Seis formas en que los equipos de seguridad sabotean sus propios planes

  • Endpoint

Sin un plan, la empresa corre un riesgo significativo de pasar de una amenaza a otra y no adelantarse al riesgo. Además, las empresas que no saben dónde residen sus datos más valiosos, o incluso cuáles son sus datos y aplicaciones más valiosos, están volando a ciegas.

No siempre son los cibercriminales los que sabotean los esfuerzos de seguridad empresarial, a veces son las propias organizaciones las que lo hacen por su cuenta. Bitdefender señala las seis formas más habituales:

También puedes leer...

La nueva Mafia

El riesgo de los altavoces inteligentes

Los cinco grandes mitos de las Brechas de Seguridad

Consideraciones para la creación de un SOC

Cómo utilizar la Dark Web para la inteligenciad de amenazas

Las empresas no planifican

Demasiadas empresas no logran crear un plan de seguridad de la información diseñado específicamente para su organización. Cuando se implementa el plan correcto, las empresas pueden disponer de los controles de seguridad que necesitan específicamente para hacer todo lo que se debe hacer para mantener seguras a las personas, las aplicaciones y los datos.

Un buen plan de seguridad involucra no solo a los equipos técnicos y de desarrollo, sino también a las líneas de negocio, legal, recursos humanos, auditoría interna, ejecutivos y al CEO. También utiliza datos (internos y externos) para medir su efectividad y costes y mejorar con el tiempo. Sin un plan, la empresa corre un riesgo significativo de pasar de una amenaza a otra y no adelantarse al riesgo.

No hay clasificación de datos

Las empresas que no saben dónde residen sus datos más valiosos, o incluso cuáles son sus datos y aplicaciones más valiosos, están volando a ciegas. Cuando se clasifican los datos, las empresas saben dónde invertir sus recursos de seguridad, basándose en factores tales como la importancia de los datos y sistemas para el funcionamiento del negocio, el valor financiero, los mandatos regulatorios que pueden controlar esa protección de datos, etc.

Al clasificar los datos, no solo se conocen mejor las inversiones en seguridad, sino que dichos esfuerzos también ayudarán a informar a otras áreas del plan de seguridad, como la planificación de respuesta a incidentes y la administración de identidades y privilegios de acceso. Sin clasificar los datos, las empresas realmente no saben dónde deberían comenzar, por lo que invierten demasiado para proteger todo igual o invirtiendo en las áreas incorrectas.

No llegar a entender la organización y la industria específica

Cada industria es diferente, al igual que cada organización es diferente por sí misma en términos de cultura y tolerancia al riesgo. Cada vez que un CISO está fuera de contacto con su organización y su industria, el plan de seguridad de la organización sufre porque no está adaptado a las demandas de la industria específica o la tolerancia al riesgo de la empresa.

No hay alineación con los objetivos de seguridad y de negocio

A medida que las organizaciones se vuelven más dependientes de los servicios de datos y software para operar sus negocios, la alineación de los equipos de ciberseguridad y los objetivos del negocio en general se vuelven aún más cruciales. No solo aumenta la superficie de ataque de la organización a medida que aumenta la huella digital, sino que el software y los datos se vuelven claves para la supervivencia del negocio.

Tener una sólida alineación de seguridad y del negocio requiere una buena comunicación con los altos directivos, pero también requiere aprender sobre cada línea de negocio, sus objetivos, y ser más empáticos con sus necesidades y ayudarlos a administrar mejor el riesgo mientras alcanzan esos objetivos.

El cumplimiento regulatorio impulsa la seguridad

Las empresas se ven atrapadas en el cumplimiento de las demandas regulatorias, que en realidad no se enfocan en mitigar los riesgos reales. En otras palabras, hay una gran diferencia entre instalar las tecnologías de seguridad adecuadas, tener a alguien llamado CISO, y tener todas las políticas para gestionar todas estas tecnologías de manera adecuada y apoyar el plan con los procesos correctos aplicados por un responsable de seguridad que tiene autoridad real.

Los altos ejecutivos no están involucrados en los ejercicios de simulacro

Existen ejercicios en los que los miembros del equipo debaten acerca de cómo responderían a un ataque a sus datos o sistemas críticos, y que ayudan a establecer las líneas de comunicación correctas en caso de un ataque real y a llenar posibles lagunas en los recursos y capacidades antes de que ocurra cualquier evento adverso. También es esencial que los líderes empresariales participen en estos ejercicios para que entiendan cuál es la responsabilidad de cada grupo y cómo ayudar a administrar la organización de manera adecuada en caso de ataque.