Pensar como un atacante para la estrategia de ciberseguridad

La asociación ISACA (Information Systems Audit and Control Association) ha publicado un nuevo libro blanco, centrado en esta ocasión en la incorporación del modelado de amenazas en la estrategia de ciberseguridad corporativa. La entidad recuerda que el threat modeling permite mirar con la mentalidad del atacante la arquitectura, los sistemas y los activos de la empresa.

En el libro blanco, dirigido a CIO y CISO, ISACA destaca tres estrategias clave: la incorporación del análisis de riesgos y su priorización a la estrategia del CISO; el apoyo del equipo de ciberseguridad al CIO para cuente “con los recursos de ciberseguridad necesarios para respaldar sus decisiones estratégicas”; y la alineación de CIO y CISO para lograr una ciberresiliencia efectiva.

La organización ofrece también recomendaciones para conseguir que el modelado de amenazas sea un proceso operativo. Entre ellas, destacan: un plan claro que dedique más recursos a las amenazas prioritarias, empezando por las más probables y urgentes; tomar medidas inmediatas frente a riesgos elevados; e implementar un modelado de amenazas continuo.

Jon Brandt, director de prácticas profesionales e innovación de ISACA, considera que “las organizaciones más exitosas saben que el modelado de amenazas no es una carga, sino un activo imponderable. Con planificación y acción focalizadas, se erige en un mecanismo poderoso para anticipar riesgos, alinear la seguridad con los objetivos de negocio y construir resiliencia”.