En las últimas semanas se ha hecho pública la búsqueda por parte de Sony de un “nuevo” Gerente de Respuesta a Incidentes, luego de haberse conocido el incidente de seguridad en Sony Pictures, el cual se presentó mientras cargo de CISO estaba vacante.
El CISO saliente fue contratado en 2011 luego del incidente de la PlayStationNetwork (PSN), 3 años después el puesto quedó vacante, aunque los incidentes siguen presentes y recurrentes.
En resumen, con nuevo Gerente de Respuesta a Incidentes y en búsqueda de un nuevo CISO, el problema que se presenta pareciera algo más allá de lo técnico.
Volviendo al incidente de la PSN allá por 2011, podemos decir que se gestionó con una serie de falencias metodológicas, éticas y de compliance -además de las críticas por parte de usuarios y la opinión pública. El Management, a través de su representante, se presentó en el Senado de Estados Unidos con el “Plan de Acción” que surgió de las “Lecciones Aprendidas” del caso mencionado.
Allí mencionaban la incorporación de un CISO, que hasta el momento no tenían, y la preparación de un equipo de respuesta a incidentes, ya que tuvieron que recurrir a servicios externos en pleno incidente. Esto se dio en el marco de otras acciones que en principio muchos creíamos ya existentes, ya sea porque Sony debía cumplir el estándar PCI-DSS, además de por su envergadura como empresa. De cara a los usuarios, 2 juegos gratis.
Tres años después, los incidentes continúan: los datos de los usuarios se siguen robando, el puesto de CISO se encuentra vacante y están estrenando Gerente de Respuesta a Incidentes. Claramente algo no anda bien aquí.
Leyendo el excelente artículo de Camilo Gutierrez Amaya sobre los 10 retos del “nuevo” Gerente y habiendo compartido el panorama antes mencionado, considero que los “retos” son mucho más desafiantes y complejos.
El “nuevo” Gerente se suma a una empresa que viene sufriendo incidentes recurrentes, cada vez con mayor gravedad, pero que parece no reaccionar. Desde aquel plan de acción básico presentado en 2011 hasta el día de hoy, los tomadores de decisión parece que no han entendido que son los máximos responsables de la seguridad de la empresa.
Porque así como lo describen estándares internacionales como el ISO 9001 o ISO 27001, la Dirección es la máxima responsable de la Calidad/Seguridad y todo lo que ello implica (definición de objetivos, gestión de riesgos, asignación de recursos, capacitación, mejora continua, y demás). Por lo tanto, este “nuevo” Gerente debería invertir esfuerzo en la influencia de estos líderes para que consideren a la ciberseguridad una prioridad.
Debería invertir esfuerzo en que los líderes de la compañía apliquen principios básicos de la gestión de la seguridad y las empresas como el “due diligence” y “due care”. Además de realizar el “advisor” para que entiendan la importancia de cumplir las regulaciones que impactan su operación, como por ejemplo PCI-DSS (y que exigen mucho de lo que se ha presentado como mejora en 2011).
En definitiva, el “nuevo” Gerente formará parte de un ecosistema inmaduro respecto a la ciberseguridad, buenas prácticas en materia de riesgos, compliance y gobierno de la seguridad. Sin CISO y con antecedentes graves que han tenido un importante impacto público. Más allá de su rol y las responsabilidades asociadas a ello, el verdadero reto es que los líderes de Sony tomen en serio de una vez por todas y de ahora en más a la ciberseguridad.
Quizás parezca algo muy ambicioso para una única persona, y es cierto, pero con los antecedentes y con la rotación que presentan en las posiciones asociadas a ciberseguridad, también podría considerarse una oportunidad para cambiar definitivamente la imagen de la compañía, siendo este el activo intangible más valioso. Y de eso el management no tiene dudas nunca.
El resto, es decir, usuarios, clientes, empleados, organismos de control y opinión pública, debería estar atento al cumplimiento de los objetivos y cambios que requiere la empresa a todo nivel (personas, procesos, tecnología, cultura), para que Sony vuelva a las páginas de entretenimiento y deje las portadas de los periódicos por nuevos incidentes de seguridad.
Entre toda la comunidad, podríamos ayudar a ese “nuevo” Gerente, para que sus retos no parezcan utopías, sino lo requerido para cumplir las exigencias de todos en materia de ciberseguridad.
Mariano M. Del Río
#cybersecurity and #compliance services | SecureTech
@mmdelrio | @securetech_arg
Las opiniones expresadas en este artículo son de exclusiva responsabilidad del autor en carácter de invitado y no necesariamente representan la opinión de ESET.