Una Oficina de Seguridad al servicio del CISO ¿Cuáles son sus objetivos?

En los últimos años uno de los servicios más demandados y con una mayor consolidación en la cartera de A2secure es la Oficina de Seguridad (OS, en adelante). 
A2secure tiene una probada y larga experiencia en la gestión y definición de oficinas de seguridad. En muchos casos provienen de proyectos en los que se evalúo la madurez en ciberseguridad de un cliente o responde a la definición de un plan director. Otras veces se empezó una colaboración experta definiendo una hoja de ruta estratégica en seguridad, que hoy podemos denominar “Virtual-CISO”, hasta evolucionar a una gestión global de principio a fin de todos los elementos de la seguridad de una empresa: la Oficina de Seguridad-OS.
El alcance de una OS varía según el encargo del cliente y sus necesidades, pero un modelo estándar es aquel en el que se define un gobierno, se gestiona el riesgo y cumplimiento normativo, por medio del desarrollo de proyectos adaptativos, de adecuación y definición de políticas. Es una gestión de la seguridad operativa en la que equipos técnicos se encargan de la seguridad en infraestructuras, aplicaciones y en la gestión de vulnerabilidades además de alimentar la analítica de seguridad y el consiguiente informe de indicadores. En definitiva, detectan y actúan sobre amenazas, y corrigen vulnerabilidades. Desde un punto de vista de perfiles, participan consultores, pentesters y devsecops, que reportan al CISO del cliente, o CIO en su ausencia.
Si nos atenemos a cifras de mercado publicadas en 2018 por asesores globales como Gartner, la inversión media en ciberseguridad es del 6,2% del presupuesto de IT, y el número de recursos en seguridad es un 5,9% sobre el total de recursos en IT. Piensen en sus compañías, ¿cómo están? en comparación a esos indicadores. Muchas compañías en este país están por debajo de estas cifras, aunque quisieran, no podrían realizar esta inversión por falta de competencias y recursos expertos. La OS A2secure aporta este conocimiento, experiencia, y cubre ese vacío. 
A continuación, presentamos los objetivos que persigue una OS de A2secure:

• Apoyar al cliente y al CISO a desarrollar la capacidad de resiliencia de la organización 
  • «Ser» reactivo «siempre es una actitud inherente al rol de la OS”. Pero hoy no es suficiente, y las OS deben asegurarse de que se adopte un comportamiento proactivo con sus programas y arquitectura de seguridad.
  • Inversión en detección y respuesta, como el mejor plan para proteger a su  organización.
  • Los procesos de toma de decisiones de la organización deben encaminarse a asumir riesgos. Un análisis de riesgos de la compañía es clave, para priorizar las decisiones.
  • Elaborar informes de indicadores-KPI de seguridad y presentarlos con frecuencia a los comités de dirección de la empresa. Así ayudamos al comité a comprender más sobre el mundo de la seguridad, puesto que cada día hay más preocupación entre los ejecutivos, y en definitiva son quienes autorizan invertir en ciberseguridad.
  • Centrarse en las personas y aceptar los límites de la tecnología. Formar a los empleados es indispensable, pero desarrollar el compromiso del empleado en materia de seguridad es un factor de éxito.
• Habilitando la ciberseguridad como una palanca y no como un obstáculo al crecimiento del negocio.
• • Los planes de seguridad implementados en clientes se aseguran de que exista un plan de acción con el fin de ser menos “defensor” y más “facilitador”. La OS es un facilitador, no es un inhibidor para las decisiones de negocio
  • Determinar cómo fluye la información en la organización a través de herramientas como CASB (Netskope), DLP, etc.
  • Comenzar por entender, apoyar la estrategia y los resultados de negocio en lugar de proteger únicamente la infraestructura.
  • Convencer para invertir en modelos realistas y adaptativos de seguridad, es decir en detección y respuesta gestionadas (MDR)
• Adaptación a nuevas tecnologías e iniciativas de negocio. Los nuevos paradigmas en los que todos estamos sumidos: entornos cloud, Machine Learning, Inteligencia artificial, etc. 
• • Una empresa hoy avanza a mayor velocidad y con modelos tecnológicos más disruptivos que en el pasado, pero los principios clásicos de ciberseguridad a menudo no ayudan en esta estrategia. 
  • Cloud y PCI DSS, por ejemplo. Entre las versiones 2.0 y 3.2.1 de PCI DSS pasaron 5 años. En este periodo gran parte de las compañías que han adoptado Cloud han experimentado los riesgos y desafíos de esta nueva tecnología con el cumplimiento de PCI. Dudas razonables durante este periodo:

1. ¿Cumple el proveedor de Cloud con PCi? ¿Es el cliente cumplidor si opera con este proveedor?
2. ¿Qué servicios están validados por el QSA y cumplen?
3. ¿Cuáles son los controles compensatorios que el cliente puede requerir en su migración de servicios?
4. ¿Cómo se asegura el proveedor de que los clientes que utilizan el servicio compatible con PCI DSS no puedan introducir componentes no conformes en el entorno o eludir los controles PCI DSS?
5. El proveedor utilizará diferentes centros de datos y en varios países. Esto puede hacer la validación de la seguridad de los datos y controles de acceso para un conjunto de datos específico particularmente complicado.
6. Otros muchos casos que ofrecen desafíos al cumplimiento…

Nuestras OS ha acompañado a clientes en esta transición en su cumplimiento PCI, planteando un nuevo enfoque de la ciberseguridad para tener éxito en medio de tal velocidad en los cambios y el nivel disruptivo con lo anteriormente establecido. 

• Transformando el modelo de seguridad operativa para que sea más innovador, efectivo y rentable. 
  • Aplicar las medidas y resoluciones de la última auditoría de seguridad
  • Monitorizar las vulnerabilidades activas y priorizar su resolución
  • Aislar los sistemas más vulnerables, y no descuidar los sistemas “legacy” y sus conexiones. 
  • Definir o adaptar el proceso de gestión de incidencias de seguridad
  • GDPR y privacidad de datos es su responsabilidad. Procesos de soporte al DPO (Data Protection Officer).
  • Simplificar su organización, y empoderar a la OS, como integrador de funciones dispersas entre departamentos como legal, auditoria, cumplimineto normativo, tecnología, etc.
  • La relación de la OS con los interlocutores claves de la organización. Además del CISO y DPO, con los CXO, Legal Counselor, y mandos más operativos.
  • Invertir en productos y soluciones de gestión y seguimiento de la seguridad ( IAM, SIEM, IDS, IPS, DLP, etc.) para la detección de amenazas, monitorización de integridad, detección de brechas, respuesta a incidentes y combinen el cumplimiento normativo 

• Y finalmente, lo más importante, nuestro equipo, combinación de madurez y juventud. Las personas de A2secure responden a estos estándares: 
  • Responsabilidad y compromiso. 
  • Energía y rendimiento
  • Sensación de urgencia ante las situaciones críticas
  • Entrega y resultados
  • Valores que se pueden resumir por lealtad, integridad y confianza
  • Empoderamiento con los “juniors” y experiencia en los “seniors”

Si precisa de más información sobre este servicio o en general de A2secure, no dude en contactar a través de [email protected]
Autor: Joan Balcells