Las decisiones de seguridad afectan directamente a los empleados, clientes, accionistas y la continuidad del negocio. A medida que el rol del Director de Seguridad de la Información (CISO) evoluciona de líder tecnológico a líder empresarial, debe cerrar cada vez más la brecha entre los objetivos comerciales y los riesgos de seguridad, y traducir la seguridad en resultados mensurables. En este artículo examinaremos esta cuestión desde la perspectiva de seguridad de identidad.
La paradoja del CISO: a veces la ciberseguridad es más negocio que ciberseguridad
Como ocurre con cualquier decisión empresarial, la ciberseguridad es una cuestión de gestión de riesgos: la reducción potencial del riesgo que se obtiene al invertir en ciberseguridad frente a los costos que implica realizar estas inversiones. Al igual que asignar recursos a cualquier otra necesidad organizacional, invertir en ciberseguridad va más allá de comprar las herramientas adecuadas. Afecta la continuidad del negocio, los empleados, los clientes, los accionistas y muchos otros.
El problema es que los líderes empresariales no suelen ver la ciberseguridad como una decisión empresarial, en gran medida porque el papel del CISO ha evolucionado y las organizaciones aún se están adaptando. Los CISO son ahora más líderes empresariales que líderes tecnológicos, pero este concepto aún no se ha comprendido ni implementado completamente.
Esto crea una tarea compleja para el CISO. Sus arquitectos de seguridad de la información hablan en términos de soluciones, mientras que sus ejecutivos hablan en términos de resultados comerciales. Equilibrar estos dos y traducir uno al otro requiere un gran esfuerzo y mayor autoridad. Para tomar una decisión comercial calculada, resulta útil aplicar la siguiente fórmula:
- Riesgo actual: Evaluación de la superficie de ataque de la organización, pérdidas financieras en caso de una infracción, impacto del tiempo de inactividad en cada división, probabilidad de sufrir una infracción, estadísticas publicadas sobre el costo de una infracción, etc.
- Riesgo reducido esperado: Estimación del riesgo tras la implementación del plan de seguridad sugerido, incluida la reducción de la superficie de ataque, disminución de las primas de seguros, etc.
- Costo de inversión: El costo total de implementar el plan de seguridad sugerido, incluida la compra de herramientas y capacitación.
El precio es lo que paga, el valor es lo que obtiene: ¿Cuál es el costo real de la seguridad de la identidad?
Entonces, ¿cómo traduce la ecuación anterior la seguridad de la identidad en una decisión impulsada por el negocio?
Según el informe El estado de la superficie de ataque a la identidad, El 83% de las organizaciones ha experimentado una violación de seguridad que involucró credenciales comprometidas.. La gran mayoría de los ataques de ransomware se basan en movimiento lateral difundirse a través de una red. Normalmente, el punto de entrada inicial es a través de una cuenta de usuario normal comprometida o TRANSPORTE GRATUITO ,.
Exploremos el costo de proteger estas partes clave de la ataque de identidad superficie con más detalle. Comenzaremos analizando MFA como ejemplo y luego analizaremos cuentas de servicio .
MFA… ¿pero a qué precio?
En el caso de los MFALas organizaciones pueden tener las dos opciones siguientes:
- Aplicar MFA solo para administradores: menos costoso que MFA para todos los usuarios, pero no prevenir el movimiento lateral que involucra a usuarios habituales.
- Hacer cumplir MFA para todos los usuarios: Es más caro pero proporciona protección contra el movimiento lateral que involucra a los usuarios habituales.
En cada caso, el riesgo actual es el mismo. El CISO puede ilustrar los resultados de cada opción poniendo números reales en la ecuación e iniciando una discusión impulsada por el negocio:
La decisión podría ser cualquiera de las dos opciones, siempre y cuando se comunique a los ejecutivos y a la junta directiva y se demuestre mediante resultados mensurables.
Cuentas de Servicio: ¿Cuál es el costo de ser invisible?
Con las cuentas de servicio, es más fácil traducir el riesgo en visibilidad:
- Compra de un seguridad de la cuenta de servicio solución: permite el descubrimiento, monitoreo y control de todas las cuentas de servicio. Puede proporcionar visibilidad total, pero puede resultar costoso.
- Hazlo manualmente, al menos parcialmente: Es difícil realizar un seguimiento de todas las cuentas de servicios. Si bien es algo alcanzable en organizaciones más pequeñas, es una tarea casi imposible para organizaciones más grandes. Los costos varían, pero suelen ser mucho menos costosos que invertir en una solución de seguridad.
- No hacer nada en absoluto: La visibilidad sigue siendo la misma, el riesgo actual sigue siendo el mismo.
El número de organizaciones con La visibilidad total de sus cuentas de servicio es solo del 5.7 %.. Sin embargo, muchas violaciones de datos de alto perfil en los últimos años involucraron el uso y el compromiso de estas identidades no humanas, incluidas SolarWinds, la Oficina de Gestión de Personal de EE. UU. y Marriott.
Las organizaciones deben revisar su historial para ver si se han producido incidentes pasados, si las cuentas de servicio se han utilizado indebidamente o se han visto comprometidas, y cómo ransomware Los ataques han afectado a otras organizaciones de su industria.
Cada opción tiene ventajas y desventajas y ninguna opción es adecuada para todas las organizaciones. Ilustrando los resultados:
Reflexiones finales: cerrar la brecha
Los CISO se están convirtiendo en un papel clave a la hora de traducir las soluciones de seguridad en decisiones comerciales. Pero un gran poder conlleva una gran responsabilidad, ya que los resultados de seguridad mensurables no sólo facilitan una mejor comprensión del debate, sino que también son cruciales para tomar las decisiones correctas.
¿Cuáles son las opciones correctas? Como se muestra arriba, no existe una respuesta única a esta pregunta. La clave es tratar la ciberseguridad como cualquier otra inversión empresarial: con cautela, con todos los hechos y basándose en cifras reales.