Equifax CISO Jamil Farshchi: Creación de confianza, formación de asociaciones críticas para la seguridad
Frente a un aumento masivo de las amenazas cibernéticas, los directores de seguridad de la información pueden tomar un papel más activo para ayudar a sus organizaciones a gestionar el riesgo en todas las empresas. Una mayor colaboración entre los sectores público y privado es esencial para construir defensas cibernéticas y fortalecer la resiliencia de la economía
La seguridad se ha convertido en un área de alto riesgo para las organizaciones, tanto que toca prácticamente todos los aspectos de la rentabilidad, dice Jamil Farshchi, director de seguridad de la información (CISO) de Equifax, una empresa global de datos, análisis y tecnología. “Una buena seguridad es buena para el resultado final”, dice Farshchi. “Impacta a cada línea de P&L de una empresa”.
Como tal, entender los aspectos técnicos de la seguridad no se ha convertido en más que una competencia de referencia para los CISO en el entorno actual, dice. “Saber cómo promulgar controles de seguridad eficaces es algo importante para cualquier CISO”.
En cambio, Farshchi dice que los líderes de seguridad de C-suite necesitan una comprensión más amplia del negocio y una capacidad para proporcionar liderazgo en toda una empresa. “Es importante que los CISO tengan la capacidad y la autoridad para impulsar el cambio en toda la empresa. Si solo el equipo de seguridad se hace la seguridad, es probable que la organización no alcance sus objetivos”.
Además, los CISO necesitan fuertes habilidades de comunicación que les permitan educar e influir en las personas a través de una gama de partes interesadas técnicas y no técnicas, en particular en la participación con la junta directiva, observa Farshchi. Recientemente discutió su papel en Equifax y su visión para el futuro de la ciberseguridad con Upen Sachdev, director de Deloitte Risk & Financial Advisory, Deloitte & Touche LLP. A continuación se presenta un resumen de su discusión, editado para mayor brevedad y claridad.
Sachdev: ¿Cómo cambió la pandemia la forma en que los CISO abordan y mitigan el riesgo cibernético?
Farshchi: Las amenazas que hemos visto durante la pandemia, como el malware y el phishing, son el tipo de riesgos que tratamos continuamente. Lo nuevo es la magnitud y la superficie de ataque provocadas por un mayor número de sistemas que ya no están protegidos detrás de las defensas de la red corporativa. Con la migración masiva al trabajo remoto, las empresas de todo el mundo vieron aumentar los niveles de amenaza prácticamente de la noche a la mañana. Los CISO pueden enfatizar la preparación y construir resiliencia en la organización para que adaptarse y responder a los riesgos cambiantes se convierta en memoria muscular.
Para ser eficaces, los CISO deben ser capaces de asumir desafíos inesperados como si fueran eventos cotidianos. No es realista identificar y anticipar cada amenaza plausible y ejercer todos los controles posibles para mitigarlas. Esa es la razón por la que debemos centrarnos en la resiliencia y la memoria muscular, para que podamos ser adaptables cuando surjan desafíos.
¿Qué riesgos son críticos para que los CISO aborden en 2021?
La seguridad de la cadena de suministro está en primer plano este año después de eventos de alto perfil en 2020. Muchas organizaciones han luchado con el riesgo de seguridad de la cadena de suministro, a menudo dándole solo atención superficial. Los CISO necesitan entender quiénes son los proveedores de su organización, qué hacen, qué exposición al riesgo está asociada con ellos y qué se puede hacer para manejar esas amenazas de manera holística.
El riesgo en la nube es otra prioridad. Nuestra iniciativa de control en la nube nos permite proporcionar a cientos de nuestros clientes una nueva capa de seguridad. La iniciativa aumenta la visibilidad de los controles que tenemos en marcha y su respectiva eficacia en la protección de nuestros productos y servicios de acuerdo con los estándares que nuestros clientes exigen. Estamos liderando con el ejemplo al aportar visibilidad en tiempo real a nuestro propio entorno de control y compartir esa opinión con nuestros clientes, para que puedan evaluarnos de la misma manera que quisiéramos evaluar a nuestros proveedores.
¿Cómo pueden los CISO abordar los riesgos cibernéticos existentes y nuevos en el próximo año?
La mayoría de las infracciones no ocurren a través de ataques altamente avanzados, sino porque faltan controles básicos. Esta es la razón por la que los fundamentos son tan importantes: gestión de parches, visibilidad de activos, detección y respuesta, y una gobernanza sólida. Las organizaciones con dominio sobre los fundamentos están mejor posicionadas para reducir el riesgo asociado con muchas de las amenazas cibernéticas de hoy en día.
Pero incluso con fundamentos sólidos, cualquier organización puede ser violada, por lo que las asociaciones también son críticas para la supervivencia en el panorama de amenazas actual. Un determinado estado-nación puede desplegar recursos significativos, lo que dificulta que las organizaciones individuales se defiendan eficazmente de forma aislada. Necesitamos unirnos y trabajar de una manera unificada para mantenernos por delante de algunos de los mayores adversarios que continuamente invierten tiempo y recursos para violar los sistemas. Ganamos con una defensa colectiva.
¿Cómo pueden los sectores público y privado trabajar juntos para abordar los riesgos cibernéticos?
Las empresas tienen una enorme cantidad de conocimientos y capacidades que los gobiernos pueden aprovechar, y los gobiernos pueden desempeñar un papel importante en ayudar a construir programas para desarrollar la infraestructura cibernética y el talento.
En primer lugar, necesitamos más interacción entre los líderes de los sectores público y privado para construir un camino a seguir. Mi equipo y yo hemos hecho de una prioridad mejorar nuestra colaboración con socios comerciales y gubernamentales y convertirnos en defensores de una ciberseguridad más fuerte.
Necesitamos trabajar juntos para compartir información, mejores prácticas e inteligencia de amenazas para ayudar a prevenir ataques. Por ejemplo, el Congreso puede establecer un mecanismo mediante el cual el gobierno federal comparta con el sector privado, en la medida de lo posible, información, información, conocimientos y otros datos relevantes clasificados sobre amenazas cibernéticas y no clasificados.
Como socios del negocio, ¿cómo pueden los CISO ayudar a preparar a sus empresas para enfrentar los desafíos de ciberseguridad?
Las empresas necesitan dar a la seguridad un nivel de autoridad y visibilidad para gestionar el riesgo en toda la empresa. Para impulsar decisiones eficaces sobre el riesgo, la ciberseguridad debe ser parte de la decisión, no un punto de control después del hecho.
Los equipos de seguridad pueden proporcionar un mayor valor participando temprano en iniciativas y pensando de manera más amplia y holística sobre cómo gestionar el riesgo. Tradicionalmente, los equipos de seguridad se han centrado en asociarse con equipos de TI que implementan nuevas tecnologías, pero otras áreas tienen implicaciones importantes para el riesgo. Por ejemplo, en Equifax, el equipo de seguridad trabaja con finanzas y operaciones en proyectos de capital y cadenas de suministro; con desarrollo corporativo en diligencia e integración debidas de adquisiciones; con relaciones con inversores en esfuerzos ambientales, sociales y de gobernanza; y con Recursos Humanos en desarrollo de talento. En última instancia, el éxito depende completamente de la integración multifuncional y la asociación entre todas las facetas del negocio, de arriba a abajo.
¿Qué papel desempeña un CISO eficaz en el asesoramiento a la junta?
Las juntas suelen entender que la seguridad es importante, pero no están seguras sobre las cuestiones fundamentales de seguridad y cómo se relacionan con otros riesgos comerciales. Para agravar ese desafío, los líderes de seguridad a menudo utilizan demasiada jerga técnica.
Como CISO, mi papel es dar a la junta información sobre el riesgo. Si bien mi área de responsabilidad es específicamente la ciberseguridad, debo comunicarles seguridad en el contexto del riesgo para el negocio. Esa perspectiva arma a la junta con la información que necesitan para cumplir con sus responsabilidades: gobernanza y supervisión. Por ejemplo, proporcionamos regularmente a la junta medidas de salud de seguridad interna, pero enmarcamos las métricas a través de varias perspectivas de riesgo: cliente, inversor, producto y servicio, crecimiento, competidor y regulatorio.
“Para impulsar decisiones eficaces sobre el riesgo, la ciberseguridad debe ser parte de la decisión, no un punto de control después del hecho”.—Jamil Farshchi, CISO, Equifax
Con estos conocimientos, la junta puede rastrear nuestro rendimiento y comparar nuestro programa con otros. Mirar la ciberseguridad a través de esta lente ayuda a enseñar e informar, lo que en última instancia conduce a las mejores decisiones de riesgo posibles.
¿Qué medidas o marco está utilizando cuando habla con la junta sobre ciberseguridad y rendimiento?
Utilizamos una variedad de medidas internas, para clientes e inversores, que se incorporan en un conjunto de herramientas que utilizo para comunicar eficazmente nuestros riesgos y prioridades. Mi objetivo es presentar una visión cohesiva de nuestro programa de seguridad, utilizando datos concretos para demostrar el progreso e impulsar la rendición de cuentas.
El kit de herramientas incluye métricas para nuestros controles, que están alineados con el Marco de Ciberseguridad y el Marco de Privacidad del NIST (Instituto Nacional de Estándares y Tecnología), y ofrece una visualización clara de los riesgos de nuestra organización. El kit de herramientas también proporciona información sobre nuestras iniciativas en curso y análisis de cómo podría haber ido a la organización contra los recientes ciberataques a otras empresas. Cada parte del kit de herramientas representa una pieza de la estrategia que hemos utilizado para construir una función de seguridad de élite para defenderse contra amenazas futuras.
A finales de 2021, ¿qué te hará sentir como si hubieras logrado tus objetivos de ciberseguridad?
La cosa número uno que me hará sentir que he logrado mis objetivos será nuestra gente. ¿Teníamos la cultura correcta en su lugar? ¿Creamos una sólida cartera de talento y tuvimos programas de desarrollo eficaces? La clave es que una buena seguridad requiere tener un equipo fuerte.
Además de eso, tenemos un número significativo de objetivos cuantitativos centrados en la cadena de suministro, la nube, las fusiones y adquisiciones y otras áreas. En última instancia, la seguridad se trata de gestionar el riesgo para el negocio. ¿Identificamos, articulamos y abordamos efectivamente esos riesgos de acuerdo con los niveles de tolerancia de nuestra empresa? Este es un objetivo crítico que debemos lograr.
¿Cuál es su perspectiva sobre el futuro del rol de CISO?
Los puestos de CISO se alejarán cada vez más de los roles técnicos y funcionales hacia roles de liderazgo empresarial centrados en la creación de confianza. El aumento de la digitalización acelera la necesidad de abordar cuestiones como la privacidad, el fraude y la sostenibilidad. La confianza sustenta fundamentalmente todas las facetas de esta evolución, por lo que la seguridad debe estar al frente y al centro forjando este camino para la empresa.
Seguiremos viendo una elevación del papel y las responsabilidades de la CISO. Hace unas décadas, cuando empecé mi carrera, el rol de CISO era de bits y bytes cuadrados, con las manos en el teclado. En el futuro, el papel será central para el crecimiento del negocio. El papel de CISO evolucionará de la sala de calderas técnicas a la sala de juntas ejecutivas.
—por Tammy Whitehouse, escritor senior, Deloitte Insights para ejecutivos con responsabilidades de supervisión de la gestión de riesgos, Deloitte Services LP
Nota del editor: Este artículo es parte de una serie continua de entrevistas con CISO y otros ejecutivos. El Sr. La participación de Farshchi en este artículo es únicamente para fines educativos basados en su conocimiento del tema, y las opiniones expresadas por él son exclusivamente suyas. Este artículo no debe considerarse o interpretarse con el propósito de solicitar negocios para Equifax, ni Deloitte aboga o respalda los servicios o productos que proporciona.
Fuente. https://deloitte.wsj.com/riskandcompliance/2021/03/08/equifax-ciso-jamil-farshchi-building-trust-forming-partnerships-critical-to-security/?mod=Deloitte_riskcompliance_wsjsf_h3
