El nuevo rol del CISO, un debate que se extiende por toda Europa

Hendrik Janßen, CISO de Bauer Media Group; Florian Jörgens, CISO del Grupo Vorwerk; Fabian Topp, CISO de Allianz Technology; y Ralf Kleinfeld, ISO de Otto GmbH & Co, han inaugurado una serie de debates para CSO Alemania en la que han conversado sobre si el CISO debe informar al CIO, las principales amenazas actuales o el estrés al que están sometidos en sus tareas diarias.

 

Los CISO tienen muchas responsabilidades. Deben proteger y preparar a sus empresas para los ataques, hacer cumplir programas y políticas, alinearse con los miembros de la junta directiva y formar a los empleados, entre otras tareas. Si hay que priorizar, ¿qué es más importante?

Janßen: Es muy importante crear una comprensión general sobre la seguridad de la información corporativa. Y no me refiero solo a la concienciación del usuario final, algo que también es relevante, sino a ver cómo el CISO se apaña para ser un ‘evangelista’ y garantizar que la temática esté siempre presente en la conversación. Todos deben saber que existen riesgos. La junta directiva también debe ser consciente de qué es un ataque ransomware y cómo podemos protegernos. Además, los empleados deben reconocer los correos electrónicos de phishing. Generar esta identidad en todos los niveles es básico.

Kleinfeld: Suscribo lo dicho, pero me gustaría enfatizar en el papel del CISO como facilitador. También se trata de mostrar que la seguridad no es solo una tarea de expertos que simplemente pueden externalizarla a un equipo de profesionales. Cada uno debe reconocer la conexión con su propia área de responsabilidad. Cuando hablamos de problemas y procesos comerciales, la ciberseguridad debe tener un lugar destacado. La información forma parte de casi todo lo que hacemos en las compañías. La tecnología nos ayuda a protegernos, pero la ciberseguridad comienza en cada persona y su comportamiento.

 

"No hay que dudar de informar de incidentes de seguridad aparentemente triviales"

Ralf Kleinfeld, ISO de Otto GmbH & Co

 

 

Pero si hablamos de innovaciones que nadie conoce, el panorama se complica

Kleinfeld: Si hacemos algo nuevo, como sucedió con la computación en la nube hace algunos años, es posible que los controles que se basan en el conocimiento existente ya no funcionen tan fácilmente. Por lo tanto, es posible que las innovaciones se evalúen de un modo incierto y que haya miedo a abordarlas. Nuestra tarea es garantizar que reciban atención y que se establezca de forma proactiva un vínculo con la seguridad de la información.

 

Finalmente, ¿no se trata de evitar el peor de los escenarios? ¿Es mejor prevenir o contener los ataques para que no haya daño o se paralicen los sistemas?

Topp: Un ciberataque es el riesgo más típico, y trabajamos con ello todo el tiempo. Así que el peor de los escenarios es cuando sucede algo que no hemos previsto. La pandemia es un ejemplo, con todas las consecuencias que tuvo para la actividad de los empleados. O la actual crisis energética, que podría afectar al suministro de nuestros centros de datos. Tales desafíos son difíciles de anticipar, y ahí radica el verdadero reto: ¿Qué podría suceder que no pensamos?

Jörgens: Algunos colegas se atascan demasiado en soluciones técnicas para prepararse para un incidente. Para mí, es un enfoque equivocado. En última instancia, el papel de la ciberseguridad es respaldar la estrategia corporativa. ¡Qué quiere realmente la empresa? Nuestra estrategia debe coordinarse con esta pregunta. He visto muchas veces que los departamentos de negocio quieren lanzar una iniciativa digital o lanzar una plataforma y el departamento de seguridad plantea algún tipo de sistema técnico como solución para prevenir posibles problemas. Pero eso no funciona. Tienes que echar un vistazo de cerca a lo que la empresa realmente necesita y qué riesgos están asociados con ello. Estos deben evaluarse en detalle, y solo entonces se puede implementar una solución técnica. Permanecer en la burbuja de la seguridad y pensar en términos de riesgos o ataques no tiene sentido. Tenemos que asumir el papel de facilitador y no permitirnos ser empujados de nuevo a este rol paranoico.

 

En muchas empresas, el rol de ciberseguridad depende del CIO. ¿Esto es correcto?

Jörgens: La ciberseguridad nunca debe ser parte del departamento de Ti y el CISO no debe reportar al CIO. Conozco a muchos CISO que lo hace, pero no conozco a ninguno que piense que es algo bueno. El CIO persigue objetivos diferentes a los del CISO, esto se debe a la naturaleza de la tarea. La disponibilidad es un problema del CIO, pero la confidencialidad y la integridad no son sus objetivos, sino los del CISO. Siempre hay un conflicto de intereses.

Kleinfeld: No soy tan estricto y no generalizaría. Creo que eso depende mucho de cómo las personas involucradas en una empresa evalúan el tema de la seguridad de la información en cada caso individual. En Otto, el CIO forma parte de la junta de división y yo le reporto. Esto me da el mejor apoyo posible. Esto funciona muy bien, especialmente para la comunicación con el especialista. Cuento con el respaldo total del CIO porque el tema es importante para él y considera que la ciberseguridad es una prioridad máxima. Creo que también depende de la historia de cómo se montó la división en la empresa. 

Janssen: Yo tampoco lo veo de una manera tan dogmática. Algunos dicen en broma que el CIO debe informar al CISO. En última instancia, esto depende de la cultura y la historia corporativa, así como de las personas responsables. En Bauer, el CISO reporta al Director de Tecnología e Información, el CTIO, quien forma parte de nuestro cuerpo directivo. Creo que esa es la mejor solución para nosotros en este momento.

 

¿Cuál es el enfoque en Allianz?

Topp: El CISO del grupo reporta al Director de Operaciones (COO). Donde no hay COO, el Director Financiero (CFO) es el responsable. Hemos asegurado esto en una póliza. Aquí la mayoría de los CISO reportaban al CIO. Este ya no es el caso hoy, aunque solo sea para evitar un conflicto de intereses. Pero estoy de acuerdo con mis compañeros, al final todo depende realmente de la gente. Personalmente, por ejemplo, prefiero informar a un CIO colaborativo que a un CEO ignorante. También creo que el modelo de negocio y la industria son cruciales en esta cuestión. Cuando observo empresas en las que la seguridad es una parte integral del modelo comercial, no hace falta decir que el CISO informa al CEO. No se trata solo de seguridad interna, sino también de productos seguros para los clientes.

Kleinfeld: Creo que ha quedado clara la cuestión, la ciberseguridad es más un problema de personas que de tecnología. Los trabajadores juegan un papel muy central y podemos lograr lo máximo si las alineamos con nuestro departamento.

 

"El papel de evangelista despierta la conciencia de empleados y directivos"

Hendrik Janßen, CISO de Bauer Media Group

 

Esto recuerda a los carteles de concienciación en las paredes de algunas oficinas que recuerdan la importancia de las contraseñas seguras y de la problemática de abrir archivos de correos electrónicos dudosos. Los fabricantes siempre dicen que las campañas de este tipo no funcionan…

Jörgens: ¿Qué dicen estas personas cuando se enfrentan al hecho de que el 70% de todos los ciberataques todavía están dirigidos a las personas y solo el 30% a los sistemas? Con medidas de concienciación razonables, y no necesariamente tienen que ser carteles, cubro el 70% de los posibles incidentes cibernéticos. Me gustaría ver la solución técnica que me permite hacer esto primero.

Kleinfeld: La tecnología siempre tendrá limitaciones, y los ciberdelincuentes las encuentran y las rompen. Si pueden hacer eso, solo nos queda el ser humano, que necesita ser entrenado y saber cómo responder. En nuestra caja de herramientas, la concienciación es un medio importante para abordar específicamente el contenido. En última instancia, se trata de acercarse a la gente y explicarles las cosas.

Topp: Nunca he visto un gran ataque exitoso que no tuviera un componente humano involucrado en alguna parte. En lo que respecta a las campañas de carteles, etc., no se trata tanto del mensaje que se puede leer en ellos, por ejemplo: "Elige una contraseña segura". Es más importante que la dirección de la empresa lo utilice para señalar la importancia del tema para ellos. De acuerdo con el lema: Nos tomamos esto muy en serio, y por favor, también.

Janßen: Los tipos de comunicación en este tipo de campañas también son muy diferentes. Algunos dicen: "Creamos conciencia para cumplir. Compramos cualquier herramienta del mercado y luego implementamos la capacitación estándar, etc." Pero eso no cambia la conciencia. Es importante que el grupo objetivo sea realmente comprendido y que el mensaje llegue allí. Si quieres conseguirlo, tienes que tomarte en serio a tus destinatarios. Además, temas como: ¿Cómo protege realmente a sus hijos en línea? ¿O cómo garantizas la seguridad en tus vacaciones?

Kleinfeld: Tal vez pueda citar la gestión de incidentes de seguridad como ejemplo. Puedo tener una visión muy técnica de esto, quiero que el incidente se resuelva lo más rápido posible. Pero también puedo decir: pongo a alguien que reporta un incidente de seguridad en la mejor posición posible para capacitarlo o aumentar su conciencia. Esta persona es actualmente insegura y receptiva para ayudar. Necesita apoyo y puedo usar eso para permitirle aprender y mejorar en la evaluación de incidentes o cómo tener más confianza. El proceso del incidente es una oportunidad para crear conciencia, debe entregar un valor agregado para los afectados.

 

¿Los empleados ya no se sienten avergonzados a la hora de comunicar que han sido víctimas de un ataque de ingeniería social?

Jörgens: Es una cuestión de cultura del error en la compañía. Si los usuarios tienen que esconderse tras un problema de este tipo algo estamos haciendo mal.

Kleinfeld: Yo lo veo de la misma manera, se trata de la confianza entre las personas. Si un colega responde con un comentario como: "Eso es obviamente phishing, ¿por qué llamas por un correo electrónico tan trivial?", entonces eso es un problema. El servicio de asistencia debe agradecer a los colegas por la sensibilidad al informar el incidente. El análisis del ataque es entonces tarea exclusiva del equipo de seguridad.

Si el usuario dice: "No estoy seguro, puede ser algo defectuoso", entonces eso siempre es un incidente de seguridad para nosotros. Tienes que meterte eso en la cabeza. Así evito que alguien no llame porque cree que podría avergonzarse.

Janßen: Con respecto al factor de no culpar, claramente recibimos el mensaje de arriba de que "nadie será decapitado aquí porque involuntariamente causaron un incidente". Es que los delincuentes cada vez son mejores y encuentran los resquicios, eso le puede pasar a cualquiera. 

 

"Los ataques exitosos requieren de un error humano"

Fabian Topp, CISO de Allianz Technology

 

Hablando de posibles escenarios de ataque, ¿para qué estáis particularmente preparados?

Topp: Como dije, desde mi punto de vista, los mayores riesgos surgen de eventos imprevisibles. Por eso es importante para mí haber desarrollado cierta resiliencia. No se sabe dónde sucederá, pero cuando suceda, debemos ser capaces de limitar el impacto.

Kleinfeld: El tema de Business Continuity Management (BCM) ofrece una gran oportunidad aquí: ayuda a concentrarse. Uno se concentra en los procesos comerciales importantes y se orienta en la criticidad. Entonces, los expertos del lado comercial están a bordo de inmediato, también quieren que se ejecuten los procesos comerciales importantes. Esto a veces les atrae más específicamente que la seguridad o la tecnología de la información. Esto ayuda a priorizar su propio trabajo.

Topp: Estoy de acuerdo con eso al 100%, incluso iría más allá: tengo colegas con lo que siempre digo 'síndrome del abogado' que dicen: todo tiene que ser 120% seguro. Pero en algún momento la empresa ya no podría trabajar. Es muy importante priorizar, y BCM es una herramienta muy argumentativa para eso. Puede decirle a su propia gente: tenemos que posicionarnos a lo largo de estos procesos comerciales.

Janßen: Eso no solo es importante para la prevención, sino también para el procesamiento de incidentes. El incidente que más surge y genera más trabajo no es necesariamente en el que hay que centrarse.

Kleinfeld: Por lo general, solo hay muy pocos procesos que sean realmente críticos para el negocio. Centrarse en eso hace la vida mucho más fácil.

 

Las empresas quieren ser rápidas y ágiles, ¿se sigue viendo al CISO como un freno?

Topp: No creo que esto haya sido un problema en Allianz durante mucho tiempo. Esto probablemente también se deba al hecho de que somos un grupo de seguros. La seguridad es nuestro negocio. A menudo incluso ponemos información a disposición de nuestros clientes para que ellos, a su vez, puedan mostrarles lo buenos que son en materia de seguridad. El lema de Allianz es: ‘Aseguramos tu futuro’, eso lo dice todo

Kleinfeld: Creo que debes apegarte a una regla táctica para no ser percibido como un obstáculo. Siempre le digo a mi gente que haga preguntas como "¿Puedo hacer esto?" o "¿Es eso seguro?" básicamente no responda cerrado. Tales preguntas nos colocan en el papel de árbitros, a veces preventivos. Quien nos pregunta de esta manera pretende obtener una respuesta afirmativa. Si ese es el caso, se irá y no tendrá que hacer nada más. Si obtiene un no, puede decir: El CISO y su gente lo prohibieron, es su culpa.

 

"El CIO y el CISO persiguen intereses diferentes"

Florian Jörgens, CISO del Grupo Vorwerk

 

Finalmente, varios estudios muestran que los CISO están sometidos a gran presión. Esto repercute en su carga de trabajo, pero sobre todo en su responsabilidad.

Topp: No necesariamente atribuiría el factor de estrés a la función del CISO. Por supuesto que todos tenemos mucho que hacer, pero siempre hay personas que sienten más estrés que otras. Además, la mayoría de los CISO no tienen que rendir cuentas si algo sucede. Si son miembros de la junta, eso es ciertamente otra cosa.

Kleinfeld: Los incidentes de seguridad ocurren, nunca podemos prevenirlos por completo. Si siente que esta oportunidad es demasiada presión, es posible que no esté en el trabajo adecuado. Es importante mantener la calma en el peor de los casos, porque eventualmente sucederá. Entonces hay que estar bien preparado y actuar con gran objetividad. Para los CISO, también se trata de desarrollar una cultura del error en su propio equipo y generar confianza en sus acciones.

 

Los panelistas Hendrik Janssen es director de tecnología global, seguridad y CISO en Bauer Media Group . Ha estado en el grupo desde 2016, antes de eso trabajó en el departamento de seguridad cibernética de la Bundeswehr. Florian Jörgens es CISO del Grupo Vorwerk desde 2021 . Anteriormente, fue responsable de la seguridad de la información en Lanxess AG, en el mismo puesto. Jörgens también trabaja como profesor, autor y asistente de investigación en varias universidades. Como ISO, Ralf Kleinfeld es responsable de la seguridad de la información en Otto GmbH & Co. KG . Anteriormente trabajó como informático y experto en redes en Otto Group IT y en Metro Systems. Fabian Topp es CISO de Allianz Technology . Tiene la certificación ISO 27001 Lead Implementer, Lead Auditor y CISM y ha vivido y trabajado tanto en EE. UU. como en China. Los cuatro, como Iskro Mollov, CISO de GEA Group, son miembros fundadores del Consejo Asesor de CISO que la publicación CSO Alemania de ha establecido recientemente. El objetivo es crear una plataforma para los CISO en la que se pueda intercambiar información confidencial y establecer redes, tanto a nivel nacional como internacional.