Cuando los formuladores de políticas sueñan con cómo se manejará la ciberseguridad en el futuro, consiste en que los gobiernos emitan advertencias a las organizaciones, la comunidad comparta información entre sí en tiempo real y el ecosistema pueda responder con cierto grado de unanimidad.
Para la CISO asesora de Cisco, Helen Patton, ese sueño deja fuera a muchas organizaciones que luchan por debajo de la línea de pobreza de seguridad.
«Tenemos muchas organizaciones que no tienen los recursos para poder participar en ese tipo de entorno. Tienen equipos viejos, no automatizan, no tienen los recursos para que esto suceda, nunca se involucrarán en ese tipo de entorno», dijo Patton a MarketingyPublicidad.es.
«Tal vez el sector financiero, tal vez las grandes empresas que tienen mucho dinero que pueden invertir en este problema, podrían involucrarse. Pero ahora que estás en estos dos niveles de seguridad, tenemos el nivel superior que puede tomar ventaja del aprendizaje automático y la inteligencia artificial, y el intercambio de información en tiempo real.
«Y tenemos a todos los demás que esperan que algún niño en un teclado pueda hacer algo al respecto, y obviamente no podrán hacerlo. Tendremos una comunidad de seguridad bifurcada, es lo que terminaremos».
Una forma de levantar a los de abajo es algo parecido a una cooperativa, con Patton describiendo una comunidad que comparte recursos y utiliza consorcios de compra junto con los gobiernos que utilizan las herramientas a su disposición para ayudar a las organizaciones de escasos recursos a ayudarse a sí mismas.
Anteriormente, Patton pasó una década en JPMorganChase y dijo que incluso en la banca a veces sentía que se necesitaban más recursos de seguridad.
«No conozco a nadie en una organización de cualquier tamaño que sienta que tiene todo lo que necesita, pero sí creo que necesitamos liderazgo para comprender cuándo toman una decisión basada en el riesgo de poner dinero en un área y no en seguridad». que se están arriesgando, que están tomando una decisión que podría generarles un verdadero problema operativo», dijo.
Para ayudar a las juntas directivas a controlar adecuadamente los riesgos y la ciberseguridad, Patton cree que los gobiernos deben considerar legislar un requisito para que las juntas directivas tengan a alguien que entienda la tecnología y los riesgos, y los gobiernos deberían tratar de informar a los altos ejecutivos, no a los profesionales de la seguridad.
«Cuando AWS eructa y la mitad de las redes sociales se apagan… ¿nuestros directores ejecutivos y directorios realmente entienden eso? No, no lo hacen», dijo Patton.
“Tenemos que educarlos sobre eso. Y el tipo que está tratando de ejecutar un programa de seguridad con otro tipo y un perro no tiene tiempo para sentarse y educar a la junta. El gobierno sí lo tiene.
«Deje de capacitar a la gente de seguridad sobre cómo mejorar la seguridad sin recursos, y comience a capacitar a los directores ejecutivos sobre cómo pensar y administrar el riesgo sistémico, eso es lo que deberían estar haciendo».
Siguiendo los requisitos legales impuestos por el gobierno sobre el informe de infracciones, no debería sorprender que los abogados se involucren en dicho proceso, y Patton dice que los CISO tienen que determinar cómo gestionar el riesgo y trabajar con requisitos que dicen que todas las infracciones son igualmente malas.
«Estamos viendo que los CISO se separan operativamente de los requisitos de informes», dijo Patton.
“Así que ahora tenemos abogados que están tomando una decisión sobre si algo es lo suficientemente material como para requerir un informe, lo cual no es realmente el espíritu de la regulación. Pero lo he visto en Australia y lo estoy viendo en el extranjero. también.
«Este es un mecanismo de defensa porque los requisitos de presentación de informes son algo vagos». El CISO asesor dijo que las demandas de informes significan que si un incidente ocurre en un área de bajo riesgo, ningún líder de seguridad les dirá a los abogados o reguladores que se van a sentar porque se evaluó como de bajo riesgo, en comparación con la infraestructura crítica en otros lugares.
«Estos requisitos de informes que dicen que tienes 72 horas o 48 horas generarán mucho ruido inexacto, que tanto los gobiernos como las organizaciones tendrán que eliminar después del hecho, una vez que tengan más información. Va a haber un mucha información errónea, que sale al medio ambiente debido a las ventanas cortas que estamos [dealing] con, es un desafío», dijo Patton.
«No es hasta que haya tenido una cierta cantidad de tiempo para explorar el incidente, responder al incidente, aprender del incidente que realmente tiene información de buena calidad. Pero nuestros reguladores quieren que les informemos de inmediato cuando algo parece divertido. Y hay muchas cosas que se ven graciosas en nuestros entornos, porque nuestros entornos son intrínsecamente extraños.
«Van a recibir muchas señales realmente malas desde el principio, y vamos a tener que averiguar cómo hablar de eso públicamente cuando la información es realmente asimétrica en términos de lo que sabes y lo que realmente está sucediendo». . Es un problema.»
APERTURA DEL LUNES POR LA MAÑANA DE ZDNET
Monday Morning Opener de MarketingyPublicidad.es es nuestra versión de apertura de la semana en tecnología, escrita por miembros de nuestro equipo editorial. Somos un equipo global, por lo que este editorial se publica el lunes a las 8:00 a.
