En los últimos años uno de los servicios más demandados y con una mayor consolidación en la cartera de A2secure es la Oficina de Seguridad (OS, en adelante).
A2secure tiene una probada y larga experiencia en la gestión y definición de oficinas de seguridad. En muchos casos provienen de proyectos en los que se evalúo la madurez en ciberseguridad de un cliente o responde a la definición de un plan director. Otras veces se empezó una colaboración experta definiendo una hoja de ruta estratégica en seguridad, que hoy podemos denominar “Virtual-CISO”, hasta evolucionar a una gestión global de principio a fin de todos los elementos de la seguridad de una empresa: la Oficina de Seguridad-OS.
El alcance de una OS varía según el encargo del cliente y sus necesidades, pero un modelo estándar es aquel en el que se define un gobierno, se gestiona el riesgo y cumplimiento normativo, por medio del desarrollo de proyectos adaptativos, de adecuación y definición de políticas. Es una gestión de la seguridad operativa en la que equipos técnicos se encargan de la seguridad en infraestructuras, aplicaciones y en la gestión de vulnerabilidades además de alimentar la analítica de seguridad y el consiguiente informe de indicadores. En definitiva, detectan y actúan sobre amenazas, y corrigen vulnerabilidades. Desde un punto de vista de perfiles, participan consultores, pentesters y devsecops, que reportan al CISO del cliente, o CIO en su ausencia.
Si nos atenemos a cifras de mercado publicadas en 2018 por asesores globales como Gartner, la inversión media en ciberseguridad es del 6,2% del presupuesto de IT, y el número de recursos en seguridad es un 5,9% sobre el total de recursos en IT. Piensen en sus compañías, ¿cómo están? en comparación a esos indicadores. Muchas compañías en este país están por debajo de estas cifras, aunque quisieran, no podrían realizar esta inversión por falta de competencias y recursos expertos. La OS A2secure aporta este conocimiento, experiencia, y cubre ese vacío.
A continuación, presentamos los objetivos que persigue una OS de A2secure:
- Apoyar al cliente y al CISO a desarrollar la capacidad de resiliencia de la organización
- «Ser» reactivo «siempre es una actitud inherente al rol de la OS”. Pero hoy no es suficiente, y las OS deben asegurarse de que se adopte un comportamiento proactivo con sus programas y arquitectura de seguridad.
- Inversión en detección y respuesta, como el mejor plan para proteger a su organización.
- Los procesos de toma de decisiones de la organización deben encaminarse a asumir riesgos. Un análisis de riesgos de la compañía es clave, para priorizar las decisiones.
- Elaborar informes de indicadores-KPI de seguridad y presentarlos con frecuencia a los comités de dirección de la empresa. Así ayudamos al comité a comprender más sobre el mundo de la seguridad, puesto que cada día hay más preocupación entre los ejecutivos, y en definitiva son quienes autorizan invertir en ciberseguridad.
- Centrarse en las personas y aceptar los límites de la tecnología. Formar a los empleados es indispensable, pero desarrollar el compromiso del empleado en materia de seguridad es un factor de éxito.
- Habilitando la ciberseguridad como una palanca y no como un obstáculo al crecimiento del negocio.
-
- Los planes de seguridad implementados en clientes se aseguran de que exista un plan de acción con el fin de ser menos “defensor” y más “facilitador”. La OS es un facilitador, no es un inhibidor para las decisiones de negocio
- Determinar cómo fluye la información en la organización a través de herramientas como CASB (Netskope), DLP, etc.
- Comenzar por entender, apoyar la estrategia y los resultados de negocio en lugar de proteger únicamente la infraestructura.
- Convencer para invertir en modelos realistas y adaptativos de seguridad, es decir en detección y respuesta gestionadas (MDR)
- Adaptación a nuevas tecnologías e iniciativas de negocio. Los nuevos paradigmas en los que todos estamos sumidos: entornos cloud, Machine Learning, Inteligencia artificial, etc.
-
- Una empresa hoy avanza a mayor velocidad y con modelos tecnológicos más disruptivos que en el pasado, pero los principios clásicos de ciberseguridad a menudo no ayudan en esta estrategia.
- Cloud y PCI DSS, por ejemplo. Entre las versiones 2.0 y 3.2.1 de PCI DSS pasaron 5 años. En este periodo gran parte de las compañías que han adoptado Cloud han experimentado los riesgos y desafíos de esta nueva tecnología con el cumplimiento de PCI. Dudas razonables durante este periodo:
- ¿Cumple el proveedor de Cloud con PCi? ¿Es el cliente cumplidor si opera con este proveedor?
- ¿Qué servicios están validados por el QSA y cumplen?
- ¿Cuáles son los controles compensatorios que el cliente puede requerir en su migración de servicios?
- ¿Cómo se asegura el proveedor de que los clientes que utilizan el servicio compatible con PCI DSS no puedan introducir componentes no conformes en el entorno o eludir los controles PCI DSS?
- El proveedor utilizará diferentes centros de datos y en varios países. Esto puede hacer la validación de la seguridad de los datos y controles de acceso para un conjunto de datos específico particularmente complicado.
- Otros muchos casos que ofrecen desafíos al cumplimiento…
Nuestras OS ha acompañado a clientes en esta transición en su cumplimiento PCI, planteando un nuevo enfoque de la ciberseguridad para tener éxito en medio de tal velocidad en los cambios y el nivel disruptivo con lo anteriormente establecido.
- Transformando el modelo de seguridad operativa para que sea más innovador, efectivo y rentable.
- Aplicar las medidas y resoluciones de la última auditoría de seguridad
- Monitorizar las vulnerabilidades activas y priorizar su resolución
- Aislar los sistemas más vulnerables, y no descuidar los sistemas “legacy” y sus conexiones.
- Definir o adaptar el proceso de gestión de incidencias de seguridad
- GDPR y privacidad de datos es su responsabilidad. Procesos de soporte al DPO (Data Protection Officer).
- Simplificar su organización, y empoderar a la OS, como integrador de funciones dispersas entre departamentos como legal, auditoria, cumplimineto normativo, tecnología, etc.
- La relación de la OS con los interlocutores claves de la organización. Además del CISO y DPO, con los CXO, Legal Counselor, y mandos más operativos.
- Invertir en productos y soluciones de gestión y seguimiento de la seguridad ( IAM, SIEM, IDS, IPS, DLP, etc.) para la detección de amenazas, monitorización de integridad, detección de brechas, respuesta a incidentes y combinen el cumplimiento normativo
- Y finalmente, lo más importante, nuestro equipo, combinación de madurez y juventud. Las personas de A2secure responden a estos estándares:
- Responsabilidad y compromiso.
- Energía y rendimiento
- Sensación de urgencia ante las situaciones críticas
- Entrega y resultados
- Valores que se pueden resumir por lealtad, integridad y confianza
- Empoderamiento con los “juniors” y experiencia en los “seniors”
Si precisa de más información sobre este servicio o en general de A2secure, no dude en contactar a través de [email protected]
Autor: Joan Balcells