Evolución de la gestión de la exposición
La mayoría de los equipos de seguridad entienden las cosas importantes en su entorno. Lo que es difícil de fijar es ser crítico con los negocios. Estos son activos que admiten procesos que su empresa no puede funcionar. No siempre son los más fuertes o más expuestos. Están vinculados a ingresos, operaciones y entrega. Si se reduce, es más que un problema de seguridad: es un problema comercial.
Después de publicar un enfoque de cuatro pasos para el mapeo y la seguridad de los activos críticos de negocios durante el año pasado, mi equipo y yo hemos tenido la oportunidad de participar profundamente en numerosos talleres de clientes en múltiples industrias, incluidas las finanzas, la fabricación y la energía. Estas sesiones revelan ideas valiosas sobre cómo las organizaciones están evolucionando sus actitudes de seguridad.
Este artículo actualizará ese enfoque, incorporará lo que aprende en el camino y ayudará a las organizaciones a alinear sus estrategias de gestión de exposición con las prioridades comerciales. Lo que comenzó como un enfoque teórico de cuatro etapas ha madurado en una metodología probada con resultados medibles. Las organizaciones que implementan este marco informan ganancias de eficiencia sorprendentes. Puede mejorar simultáneamente la postura de seguridad, lo cual es lo más importante, al tiempo que reduce los esfuerzos de remediación en hasta un 96%.
El compromiso entre CISO, directores de seguridad y cada vez más CFO y ejecutivos revela patrones consistentes en toda la industria. En lugar de identificar vulnerabilidades, los equipos de seguridad luchan para determinar qué plantea riesgos comerciales reales. Mientras tanto, los líderes empresariales se aseguran de que las inversiones de seguridad protejan lo que más importa, pero a menudo carecen de un marco para comunicar de manera efectiva estas prioridades a los equipos técnicos.
Metodología Los métodos que refinamos cerrar esta brecha y crear un lenguaje común entre los profesionales de la seguridad y las partes interesadas comerciales. Las siguientes lecciones destilan lo que aprendimos al implementar este enfoque en diversos contextos organizacionales. Representan no solo las mejores prácticas teóricas, sino también ideas prácticas obtenidas de aplicaciones exitosas del mundo real.
Lección 1: No todos los activos se crean por igual
Lo que descubrimos: la mayoría de los equipos de seguridad pueden identificar lo que es técnicamente importante, pero tienen dificultades para decidir qué es crítico para el negocio. La diferencia es importante: los activos críticos de negocios admiten directamente la generación de ingresos, la operación y la prestación de servicios.
Punto clave: si se compromete, enfoque sus recursos de seguridad en sistemas que causan interrupciones comerciales reales en lugar de solo problemas técnicos. Las organizaciones que implementaron este enfoque dirigido redujeron sus esfuerzos de remediación hasta en un 96%.
Lección 2: El contexto comercial lo cambia todo
Lo que descubrimos: los equipos de seguridad se están ahogando en señales: escaneos de vulnerabilidad, puntajes CVSS y alertas de toda la pila de tecnología. Sin un contexto comercial, estas señales no tienen sentido. Las vulnerabilidades «críticas» de los sistemas no utilizados son menos importantes que los sistemas «medios» en la plataforma de generación de ingresos.
Punto clave: integrar contextos comerciales en la priorización de seguridad. Si sabe qué sistemas admiten funciones comerciales principales, puede tomar decisiones basadas en el impacto real y la gravedad técnica.
Lección 3: Método de cuatro etapas funciona
Lo que descubrimos: las organizaciones necesitan un enfoque estructurado para vincular los esfuerzos de seguridad con las prioridades comerciales. Nuestra metodología de cuatro etapas ha demostrado ser efectiva en una variedad de industrias.
Identificar procesos comerciales importantes
Takeout: comience por cómo su empresa gana y gasta dinero. No necesita mapear todo, solo un proceso que causa una gran confusión si se interrumpe.
Asigna el proceso a la tecnología
Takeout: determine qué sistemas, bases de datos, credenciales e infraestructura y apoyen esos procesos críticos. No se requiere un mapeo perfecto, pretende ser «lo suficientemente bueno» para guiar sus decisiones.
Priorizar según el riesgo comercial
Takeout: Centrarse en los puntos de estrangulamiento: los atacantes del sistema podrían pasar para alcanzar activos críticos para el negocio. Estas no siempre son las vulnerabilidades más graves, pero arreglarlas le dará el mejor rendimiento del esfuerzo.
Actúa donde importa
Takeout: Repare exposiciones que crean primero una ruta hacia su sistema comercial. Este enfoque dirigido hace que el trabajo de seguridad sea más eficiente y más fácil de justificar el liderazgo.
Lección 4: los CFO se están convirtiendo en partes interesadas de seguridad
Lo que descubrimos: los líderes financieros están cada vez más involucrados en las decisiones de ciberseguridad. Como nos dijo un director de ciberseguridad, «Nuestros CFO quieren saber cómo ven los riesgos de ciberseguridad desde una perspectiva comercial».
Puntos clave: enmarcar la seguridad desde una perspectiva de gestión de riesgos comerciales para obtener el apoyo del liderazgo financiero. Este enfoque ha demostrado ser esencial para fomentar iniciativas y garantizar el presupuesto necesario.
Lección 5: Clarity Beats Data Volume
Lo que descubrimos: los equipos de seguridad no necesitan más información: necesitan un mejor contexto para comprender lo que ya tienen.
Punto clave: cuando el trabajo de seguridad se puede conectar a los resultados comerciales, la conversación con el liderazgo cambiará fundamentalmente. Ya no se trata de indicadores técnicos, se trata de protección comercial y continuidad.
Lección 6: La efectividad surge del enfoque
Lo que encontramos: las organizaciones que implementan un enfoque que está en línea con nuestro negocio reportó mejoras dramáticas de eficiencia, con algunos esfuerzos de remediación en hasta un 96%.
Importante comida para llevar: la excelencia en la seguridad no es algo para hacer más: es algo para hacer lo que es importante. Al centrarse en los activos que impulsan su negocio, puede lograr mejores resultados de seguridad con menos recursos y demostrar un valor claro para su organización.
Conclusión
Un viaje hacia la seguridad efectiva no se trata de garantizar todo, sino de proteger lo que realmente impulsa su negocio. Alinee los esfuerzos de seguridad con las prioridades comerciales, lo que permite a las organizaciones lograr una protección más fuerte y operaciones más eficientes. Esto es para traducir la seguridad de las capacidades técnicas a los habilitadores de negocios estratégicos. ¿Quiere obtener más información sobre esta metodología? Echa un vistazo a mis seminarios web recientes aquí para aprender a comenzar a proteger las cosas más importantes.
Lista de verificación de bonificación:
Comience: cómo proteger sus activos comerciales
Paso 1: Identifique sus importantes procesos comerciales
□ Programe discusiones centradas con los líderes de la unidad de negocios para identificar el proceso que genera ingresos centrales
□ Vea cómo su empresa gana dinero y lleva a la superficie de las operaciones de alto valor
□ Crear una breve lista de procesos comerciales que causen una interrupción significativa si se interrumpe
□ Documente estos procesos explican y documentan claramente la importancia de su negocio
Paso 2: Mapa de procesos comerciales a la tecnología
□ Identificar sistemas de soporte, bases de datos e infraestructura para cada proceso crítico
□ Documento qué calificaciones administrativas y puntos de acceso protegen estos sistemas
□ Consulte al propietario del sistema sobre dependencias y requisitos de recuperación
□ Compilar los resultados de CMDB, documentación de arquitectura o entrevistas directas
Paso 3: Priorizar según el riesgo comercial
□ Es probable que los atacantes que identifican puntos de estrangulamiento pasen para alcanzar activos críticos
□ Evaluar qué exposiciones crean una ruta directa a su sistema comercial
□ Determine qué sistema tiene el SLA o la ventana de recuperación más ajustada
□ Crear una lista de exposiciones priorizadas basadas no solo en la gravedad técnica sino también del impacto comercial
Paso 4: convierte las ideas en acción
□ Esfuerzos para centrarse en la exposición que afecta directamente a los sistemas comerciales
□ Desarrolle comunicaciones claras sobre por qué estas prioridades son importantes en términos comerciales
□ Seguimiento del progreso basado en un riesgo reducido para las funciones comerciales centrales
□ Extraiga resultados para el liderazgo no solo de los indicadores técnicos sino también desde una perspectiva de protección empresarial
Como se destaca en las lecciones 4 y 5, cerrar la brecha entre los hallazgos técnicos y el liderazgo ejecutivo es una de las habilidades más importantes para los CISO modernos. Para aprender este diálogo esencial, ahora ofrecemos nuestro curso práctico, «Informes de riesgo», completamente gratuito. El programa está diseñado para proporcionar el marco y el lenguaje necesarios para transformar las conversaciones con la Junta y para presentar con confianza la seguridad como una función comercial estratégica. Acceda a nuestros cursos gratuitos ahora y comience a construir relaciones más fuertes con su equipo de liderazgo.
Nota: Este artículo fue escrito hábilmente por Yaron Mazor, el asesor principal de clientes en XM Cyber.
Source link
