Descanse tranquilo: Los retos que quitan el sueño a sus CISO (y cómo sortearlos)
Alivie las noches de insomnio de los profesionales del riesgo de su organización con un conocimiento más profundo de los riesgos de terceros, normativos y humanos a los que se enfrentan actualmente.
A medida que la economía se contraía el año pasado (¡y sigue contrayéndose!), organizaciones de todo el mundo se han visto acribilladas por despidos masivos, recortes presupuestarios, volatilidad de la cadena de suministro e inflación.
Hoy en día, las empresas intentan determinar cómo garantizar la continuidad del negocio y hacer más con menos, al tiempo que se enfrentan a un aumento de los ciberataques, los riesgos para la seguridad de la información, las constantes amenazas geopolíticas y los nuevos y complejos marcos normativos. En este tumultuoso entorno, las responsabilidades (y los retos) a los que se enfrenta todo Chief Information Security Officer (CISO) son más críticos que nunca.
En medio de un panorama de amenazas y normativas en constante cambio, una pregunta que nos hacemos es: ¿por qué, exactamente, pierden el sueño los CISO y sus equipos? Veámoslo.
Los peligros de la conectividad: riesgo de terceros y proveedores
En un mundo de trabajo remoto, retos globales en la cadena de suministro y un creciente ecosistema de proveedores que apoyan su negocio, el riesgo ya no está limitado a su sede central. De hecho, según la encuesta de gestión de riesgos de terceros (TPRM) 2023 de Deloitte Global, casi dos tercios (63%) de los encuestados informaron que su principal área de enfoque para la inversión es revisar y actualizar su estrategia general de gestión de riesgos de terceros (TPRM).
Los CISO deben asegurarse de que estas aplicaciones y socios se supervisan de forma proactiva para detectar riesgos potenciales y emergentes basados en el servicio o los productos que proporcionan, su ubicación y la naturaleza de la red de proveedores y las cadenas de suministro en las que confían para prestarle sus servicios.
Obtenga la Lista de comprobación de la gestión de riesgos de terceros.
Mirando al abismo del riesgo informático para el usuario final (EUC)
A medida que los empleados aprovechan cada vez más las aplicaciones centradas en el usuario (como Excel, Access, Python y otras herramientas democratizadas), los departamentos de TI se preocupan por el riesgo de invasión de la informática de usuario final (EUC), y con razón. Excel sigue siendo uno de los principales lugares de actividad, a pesar de sus limitaciones a la hora de obtener datos, corregir errores y compartirlos adecuadamente. E incluso a medida que surgen herramientas que podrían compensar el riesgo de las hojas de cálculo, los CISO deben estar muy atentos para asegurarse de que las herramientas de su empresa no se conviertan en vías abiertas a amenazas mayores.
El reto radica en hacer un seguimiento de las herramientas que utilizan los empleados, comprender cómo estas herramientas constituyen un riesgo para su reputación o su cuenta de resultados y, a continuación, garantizar que están sujetas a los controles, las políticas y la supervisión adecuados. Y en un periodo de creciente escrutinio normativo en torno a las EUC, esta conversación no podría ser más oportuna.
Profundice en las preguntas que deben guiar su marco para definir, gestionar y evidenciar el riesgo informático del usuario final (EUC).
El laberinto de la normativa sobre privacidad de datos
Navegar por el laberinto de normativas sobre privacidad de datos presenta otro obstáculo, especialmente para las organizaciones con una huella global. Aunque el GDPR afecta a muchas organizaciones, la legislación específica de cada estado añade aún más complejidad. Con el aumento de los acuerdos de trabajo a distancia, las empresas deben reconocer que los requisitos de cumplimiento se extienden más allá de su ubicación principal.
Las empresas deben cumplir la legislación del estado donde tienen su sede, la legislación federal y también la de todos los estados en los que tienen empleados a distancia. Esto implica navegar por una compleja red de estatutos, cada uno con sus propios matices, requisitos e interpretaciones. El incumplimiento de cualquiera de estas normativas puede acarrear ramificaciones legales, multas, daños a la reputación... y la lista es interminable.
Gestionar una plantilla repartida por regiones geográficas y estados requiere un esfuerzo continuo para mantenerse al día de los cambios y matices, y la tecnología puede ayudar a que ese proceso lleve menos tiempo y se cumpla mejor.
Más información sobre el cumplimiento de las políticas de su organización.
La evolución del riesgo humano
La batalla contra las ciberamenazas está en continuo cambio, y las campañas de phishing evolucionan a un ritmo alarmante. Según el reciente informe de Black Kite sobre ataques de terceros, casi el 40 % de las organizaciones mundiales han sufrido ciberataques en los últimos doce meses.
Los "malos actores", antes fácilmente detectables por palabras mal escritas, han subido de nivel. Los ciberdelincuentes aprovechan la inteligencia artificial para mejorar sus ataques de forma que sus correos electrónicos parezcan más inocuos, lo que hace más difícil diferenciar las preguntas y solicitudes legítimas de las sospechosas.
Para adaptarse a esta realidad, los CISO y los equipos de riesgo y cumplimiento deben afrontar la situación e invertir en tecnologías que ayuden a mantener sus datos -y a sus consumidores- a salvo. En un mundo de cambios e incertidumbre, las empresas deben abordar las nuevas cuestiones que plantea la tecnología con una pila tecnológica renovada y más ágil.
Compromiso: el eje de la gestión del riesgo empresarial
En la búsqueda de una gestión integral de los riesgos, obtener el apoyo y el compromiso de todo el equipo directivo no es negociable. Empresas de todos los tamaños y complejidades están reevaluando y reforzando sus programas de gestión de riesgos cibernéticos. Pero la pregunta que quita el sueño a los CISO es: ¿cómo crear programas de ciberseguridad maduros dentro de su empresa mientras se enfrentan a restricciones presupuestarias y reducciones de plantilla? ¿Cómo se puede conseguir la aprobación del Consejo de Administración si se carece de conocimientos críticos sobre la evolución del panorama de las amenazas y su impacto potencial?
La respuesta es alinear su hoja de ruta de gestión de riesgos cibernéticos con los objetivos principales de su organización (y el balance final), y hemos reunido los consejos de los expertos sobre cómo hacerlo con un presupuesto limitado.
Ayudar a los CISO a estar tranquilos
Las noches no tienen por qué ser insomnes para los CISO; la integración estratégica de la tecnología y un frente de liderazgo unido pueden ayudar a mantener su departamento de riesgos un paso por delante de las actualizaciones de las normativas gubernamentales, las ciberamenazas y las incertidumbres de la gestión del cambio dentro de un equipo u organización.
Una forma probada de gestionar un amplio espectro de riesgos es no centrarse en soluciones aisladas y dispares, sino en una estrategia integrada de gestión de riesgos.
A medida que nos enfrentamos a un panorama cambiante, una cosa es cierta: el papel del CISO nunca ha sido más fundamental, y las estrategias empleadas hoy darán forma al panorama de la seguridad para los retos del mañana. Puede que la noche sea larga, pero con las herramientas y estrategias adecuadas, el amanecer de la seguridad es inevitable.
¿Nuestra prioridad? En su éxito.
Programe una demostración u obtenga más información sobre los productos, servicios y compromiso de Mitratech.
