Las actividades de gobierno corporativo, gestión de riesgos y cumplimiento están en constante evolución, generando una gran variedad de información procedente de una amplia gama de fuentes. Esta multiplicidad de datos GRC (Governance, Risk, Compliance) plantea un reto importante a los equipos de seguridad en términos de recopilación y análisis, lo que requiere un enfoque centralizado para facilitar su gestión.
Pero, ¿de qué datos y flujos estamos hablando realmente? ¿Y cómo centralizar estos datos es la respuesta adecuada? Echemos un vistazo a la diversidad de datos y a las ventajas de la centralización para los CISO y sus equipos.
DIVERSIDAD DE DATOS Y FLUJOS QUE CENTRALIZAR
Tipos de datos GRC que deben recopilarse
La complejidad inherente a las actividades de gobernanza, gestión de riesgos y cumplimiento de la normativa genera una gran cantidad de datos. Pero, ¿de dónde proceden exactamente estos datos?
- Políticas de seguridad de la empresa
Requisitos de conformidad, reglamentos aplicables a la empresa y a su sector de actividad, leyes, normas… Todas estas políticas de seguridad son una fuente esencial de datos de GRC. Definen normas y directrices de acceso a los recursos, la gestión de contraseñas y la seguridad de la red.
Los datos resultantes pueden utilizarse para:
- controlar el cumplimiento de las normas de seguridad;
- detectar cualquier discrepancia;
- tomar las medidas necesarias para reforzar la postura de ciberseguridad de la empresa;
- información sobre riesgos
Como sabes, todas las empresas están expuestas a riesgos cibernéticos potenciales en diversos ámbitos: ataques de phishing, vulnerabilidades de software en instalaciones industriales, ransomware, fraude en los pagos, etc.
Estos riesgos pueden estar relacionados con la seguridad de la información, la continuidad de la actividad o el cumplimiento de la normativa, pero también con riesgos operativos, financieros o de reputación. Los datos recogidos en este contexto permiten identificar, evaluar y gestionar estos riesgos de forma proactiva.
- Planes de acción para la gestión de riesgos
Los planes de acción detallan las medidas específicas que deben tomarse para mitigar los riesgos identificados. El control de la seguridad, el plan de continuidad de la actividad (PCA), el plan de recuperación en caso de catástrofe (PRC), los planes de respuesta a incidentes… todos ellos ofrecen directrices claras sobre las medidas que deben tomarse para reducir los riesgos y gestionarlos eficazmente en caso de incidente.
- La información relacionada con el cumplimiento
Los datos de GRC incluyen información relativa a auditorías, verificaciones de conformidad, informes de conformidad, certificaciones y autorizaciones. Garantiza que la empresa cumple sus obligaciones con respecto a los reglamentos y normas aplicables, y proporciona pruebas de cumplimiento en caso de auditoría de seguridad o evaluación externa.
- Indicadores de resultados
Los KPI se utilizan para medir el rendimiento de la seguridadde la empresa y la gestión de riesgos de la empresa. Estas métricas, tanto cuantitativas como cualitativas, se utilizan para supervisar los progresos, identificar las lagunas y facilitar la toma de decisiones.
En función del contexto, estos datos se complementan con datos telemétricos procedentes de soluciones (SIEM, EDR, cortafuegos, etc.) y plataformas en la nube.
¿Cómo se recogen los datos?
Los equipos de seguridad se enfrentan a un reto importante: recopilar y agregar toda la información procedente de estas distintas fuentes para poder procesarla. La recopilación de datos en un entorno tan diverso requiere un enfoque estructurado, que combine métodos manuales y automatizados.
La recogida manual de datos se realiza en colaboración, centralizando las contribuciones de las distintas partes interesadas. Se invita a los contribuyentes a proporcionar los datos necesarios, como métricas, informes de progreso, pruebas, comentarios y exenciones. Esto puede incluir desde la actualización de Microsoft 365 en las estaciones de trabajo hasta la gestión de los derechos de los usuarios y las exenciones para un periodo determinado. Este enfoque permite la participación activa de los agentes implicados y fomenta la colaboración dentro de la organización.
La recogida automatizada de datos se lleva a cabo mediante conexiones entre varias soluciones de seguridad. La información recopilada se transforma en indicadores de rendimiento para evaluar la eficacia de la política de seguridad o identificar hallazgos importantes, como un incidente de seguridad, un incumplimiento o una vulnerabilidad. Además, la interconexión con herramientas como EDR, cortafuegos y soluciones de productividad como Microsoft 365 proporciona información adicional para enriquecer la recopilación de datos.
Combinando estos dos enfoques, los equipos de seguridad pueden afrontar el reto de recopilar datos en un entorno complejo y heterogéneo.
LA IMPORTANCIA DE CENTRALIZAR LOS DATOS
Mejorar la productividad y la eficacia operativa
Como CISO, sabes cuánto tiempo puede llevar buscar y cotejar información dispersa. Sí, los datos están por todas partes, como señala Baptiste David, Product Evangelist de Tenacy, “en todas las soluciones de seguridad operativa, en archivos Excel y en los cerebros de las personas. ”
Usted gasta mucha energía no sólo buscando información, sino también registrándola en diferentes aplicaciones de software o archivos (en el del auditor externo, en el del control interno, o incluso en el de la ANSSI…). Centralizar los datos de GRC elimina esta carga de trabajo adicional.
La información se registra en un único lugar, por lo que no tiene que perder tiempo (re)encontrando los datos que busca. Puede responder más fácil y rápidamente a las preguntas de los auditores (durante los controles de conformidad, por ejemplo), los jefes de proyecto o tu dirección. “Así como un comercial va a su CRM para encontrar información sobre un contacto, un RSSI va a Tenacy para encontrar datos de ciberseguridad. “, concluye Baptiste David.
Esta optimización de tu tiempo es inestimable y te permite desplegar tu energía en otros proyectos de ciberseguridad. Como explica Baptiste David, “Tienes más tiempo para poner en marcha procesos de seguridad que hasta ahora no habías podido llevar a cabo, para concienciar, para pasar más tiempo con tus socios o incluso para mantener más debates cibernéticos con tus directivos.“
Mejorar la seguridad de tus datos
Otra ventaja -y no la menor- es que la centralización de los datos aumenta el nivel de seguridad.
Por ejemplo, los planes de acción. Cuando están centralizados en una plataforma GRC dedicada, la información está disponible, es trazable y la integridad de los datos está garantizada gracias a una gestión rigurosa de los derechos. A diferencia del acceso a un plan de acción escrito en un archivo Excel y almacenado en una carpeta compartida, que no permite rastrear el acceso. Como se habrán dado cuenta, estamos tratando aquí los mismos conceptos que en el análisis de riesgos DICP (disponibilidad, integridad, confidencialidad y prueba).
Sal de tu propia percepción y consigue la visibilidad adecuada
Centralizar los datos de GRC también te ofrece una visión más objetiva de la seguridad de tu empresa y te permite ir más allá de tus creencias. Al reunir datos de múltiples fuentes, se evitan (o al menos se reducen en gran medida) los sesgos subjetivos y las distorsiones.
Para Baptiste David, “conectar y recuperar datos significa dar visibilidad y, por tanto, salir de nuestra propia percepción con métricas reales.” Cuanto más objetiva y global sea tu visibilidad, más puedes profundizar en la comprensión del rendimiento en ciberseguridad de tu organización.
Mejorar la coherencia y facilitar la toma de decisiones
Al centralizar los indicadores, tu capacidad de análisis se multiplica por diez, lo que facilita la toma de decisiones y las hace más informadas.
Baptiste David insiste en la noción de coherencia de los datos: “Como todos los datos están en el mismo sitio, podemos vincularlos, lo que permite lograr coherencia. No se trata sólo de tener un buen cuadro de mandos con todos los datos, sino también de vincularlos entre sí. Por ejemplo, vincular un nivel de riesgo con un plan de acción, vincular la entrada de datos con su cumplimiento, vincular un índice de concienciación con todas las políticas de seguridad… ”
Al centralizar los datos en una plataforma CRM, no sólo se integran, sino que también se modelizan, para darles todo su valor.
La última palabra
Centralizar los datos de GRC es indispensable para gestionar eficazmente tu ciberseguridad: ahorro de tiempo, seguridad de los datos, visión global basada en la consolidación de datos… Todos estos elementos clave te permiten gestionar y actuar con rapidez y eficacia sobre el rendimiento de la ciberseguridad de tu empresa.