Principales preocupaciones de los CISOs en 2024

Desde Factum, hablamos constantemente con CISOs que nos trasladan sus inquietudes. La figura del CISO se ha convertido en la encargada de asegurar una estrategia de protección integral de la infraestructura digital de grandes compañías.

Miguel Ángel Martínez Cueto, Head of Cybersecurity Technical Office e Information Protection, nos traslada las principales encrucijadas a las que se enfrentarán estos profesionales en este recién estrenado año 2024:

Directiva NIS2‍

La importancia de la figura de un Responsable de Seguridad de la Información (CISO), adquiere especial relevancia con la salida de directivas como NIS2 (plazo máximo para la transposición 17 de Octubre 2024). El alcance, mucho más amplio que el de su antecesora (Directiva NIS), ayuda a mejorar la postura de seguridad de los estados miembros y conlleva un gran reto para las Organizaciones y los Responsables de Seguridad de la Información de estas. El CISO es el encargado de definir una estrategia que sea acorde a las nuevas exigencias, velar por su cumplimiento, cumplir con los nuevos requisitos de notificación y establecer las comunicaciones con las autoridades competentes. Es tal la importancia adquirida, que la nueva directiva refleja la necesidad de involucrar al CISO en las decisiones referentes a la seguridad de la información por parte de los Consejos de Administración y la Dirección. ‍

Protección frente a ransomware

Debido a los grandes avances actuales por la oleada de la Inteligencia Artificial, los ataques son cada vez más sofisticados y no necesariamente requieren de unos grandes conocimientos técnicos. Uno de los principales ataques a los que se enfrentan las Organizaciones y por ende los CISOs, son de tipo Ransomware. En este punto, juega un papel especialmente importante, tener contramedidas que ayuden a mitigar las consecuencias. De forma muy sintetizada, un buen punto de partida de un Plan de Contención frente a Ransomware es:

La evaluación de las tecnologías implantadas en un ejercicio controlado.

Definir los roles y las responsabilidades de los involucrados.

Tener constituido un plan de backups acorde a la criticidad.

Procedimentar los planes de recuperación y ejecutarlos de forma periódica.

Con todo lo anterior, los Responsables de Seguridad serán capaces de identificar los puntos de mejora sobre los que trabajar y ayudará a evitar futuras técnicas de extorsión, cifrado de información y peticiones de rescate. Los ataques y grupos de ransomware han estado en continuo aumento durante 2023 y se prevé que se intensifiquen durante 2024. ‍

Phishing, fraude de identidad y formación/concienciación

La simulación de correos de altos cargos de una compañía (BEC o Fraude del CEO), en su gran mayoría traen consigo ataques de ingeniería social e incluso malware, dando como resultado la consecución de información sensible, pagos por transferencias e incluso la infección de equipos corporativos. La formación y concienciación de los empleados es crucial, al igual que la protección del correo electrónico como uno de los mayores vectores de entrada, un buen control del contenido, adjuntos, enlaces y QRs.

Procesos de monitorización automatizada

Ante la diversidad de tecnologías que confluyen en una misma organización, ser capaz de automatizar las tareas de monitorización es crucial para estar protegidos y ser capaces de actuar en las fases más tempranas de un incidente de ciberseguridad.

Inteligencia Artificial

No incluir un apartado que hable de Inteligencia Artificial como uno de los dilemas a los que se enfrenta actualmente un CISO, sería cuanto menos extraño. La ciberseguridad vista desde el prisma de la IA abre dos importantes vertientes en el panorama actual de un CISO:

IA desde el punto de vista Ofensivo y Defensivo. Por un lado, están las capacidades que ofrece la IA para colaborar en la elaboración de ataques cada vez más complejos (punto de vista ofensivo), motivo que obliga a no perder nunca el foco por parte de los Responsables de Seguridad. Por otro lado, desde el punto de vista defensivo, NIS2 exige promover el uso de IA para la detección y prevención temprana de incidentes. Es cierto, que su uso está muy extendido entre las tecnologías y lógicamente es un añadido, otro tema aparte sería discutir los intereses y si realmente siempre aporta o penaliza.

Modelos de lenguaje LLM. Con los problemas que existen actualmente con la privacidad, no se debe perder la atención a lo que internamente alguien puede consultar a un modelo LLM, ya que no sabemos dónde puede acabar esa información que estamos facilitando (direccionamientos, datos personales...).

Escasez de talento en ciberseguridad

‍Con el crecimiento desmesurado de los ataques y las ciberamenazas, la escasez de talento es un hándicap que sufren las Organizaciones y los responsables de estas. Los requisitos son cada vez más altos y los profesionales actuales no cubren el aluvión que demandan las empresas. Según el Instituto Nacional de Ciberseguridad (INCIBE), la demanda es el 50% superior a los profesionales que buscan empleo en el sector. Esta demanda genera una alta rotación de personal que penaliza en la construcción de equipos formados y robustos.

Tras este análisis, ¿cuál es tu percepción como CISO o empleado de ciberseguridad?

‍

Miguel Ángel Martínez Cueto‍

Head of Cybersecurity Technical Office e Information Protection

Factum