Construyendo un plan estratégico de ciberseguridad
Este tipo de planes son mapas de carreteras de seguridad cibernética que establecen rutas que una organización puede seguir para mejorar su enfoque general de gestión de riesgos.
Hoy en día, la tecnología cambia a un ritmo que la mayoría de las empresas no puede seguir, y es este retraso el que introduce el riesgo en las operaciones comerciales de las organizaciones. Para gestionar el riesgo, muchos líderes de seguridad deben implementar controles en este entorno de red turbulento y en constante aumento. Estos mismos ejecutivos de seguridad también aplican enfoques de mejores prácticas para diversas carteras de riesgos utilizando conceptos tradicionales como la defensa en profundidad y las tecnologías de seguridad en capas. Creo que los métodos tradicionales deben cambiarse ya que inicialmente se concibieron para redes administradas y centralizadas en las que los CISO comenzaron nuestras carreras hace años.
Ahora las redes generalmente no tienen perímetros completamente definidos; están diseñados para el trabajador móvil y los equipos geográficamente dispersos con numerosas conexiones de terceros con proveedores y socios de confianza. Son estas nuevas infraestructuras de red que existen en la nube, centros de datos compartidos y dispositivos móviles que obligan a los CISO a revisar sus planes estratégicos. En esencia, estos planes son hojas de ruta de seguridad cibernética que establecen vías que una organización puede seguir para mejorar su enfoque general de gestión de riesgos. Estos planes deben describir cómo el programa de seguridad protegerá y compartirá información, contrarrestará las amenazas nuevas y en evolución, y respaldará la integración de la ciberseguridad como una mejor práctica para las operaciones comerciales cotidianas.
Un plan estratégico debe tener en cuenta el "estado actual" de las prácticas de seguridad y describir los objetivos a corto plazo que se abordarán en los próximos 12 meses, las metas intermedias en los próximos 18-24 meses y los objetivos a largo plazo en los próximos 36 meses. Este plan generalmente es desarrollado por el CISO y está diseñado para ser un documento vivo. La visión, las metas y los objetivos de este plan deben ser revisados al menos una vez al año por un Comité Ejecutivo de Revisión de Ciberseguridad.
Donde las prácticas de seguridad cumplen los objetivos comerciales
Para comenzar, el CISO primero necesita comprender el estado de seguridad actual de la compañía. Este esfuerzo requerirá una revisión continua de activos tales como hardware, software, configuraciones de red, políticas, controles de seguridad, resultados de auditorías anteriores, etc. El objetivo es recopilar información sobre cuál es la cartera actual de tecnología y aplicaciones, planes de negocios actuales y luego obtenga una comprensión de los tipos de datos críticos requeridos por las partes interesadas del negocio.
A medida que se evalúan estos datos, el CISO debe reunirse con las partes interesadas de la unidad de negocios para establecer el valor de esta información recopilada. Es fundamental que los líderes de la unidad comercial ayuden en este esfuerzo para proporcionar una comprensión precisa de cada valor de activo (datos, sistema, aplicación) en función del tiempo, esfuerzo y recursos que se necesitarían para reemplazarlo si no estuviera disponible debido a un ciberincidente. Esta lista actualizada de recursos, con su valor prioritario para la empresa, proporciona al CISO una visión actual de lo que se requiere para que la empresa funcione y el impacto en esa operación si se infringe.Ahora, con una mirada más refinada a las necesidades de requisitos de riesgo y seguridad de las empresas, es hora de realizar una evaluación de riesgos (ISO, NIST, COBIT) para establecer una línea base de exposición actual. Para planificar esta evaluación, el CISO comenzará con el uso de un marco de gestión de riesgos para evaluar toda la información de seguridad recopilada e identificar cualquier área de vulnerabilidad o posible exposición y relacionar esta información con las actividades comerciales en curso. Una vez que el CISO ha completado esta evaluación, pueden comenzar a desarrollar su plan estratégico. Este documento viviente se usará para mover la organización de su estado de seguridad actual a un estado de seguridad futuro donde se aborden las brechas de seguridad evaluadas y se implementen nuevos servicios.
Recomiendo los siguientes componentes del Plan Estratégico de Ciberseguridad de un CISO:
Estado de la misión
Declaración del propósito central de la organización (generalmente no cambia con el tiempo).
· Ejemplo de lo que he usado anteriormente, "Desarrollar y ejecutar un programa de seguridad proactivo para toda la compañía basado en los objetivos comerciales estratégicos de la Compañía".
Declaración de la visión
Descripción inspiradora de lo que a una organización le gustaría lograr.
· Ejemplo de lo que he visto utilizar, "Incorporar una mentalidad de seguridad continua en todos los aspectos de nuestras funciones comerciales".
Introducción
Declaración sobre el negocio y el entorno en el que opera actualmente el programa de seguridad. He visto al equipo de liderazgo ejecutivo usar esta sección para expresar su apoyo al programa de seguridad y por qué es fundamental para el negocio.
Gobernancia
Parte del plan estratégico es donde el CISO explica cómo se gestionará, quién auditará sus procesos y cómo se implementarán los cambios a lo largo del tiempo. Recuerde, este es un plan a largo plazo, así que asegúrese de tener estos procedimientos documentados.
Objetivos estratégicos
El núcleo del plan estratégico de un CISO que contendrá los objetivos identificados durante la evaluación de riesgos más reciente que debe remediarse. Esta sección incluirá los últimos resultados de la evaluación y debe tener un plan de proyecto en curso que enumere los diversos proyectos que están en cola; cada uno debe ser rastreado a un objetivo de control de seguridad inmadura específico.
De todo este documento, los objetivos estratégicos son la parte que se actualizará continuamente a medida que se completen los proyectos, y se vuelve a evaluar a la organización para establecer su nueva línea base de riesgo. En el pasado, organicé los proyectos e iniciativas en una línea de tiempo de tres años. Comprenda que este cronograma puede acortarse si hay fondos disponibles; Además, la lista de proyectos múltiples se puede reorganizar para satisfacer las necesidades comerciales actuales o las nuevas amenazas. Cada objetivo tendrá varias acciones / proyectos, derivados de los datos de brecha de seguridad de las evaluaciones, que deben completarse.Aquí hay un ejemplo de un objetivo estratégico de ciberseguridad:
Objetivo de seguridad - Prevención de pérdida de datos
Iniciativa clave - Marco de políticas de seguridad, normas y directrices *** (Estas son las lagunas que se encontraron en la evaluación de riesgos.
Permite objetivos : prevención de pérdida de datos, seguridad mejorada de sistemas y servicios de red, gestión de datos proactiva y gobierno.
Descripción : desarrollar, aprobar y lanzar un conjunto de políticas, estándares y directrices de seguridad de la información basados en ISO / IEC27001.
Beneficios clave : estos beneficios deben estar alineados con el negocio.
Claras líneas de base de seguridad para todos los departamentos
Fundación basada en políticas para medir los resultados
Aplicación consistente de controles de seguridad en toda la empresa
Tecnología, servicio, etc., incluidos en la lista del proyecto , que cumplirán el objetivo.
Dependiendo de la madurez de su organización, puede tener varios proyectos enumerados en un objetivo específico. Aconsejo a los CISO que construyan el plan y administren la lista de proyectos de manera continua, proporcionando un valioso informe de valor comercial para el equipo ejecutivo.