es necesario que sea una reunión física y ni que sea una reunión larga. Esta reunión es un primer contacto cada mañana para ver qué proyectos están en marcha, se asignan funciones y se asignan las tareas diarias, con sus plazos respectivos. Gestionar el correo electrónico. Esta gestión debe ser diaria y, el objetivo, es lograr tener la bandeja de entrada a cero.   Reconocer el trabajo bien hecho. Es una tarea importante para mantener al equipo motivado y unido para que se sientan reconocidos y valorados. Pasar un tiempo trabajando solo. En el día a día de los CISOs no todo deben ser reuniones. También es necesario tiempo en soledad para analizar, pensar, revisar, definir estrategias, etc. Estar al día … Leer más

cyber insurance

La implementación del teletrabajo ha sido un hito para las empresas de tecnología y una mina para los ciberatacantes. El mercado ha reaccionado de forma rápida aumentando la popularidad de las aseguradoras especializadas en ciberseguridad; los ciberseguros se encuentran en pleno auge. Las compañías que ofrecen los seguros más convencionales proponen el siguiente paradigma: Si proteges tu casa, tu coche y los bienes materiales de tu empresa, ¿por qué no proteger la parte IT para mitigar la posibilidad de ciberataques? No es ninguna noticia que la tendencia del mercado son los cibercrímenes, por este motivo, además de la oferta de seguros tradicionales como el de responsabilidad civil, empresarial o de daños de instalaciones, se oferta uno para ciberriesgos, cuyas primas ascienden a los 75 millones de Euros a nivel nacional, un incremento del 35% respecto al 2019 según Red Seguridad.   Entonces, ¿Qué son los seguros de ciberriesgos o ciberseguros? Son una póliza de seguros que ayuda a las empresas a protegerse de las consecuencias de la aparición de ciberdelincuentes y a reducir los riesgos que sufren las compañías de IT a diario.   “Es más probable que una empresa sufra un ciberataque que un incendio o robo en estos momentos”, afirma Cátedra Pérez-Lloca / IE   ¿Cuál es el funcionamiento? En primera instancia se evalúa la necesidad real del cliente para luego ofrecer una solución en base al análisis realizado. En segundo lugar, una vez decidido el plan de acción, la aseguradora toma un rol pasivo a la espera de la entrada de un ataque para tomar las medidas necesarias. No sólo cubre la parte técnica, sino que también ante el caso de robo de datos y extorsión hay una  intervención en la negociación del rescate. Será vital definir 2 planes: uno de acción y otro de contingencia. «El papel del asegurador no es solo supervisar los daños que ha habido y fijar una cifra de indemnización, sino que puede haber un problema de paralización de la actividad por el ciberataque. El apoyo técnico y la recuperación de los datos es fundamental«, afirma Cátedra Pérez-Lloca / IE   ¿Qué debe cumplir una empresa para contratar un ciberseguro? Debemos partir de la base que el ciberseguro es la última línea de defensa, es por este motivo que para que una empresa pueda adquirir uno debe cumplir con unos requisitos mínimos en lo que respecta a la seguridad IT. Estas medidas no sólo son necesarias para la adquisición de este tipo de servicios, sino que también son indispensables en materia legal ya que las infracciones pueden llegar a alcanzar los 20.000 millones de euros o el 4% de la facturación anual según Ayudaley. Como mencionamos anteriormente, la empresa contratante del seguro deberá tener las medidas de prevención necesarias para evitar o mitigar al máximo los ciberataques, cumpliendo con la exigencias del RGPD (reglamento general de protección de datos) y siguiendo el reglamento que dicta la LOPD (Ley orgánica de protección de datos de carácter personal). Otras medidas necesarias a implementar serán la planificación de una política de seguridad que tenga en cuenta las principales medidas de prevención, donde se tenga todos los dispositivos protegidos de manera óptima; y tener un esquema de copia de seguridad efectivo para que, en caso de ataque o secuestro, no se pierda todo.   Ciberseguros en las Pymes Aunque los ciberseguros son vitales para todas las empresas, muchas de las aseguradoras tienen como principal foco a las pymes. Para este tipo de compañías la adquisición de estos servicios no solucionan de manera definitiva la protección IT pero proporcionan un cierto respiro en caso de un ataque. Pese a la importancia de la tranquilidad que ofrece estar correctamente protegidos de los ciberdelincuentes son muchas las pequeñas y medianas empresas que se resisten a la contratación de seguros. Analizando las cifras del año pasado (120.000 ciberataques a pymes con un coste medio de 102.000€) sigue siendo difícil comprender la reticencia de adquirir ciberseguros.  Según un informe de AON en el 2020 solamente un 32% de pymes adquirieron este tipo de servicios a diferencia de empresas que superan los 250 millones de euros en facturación han aumentado un 24% (de 2019 a 2020) la adquisición de seguros.  Está claro que la concienciación juega un importante rol a la hora de decidir en qué se invierte el dinero y cuál es la prioridad.   ¿Qué cubren las pólizas? Cada aseguradora trabaja de manera independiente cubriendo distintas partes, son las organizaciones quienes deberán valorar sus necesidades y definir qué les interesa. Una empresa grande no contratará las mismas pólizas que una pyme. Paquete genérico:  Responsabilidad civil contra terceros ya sea por un fallo de privacidad y seguridad de la red, como también por el contenido digital de la web o ataque Daños propios causados por una extorsión cibernética   Paquete específico: Pérdida de beneficio provocada por la interrupción del sistema debido a un acto informático malicioso Recuperación de datos y sistemas Servicios y gastos de respuesta a incidentes: contención tecnológica, asesoramiento jurídico, notificación a entidades reguladoras y afectados, monitorización de la información, entre otros Respuesta de emergencias a incidentes dentro de las primeras 48 hrs Delito cibernético derivado del robo de dinero o valores de la sociedad Garantías Gastos de recuperación de datos, de notificación y de Beneficio   Es imprescindible ser conscientes de que hay ciertos aspectos que una aseguradora no puede proteger, algunos de ellos son: Ataques de phishing Pérdidas a mediano y largo plazo (por imagen, por percepción, etc…) Restitución de la reputación Gastos (en caso de que no se cumpla con las medidas de seguridad previamente estipuladas) Aquellos daños que resulten de los actos ilícitos llevados a cabo por el asegurado de manera deliberada Violación de la normativa sobre secretos comerciales y patentes   Para cubrir la grieta que queda descubierta es importante utilizar herramientas que aseguren el total control de la seguridad empresarial.   Con Tranxfer podrás obtener la tranquilidad que necesitas: *  Reducción al 100% del Shadow IT evitando la entrada de Malware y ataques … Leer más