Tuvimos la oportunidad de entrevistar a Marcos Nehme, Director de Ingeniería de Ventas para Latinoamérica y el Caribe de RSA, la división de seguridad de EMC, sobre el reciente Índice de Pobreza en Seguridad Cibernética en las organizaciones.

Según los datos de ese reporte, existe una falta de madurez preocupante y una confianza excesiva en la prevención, pues un 75% de los encuestados, aproximadamente, carece la madurez necesaria para enfrentar los riesgos de la seguridad informática.

A continuación, los dejamos con el desarrollo de la entrevista.

1. ¿Cuál es la percepción que le queda luego de ver los resultados del Índice de Pobreza de Seguridad Cibernética?

La encuesta proporciona una valiosa visión global de la madurez y las prácticas de seguridad a través de una variedad de tamaños de organización, las industrias y geografías. Si bien las organizaciones más grandes suelen ser considerados como aquellas que poseen los recursos para montar una defensa cibernética más sustantivo, los resultados de la encuesta indican que el tamaño no es un factor determinante de la madurez en ciberseguridad y casi el 75% de todos los encuestados reportan niveles insuficientes.

La falta de madurez en general no es sorprendente, ya que muchas organizaciones encuestadas reportaron incidentes de seguridad que dieron lugar a la pérdida o daño de sus operaciones en los últimos 12 meses. La capacidad más madura revelada en la investigación fue general en la zona de protección. Los resultados de la investigación indican que el enfoque de seguridad y el gasto siguen siendo mal alineados y guiados por enfoques anticuados, pues las organizaciones siguen centrándose en gran medida en los controles de seguridad dirigidas a la prevención frente a la detección y la respuesta. Además, la mayor debilidad de las organizaciones encuestadas reside en la capacidad de medir, evaluar y mitigar los riesgos de seguridad cibernética con el 45% de los encuestados describiendo sus capacidades en esta área como inexistente, o ad hoc, y sólo el 21% de informes que están maduras en este dominio. Este déficit hace que sea difícil o imposible dar prioridad a la actividad de seguridad y la inversión, una actividad fundamental para cualquier organización que quiera mejorar sus capacidades de seguridad.

2. ¿Qué recomendaciones daría a las organizaciones que aún no pueden calificarse a sí mismas por encima de un nivel de desarrollado en el tema de la seguridad?

En primer lugar: Debemos considerar la aplicación del marco NIST Cybersecurity Framework (CSF). Tal como está hoy, estamos dando a nuestros oponentes carta blanca para estar fuera de control. El LCR es un primer paso en el desarrollo de una estrategia eficaz para contrarrestar los riesgos planteados por los actores maliciosos que desean hacer daño a lo que es importante para nosotros. Ayuda a las organizaciones a desarrollar o acelerar una defensa cibernética y la capacidad de resistencia efectiva. Además, el LCR es un modelo que ayuda a identificar, evaluar y reducir los riesgos empresariales críticos al tiempo que promueve un enfoque medido que las organizaciones pueden seguir para determinar exactamente lo que respecto a su postura es la ciberseguridad y crear una hoja de ruta para abordar las áreas de riesgo prioritarias. Estos esfuerzos pueden ser dirigidos a través de las capacidades internas o a través de evaluaciones de terceros.

En segundo lugar: Debemos implementar un programa cibernético que equilibre los recursos y centrarse en toda la prevención, el seguimiento y la resiliencia. Hoy, la mala asignación de demasiados de nuestros escasos recursos de seguridad es la única estrategia de proteger el perímetro. Asignamos el 80% de nuestros recursos en materia de prevención, cuando nuestros adversarios ya están dentro de nuestras redes. Necesitamos visibilidad en nuestros ambientes, para ver lo que los actores maliciosos están haciendo hoy en nuestras redes. Y tenemos que ser capaces de detectar y responder a los actores antes de que alcancen su objetivo final.

En tercer lugar: Debemos fijar la desconexión entre las ciber-políticas y la ejecución operativa. Tenemos que asegurarnos de que en el día a día de nuestra organización para la ejecución se puede poner en práctica las políticas y los objetivos cibernéticos que establecemos. La mayor debilidad que nuestro estudio identificó fue nuestra capacidad para medir, evaluar y mitigar los riesgos de seguridad cibernética. Esto hace que sea casi imposible priorizar la actividad de seguridad y la inversión para el negocio. Necesitamos traer ciber-higiene a nuestra organización, en las cadenas de suministro, los acuerdos comerciales, y en otras áreas contractuales.

3. ¿Cuál cree que es el mayor déficit de seguridad en las organizaciones latinoamericanas?

No solamente en las organizaciones latinoamericanas pero en gran parte del mundo, la debilidad de las organizaciones reside en su capacidad de medir, evaluar y mitigar los riesgos de seguridad cibernética.  Es decir la mala asignación de demasiados recursos escasos de seguridad en la estrategia única de proteger el perímetro.  Hay que cambiar esta estrategia para traer una capacidad de monitorear, identificar y accionar rápidamente.

4. ¿Qué medidas son más complicadas de implementar en una organización, con respecto a la seguridad?

Al día de hoy, definitivamente no es la falta de tecnología, pues hay tecnologías disponibles, sino el cambio de mentalidad en el “como” utilizar las tecnologías existentes.  La implementación de normas, procedimientos también es un proceso complicado pues involucra la concientización de una parte vulnerable en el proceso, las personas.

5. ¿Considera que la pobreza en seguridad cibernética se debe al desconocimiento, al desinterés o a cuál otra variable?

Simplemente en la manera de pensar sobre seguridad y esto empieza con la actitud de no creer que un producto resolverá todos los problemas y  empezar a tener más atención en el monitoreo y respuestas a incidentes.

6. Si el tamaño de las organizaciones no necesariamente guarda relación con el nivel de seguridad que tienen, ¿qué otra variable sí lo marcaría?

Con aquella variable de creer en cambiar su manera de pensar sobre seguridad como comenté anteriormente.

7. Preocupa mucho que un sector tan importante, como el de gobierno, se tenga un porcentaje tan bajo que se considera en un nivel desarrollado, por lo menos. ¿Qué se puede hacer en ese caso?

Debemos cada vez más compartir información con los sectores privados, recibiendo información e inteligencia externa entre sectores de gobierno y privado para crear un flujo de procesos y desarrollo de madurez en el tema.