Autor: Rafeeq Rehman
(*) Traducción del post del Blog Personal de Rafeeq Rehman – Reproducción autorizada en CIBERPRISMA por Rafeeq Rehman

La mayoría de las personas que no pertenecen al mundo de la Ciberseguridad no suelen comprender o valorar la complejidad de la tarea que llevan a cabo los los profesionales encargados de la Seguridad de la Información. Desde hace casi una década publico y actualizo este mapa mental, no sólo como una herramienta efectiva de concientización y capacitación, sino para que los profesionales del sector puedan diseñar y reajustar sus propios programas de seguridad.

A continuación les presento la última versión actualizada a 2021 del CISO MINDMAP (Mapa Conceptual de las Funciones del Chief Information Security Officer o Responsable de la Seguridad de la Información) que incorpora mejoras y nuevas recomendaciones para el período 2021-2022.

CISO MINDMAP 2021

En este enlace pueden acceder al Contenido original de Rafeeq Rehman y descargar la versión pdf para imprimir del CISO MINDMAP 2021.-

¿Qué se modificó?

Las responsabilidades de los profesionales de seguridad no sólo registran un aumento continuo, sino que los CISO se encuentran la mayoría de las veces en medio de más situaciones de las que les gustaría estar. ¿A qué se debe esto? Al avance cada vez más acelerado de las tecnologías que generan nuevas formas de hacer negocios, a la adopción continua de los servicios en la Nube y al empleo en franca expansión del Machine Learning (y de la Inteligencia Artificial en sentido amplio). Esto lleva a que se exija a los profesionales de seguridad de la información no solamente conocer todos estos avances sino también diseñar políticas y recomendaciones de seguridad para todas estas tecnologías. Esa es la razón por la que cada año debo agregar nuevos temas en el CISO MINDMAP. Este año incluso tuve que mover/reorganizar unos pocos elementos en secciones que parecían más apropiadas. De esta manera, espero que el siguiente código de colores empleado contribuya a facilitar la comprensión de los cambios introducidos:

  • Elementos en Color Rojo son nuevos, no existían el año anterior.
  • Elementos en Color Azul no son nuevos, son elementos anteriores que fueron reorganizados en una sección diferente del Mapa Conceptual.

Recomendaciones 2021-2022

Sé perfectamente que ya han recibido una cantidad considerable de recomendaciones de sus proveedores, analistas de la industria y expertos, además de otros «eruditos». También saben que muchas de esas recomendaciones pueden estar influenciadas por intereses y/o sesgos de distinto tipo. Yo realizo mis propias recomendaciones como profesional cada año y trato de ser objetivo, de evitar las exageraciones publicitarias, y enfocarme exclusivamente en lo que arrojan los datos y la investigación. Sin embargo, sigue siendo mi propia interpretación de los datos y hechos y es posible que contenga mis propios sesgos no intencionados incluso con toda la objetividad y el enfoque basado en evidencia ( a esta altura algunos de ustedes pueden imaginarse que no soy una máquina, a pesar que Age of Spiritual Machines (La Era de las Máquinas Espirituales) es una predicción de larga data y se avecina en el horizonte). En lo que a mí respecta, la parte más difícil de hacer estas recomendaciones es seleccionar las menos posibles. La lista que copio a continuación es más extensa que lo que hubiera deseado pero espero que les genere algunos pocos disparadores.

  1. Re-evaluar sus defensas contra el ransomware, efectuar un análisis del impacto comercial, especialmente en relación a aquellas áreas donde las consecuencias del ransomware puedan afectar el mundo físico y la seguridad humana.
  2. Reducir/consolidar las herramientas y/o tecnologías de seguridad y los proveedores (algunas veces menos es más)
  3. Monitorear las des-configuraciones de los servicios en la Nube en tiempo real y a la velocidad de las máquinas.
  4. Adoptar estrategias de red sin límites (SASE, ZERO TRUST, y/o cualquiera sea la forma en que deseen llamarla)
  5. Piensen en una estrategia SOC cooperativa/colaborativa
  6. Capaciten al personal en temas comerciales, modelos Machine Learning, adiestramiento de modelos, redes de servicios (service mesh), contenedores (virtualización), DevSecOps.
  7. Planificar para la eventualidad que el gobierno corte el acceso a un software crítico o a un proveedor de servicio debido a cuestiones de seguridad nacional o a ataques a la cadena de suministro.

La recomendación número 5 es una consideración de largo plazo y. en realidad no es una idea nueva o sorprendente. Sin embargo, es un tema para considerar seriamente en aras de alcanzar la sustentabilidad y reducir parte de la locura que existe en las operaciones de seguridad. Si no coinciden, me encantaría conocer sus opiniones y argumentos al respecto.

¿Cómo emplear el mapa mental del CISO?

De manera continua recibo mensajes sobre las diferentes formas en que las personas emplean el CISO MINDMAP. Con el paso de los años se ha convertido en una excelente herramienta para muchos de mis seguidores, por lo que aprecio sus feedbacks y elogios. A continuación listo algunos de las formas en que puede serles útil este Mapa Conceptual:

  • ¿Le han preguntado que hace excactamente como profesional de seguridad de la información? Bien, esta es una manera de responder la pregunta y explicar sus tareas al resto de las personas. Algunos me han dicho que este Mapa Conceptual les resulta de mucha utilidad cuando deben explicar la función del CISO a una audiencia comercial o empresaria.
  • Un marco de referencia para conducir un debate
  • el Instituto SANS lo emplea como parte del Poster de Liderazgo en Seguridad.
  • Para diseñar y ajustar los programas de seguridad.
  • Algunos fabricantes/proveedores utilizan el mapa como referencia
  • Discusiones del grupo de trabajo del CISO y/o reuniones de la comunidad
  • Podría ser una gran pérdida de tiempo si no tienen nada que hacer un viernes por la noche, pero tienen la opción de preguntarse «¿por qué alguien haría eso?

Obviamente hay mucha información en este Mapa Conceptual. El estrés de los profesionales sobre quienes recae esa responsabilidad es real. Al menos, esta herramienta puede contribuir a los líderes de una organización reconozcan ese estrés y hagan algo para intentar reducirlo. Hablé sobre este tema (el estrés) en mi último libro  Cybersecurity Arm Wrestling: Winning the perpetual fight against crime by building a modern Security Operations Center (SOC) también.

Me encantará conocer su opinión sobre esta actualización!