El rol del CISO – Pasado, Presente y Futuro

• ¿Qué hace realmente el CISO? ¿Cuál es el alcance de su autoridad?
• ¿A quién reporta? ¿Qué capacitación y/o certificaciones son requeridas?
• ¿Cómo ha cambiado el rol del CISO en la última década?
• Más importante aún, ¿qué sigue?
• Es decir, en relación a la Seguridad Cibernética, ¿qué sucederá en la próxima década con la gestión correspondiente y el rol en los Estados?
• Para ayudar a responder estas preguntas y muchas más, estoy comentando un informe publicado recientemente (mayo 2010) por la Universidad de Kansas para el Centro de IBM dedicado a los Asuntos del Gobierno. El título es: “Seguridad Cibernética en los Estados: El rol emergente del CISO”.

Pero antes de abordar este tema, quiero demostrar por qué este asunto es tan importante, en este momento. Creo que estamos a punto de entrar en un nuevo período, no sólo para la gestión de la seguridad cibernética y el gobierno de la seguridad en línea, sino también para el gobierno de Internet en su conjunto. El sector privado entiende lo que está en juego. Ud. ¿quiere pruebas de ello?

A medida que el Senado de EE.UU. debate los méritos de la última Ley de Seguridad Cibernética de 2010, la mayoría de la atención se ha centrado en las disposiciones que le dan al Presidente la autoridad que, en el caso de un ataque cibernético capaz de causar enormes daños o pérdida de la vida, decida acerca del sector privado y/o las redes del gobierno. También hay un fuerte debate sobre la intervención del gobierno en relación con la Seguridad Cibernética. Muchos legisladores y expertos en seguridad apoyan esta legislación.

Pero Richard Stiennon, responsable de seguridad, autor de “Sobrevivir a la Ciberguerra”, escribió en Forbes que se trata de un proyecto de ley "muy malo".

Me mantendría alejado de la mayoría de los argumentos esgrimidos por Richard, con la excepción de repetir que estamos hablando de cerca de 2 mil millones (adicionales) de dólares destinados a la seguridad cibernética. ¿Dónde, cuándo y cómo este dinero se aplicará para ayudar a las condiciones de la seguridad y las redes locales de gobierno? ¿Qué resultados tangibles arrojará? ¿Cómo se comandarán y controlarán las tareas a ejecutar ante una emergencia o ante “un evento nacional de significancia”?

Ahora me doy cuenta que no es posible hacer justicia a este tema tan complejo, en un blog. Por eso le pido que lea atentamente el informe emitido por la Universidad de Kansas. Me gustan mucho los estudios de caso de los seis estados. Como ex-miembro del board de la MS-ISAC por muchos años y CISO de Michigan durante casi siete años, creo que el resumen de las responsabilidades, interacciones y logros que figuran para cada estado es útil y proporciona la penetración en los diferentes roles del CISO en los Estados y cómo se diferencian. Conozco personalmente a cinco de los seis líderes de seguridad mencionados, y puedo responder por el hecho de que han construido excelentes programas y estrategias de seguridad.

Pero no escribo esta nota solamente como elogio a mis amigos. Quiero centrarme en lo que vendrá y en las recomendaciones para el futuro (comenzando en la página 30 del informe). Aquí es donde la vinculación se produce con la nueva legislación federal y es aquí donde tengo algunos desacuerdos.
A continuación un breve resumen de las 5 recomendaciones vertidas para con los funcionarios estatales:

1. Deberían aumentar el uso de la colaboración y de las redes.
2. Deberían evaluar sus relaciones formales e informales con los funcionarios federales.
   
3. Deberían dedicar mayor atención para recibir entrenamiento para la solución de problemas multidisciplinarios.
   
4. Deberían recibir formación en competencias de colaboración y en las competencias por las cuales podrían ser reconocidos y compensados.
5. Deberían dedicar mayor atención a la gestión de datos.

Si bien no estoy en desacuerdo con las recomendaciones mencionadas, mi principal preocupación es que ellas son demasiado débiles. En mi opinión personal, esta fue la lista de prioridades para la primera década del siglo 21 (no con carácter urgente por la segunda década). Recuerdo haber discutido una lista similar hace unos cinco años como CISO de Michigan. Esta lista mantiene y/o ajusta el status quo. Es la lista de prioridades que los CISOs más reconocidos ya han aplicado y no las que necesitamos implementar en 2015.

No me malinterpreten, todos los Estados pueden beneficiarse ante la adopción de estas recomendaciones. Pero me parece que actualmente existen tres grupos de Estados;

• El primero hace de la seguridad cibernética una prioridad estratégica la seguridad cibernética a pesar de contar con fondos limitados para lograrlo.
• El segundo no convierte a la seguridad cibernética en una prioridad o no está considerando seriamente la protección de sus empresas gubernamentales, redes y sistemas (o si lo hacen, sus acciones no son ciertamente acorde con sus palabras).
  
• La tercera parece estar "jugando el Hokey-Pokey”, es decir, tienen un pie adentro y un pie afuera (dependiendo de una variedad de factores tales como si ha habido un fallo de seguridad reciente). Cuando el humo se despeja… vuelven a la forma en que estaban.
  

Estas conductas se ponen de manifiesto en varias ocasiones por diferentes niveles de participación en elecciones locales, estatales y federales de organizaciones de seguridad y asociaciones. Todavía están abordando los mismos problemas de hace cinco años o más. Mientras tanto, el DHS, la MS-ISAC, NIST, US-CERT, NASCIO y otros tienen un gran número de políticas documentadas, las mejores prácticas en materia de seguridad, capacitación gratuita, estudios de casos sobre lo que se necesita para tener éxito, y mucho más. Sin embargo, la implementación de estas mejores prácticas sigue siendo inferior en muchos Estados.

Mi temor es que a medida que más CISOs se retiran o abandonan el servicio de gobierno para el sector privado, vamos a seguir empezando de nuevo. Nuestros Estados se enfrentan a una gran transición de las administraciones ejecutivas-estatales a principios del próximo año con 37 gobernadores a reeligir (y muchos gobernadores actuales están bajo plazo limitado). Estos hechos, junto con la legislación que está marchando hacia el Congreso, ofrecerán una oportunidad única para dar forma al paisaje de la seguridad cibernética en los Estados para la próxima década. Tenemos que construir la seguridad cibernética en la cultura del gobierno.

Entonces, ¿qué puedo recomendar? Pensé en cinco recomendaciones diferentes, pero decidí reducirlas a tres recomendaciones.

¿Cuáles son las cosas que podríamos hacer para mejorar la imagen cibernética nacional para los gobiernos estatales y locales de forma duradera? Sí, necesitamos más fondos pero la financiación por sí sola no ayudará a la gobernabilidad sin cambios específicos que conduzcan a resultados viables en una situación de emergencia cibernética.

Por ejemplo; Michigan ha tenido la peor economía y la imagen de financiación de todos los Estados en la última década, y sin embargo, tenemos uno de los mejores programas de seguridad cibernética entre los 50 gobiernos estatales, según lo medido por fuentes externas y acorde los parámetros de la industria. Una gran parte de este éxito fluía de nuestra creación de un sistema centralizado, un "centro de excelencia" para la seguridad en el marco del CISO de Michigan, con autoridad y responsabilidad por obtener resultados concretos y aplicar mejoras continuas.

La tecnología de Michigan y el modelo de seguridad cibernética pueden aplicarse en otros estados, y de hecho muchos de ellos están consolidando su infraestructura, centros de datos, seguridad y mucho más para ganar eficiencia y desarrollar centros de excelencia. Además, la iniciativa de seguridad cibernética nacional enumera los requisitos para las agencias federales con proyectos como Einstein y un número reducido de puntos de acceso a Internet. ¿Por qué no aplicar los mismos proyectos dentro de los gobiernos estatales que son los custodios de los datos federales sensibles?

Previo a detallar mis recomendaciones, quiero que piense en esta pregunta: ¿Qué prueba que el modelo implementado en los gobiernos estatales funciona para hacer frente a otras situaciones de emergencia? ¿Qué pasa si los federales tienen que participar y/o ayudar si la emergencia es mayor? ¿Cuáles son los procesos y procedimientos en esas situaciones así como la necesidad de la asignación de fondos federales y/o adicionales y la asistencia cruzada estatal o federal?
La respuesta es, por supuesto, las funciones de gestión de emergencias en cada uno de nuestros estados. Tenemos un modelo que trabaja para mejorar la comunicación, establecer prioridades, y la respuesta directa en caso de incendios forestales, tornados, huracanes, bombas, ataques químicos, etc. Entonces, ¿qué me sugieres? Tenemos que ampliar ese modelo.

A continuación, mis recomendaciones de seguridad cibernética para los gobiernos estatales para los próximos cinco años:

1. Utilizando como modelo a los Asesores y Coordinadores de Seguridad Nacional, cada gobernador debe crear un CISO con influencia real que pueda trabajar a través de las líneas locales, estatales y federales. Lo más importante, la autoridad de seguridad cibernética tiene que estar en una función centralizada en los Estados bajo el rol del CISO que es reconocido por el gobernador y el poder legislativo. En mi opinión, el gobernador o el gerente general  ciertamente puede designar a alguien más que nombrar a esta persona, como el CISO en Michigan. ¿A quién reporta? ¿Cuál es la autoridad que lo supervisa? ¿Posee la independencia y posición gerencial adecuadas para actuar rápidamente en situaciones de emergencia? Pueden existir divergencias o falta de consenso total ante lo expuesto pero como mínimo debe contar con los enlaces de comunicación necesarios hacia todas las ramas del gobierno.
   
2. Cada Estado tiene que construir un plan de seguridad cibernética global que sigue al modelo de la Iniciativa de Seguridad Cibernética Federal. Las modificaciones estatales serán necesarias, pero la financiación federal debería ponerse a disposición, sin distinción en los silos de financiación tradicionales y direccionar las prioridades de la seguridad cibernética a través de toda la empresa, incluso ayudando, a los gobiernos locales dentro de los estados donde sea posible. Este plan debería incluir temas tradicionales de aplicación de la ley, así como incluir cuestiones de seguridad cibernética dentro del nuevo Estado y los centros locales de fusión.
   
3. Establecer comandos claros y el control de todos los incidentes de seguridad cibernética. Las situaciones de emergencia deben seguir los procesos y procedimientos ordenados en nuestro Sistema de Gestión Nacional de Incidentes (NIMS). Una estructura adecuada de mando y control debe ser establecida a fin de dar respuesta ante una variedad de circunstancias diferentes. Esto permitirá que los esfuerzos locales, estatales y federales se coordinen y escalen de manera apropiada ante situaciones que cruzan la frontera y abarcan otros Estados y/o jurisdicciones. Dentro de los Estados, esta función debe estar centralizada (de la misma forma que la gestión de emergencias emite la respuesta ante una pandemia, tal como; el virus H1N1 o ante emergencias de otra índole, como la nuclear y el transporte).
   

La guía recientemente publicada, la cual se ocupa de acontecimientos cibernéticos de importancia nacional, es un buen comienzo. Una vez más, pensar en el clima y otras situaciones de emergencia, pueden conducir a un gobernador a declarar el estado de emergencia y hasta incluso conducir a una declaración presidencial de zona de desastre.

Debemos adoptar medidas, nuevas y audaces, para mejorar nuestras defensas cibernéticas. Sin embargo, el modelo tradicional de gestión de emergencias puede servir de base para esta acción.

Finalmente, agradezco el esfuerzo que la Universidad de Kansas y el Centro de IBM han dedicado a este tema. Es claramente un excelente material el que cuenta con buenas entrevistas y referencias útiles. Quiero darles las gracias por su trabajo. Me gustaría disfrutar de un mayor diálogo con este equipo y otros en relación con este tema tan importante y el futuro del gobierno de la seguridad cibernética en los Estados.

El informe completo "Cybersecurity Management in the States: The Emerging Role of Chief Information Security Officers" puede ser descargado desde CXO.

Fuente: Dan Lohrmann, CSO Magazine y CXO

Suscríbete a nuestro Boletín