Un día en la vida del CISO

Sígueme


 


 



Presentamos a Jane – Chief Information Security Officer


Soy Jane, Directora de Seguridad de la Información (Chief Information Security Officer, CISO, en sus siglas en inglés) recién contratada. Cada mes hablaré de mi trabajo, de los máximos, de los mínimos y de los sistemas de información que manejo. Y cómo todo esto ayuda a mantener a mi empresa segura, así como a crecer en mi carrera.


 


Jane, Chief Information Security Officer

Threat Hunting: el enfoque proactivo de Capgemini contra los ciberataques

Blog de enero

Incluso cuando he implementado controles y herramientas eficaces de seguridad, ¿debo asumir que tengo un nivel de 100% de seguridad? ¿Estoy protegiendo datos que ya han sido comprometidos?

Antes de dejar mi cargo anterior, puse en servicio Threat Hunting de Capgemini. ¿Por qué? Un sentido de responsabilidad. Quería asegurarme de no dejar atrás ninguna amenaza o información oculta que ya estuviera comprometida. Los ataques cibernéticos son un asunto serio. Y la protección de los registros de clientes fue una de las prioridades de nuestra agenda.
 
Yo era CISO. Teníamos centenares de clientes, y era extremadamente difícil detectar amenazas internamente y estábamos a menudo demasiado atrasados. Ya había puesto algunas medidas, pero seguía preocupada. Quería asegurarme de que un ataque cibernético podría perjudicar a muchos de nuestros clientes personal y materialmente. Podría crear un agujero en nuestra rentabilidad futura, también. ¡Sin mencionar el daño a nuestra reputación!
 
Los ataques cibernéticos eran cada vez más sofisticados y más frecuentes. Grandes nombres como Yahoo y Tesco Bank estaban siendo atacados. Mi inminente salida de la compañía tampoco ayudó.
 
Así que me reuní con un consultor de Capgemini. Quería saber más acerca de su su servicio de búsqueda de amenazas, del que había oído hablar mientras implementaban nuestro Centro de Operaciones de Seguridad (SOC), Identidad y Acceso como Servicio (IDaaS).
 
Me dijo que el servicio consistía en unificar el análisis humano con el procesamiento automático de datos de amenazas. Mientras que los SOCs buscan el movimiento lateral y la exfiltración de datos, Threat Hunting se propaga para cazar la actividad maliciosa que sus controles de seguridad no han detectado, o que estaban allí antes de que se pusiera en funcionamiento el SOC. La palabra clave aquí es 'Caza'.
 
Sin revelar detalles sobre el resultado, por razones obvias, el servicio reveló algunas vulnerabilidades desconocidas, afortunadamente sin consecuencias graves. Fuimos capaces de rectificar el problema antes de que nuestros datos se viesen comprometidos. Esencialmente, la búsqueda de la amenaza trae un elemento proactivo a las herramientas más tradicionales de la detección reactiva del ciberataque.
 
Es una diferencia crucial.
 
Así que aquí estoy en mi nuevo puesto en una nueva empresa, que creo también puede beneficiarse de Capgemini Threat Hunting. 

Comprueba cómo funciona Threat Hunting here

Share this article

Soy JANE

No soy una YouTuber pero te invito a ver este vídeo para que me conozcas mejor.

Share this article

Nuevas aplicaciones puestas a prueba de seguridad

Blog de febrero

¿Cómo me aseguré de someter a prueba las nuevas aplicaciones en busca de vulnerabilidades, sin que afecte al plazo de lanzamiento del producto al mercado?

Una nueva empresa, un nuevo desafío, y nuevas prioridades. Pero al igual que todos los CISOs, tengo una idea clara: ser tan rigurosa como sea posible cuando se trata de ciberseguridad.
 
Así, cuando me hablaron de toda una serie de nuevas aplicaciones que la compañía estaba preparando para lanzar el próximo trimestre, sabía que tenía que trabajar rápidamente para asegurar que las pruebas de seguridad formaran parte del proceso.
 
Fue entonces cuando me reuní con Philippa. Ella encabeza el área de garantía de calidad en la división de 'Nuevos lanzamientos de productos digitales', y estaba siendo presionada para conseguir que el lanzamiento de nuevas aplicaciones fuera lo antes posible.
 
Nos reunimos para revisar algunas cosas, y le aconsejé que las pruebas de seguridad tenían que estar en su lista de prioridades, a pesar de las presiones con los plazos.
 
La seguridad de la aplicación no es algo que pueda verse comprometido. Seré sincera - estaba un poco preocupada, aunque el entorno de pruebas parecía bueno.
 
Había trabajado con Capgemini con éxito en el pasado, por lo que conocía su servicio de testing de seguridad de aplicaciones. Me puse en contacto con ellos para tratar este tema. 
Puede ser difícil probar múltiples aplicaciones contra ciberataques, especialmente cuando estás contrareloj - y con un presupuesto. Pero eso es lo que el servicio de Capgemini está preparado para hacer.
 
 
 
 
Share this article

IDAAS de Capgemini

Blog de marzo

Es muy importante que cada persona se conecte a los datos correctos en el momento adecuado. ¿Cómo me aseguro de que los empleados accedan al recurso adecuado con el nivel de seguridad adecuado?

He estado hablando de los desafíos de cómo asegurar los activos de la empresa y los datos desde que asumí mi nuevo papel como CISO. Mi siguiente tarea en mi nuevo rol fue revisar el acceso a la información dentro del negocio.
 
Mi idea era establecer controles de acceso más estrictos a la información en la oficina, y en la verificación de usuario. Pero más barreras pueden tener un impacto negativo en la experiencia del cliente.
 
Así que hablé con Peter, Jefe de Cumplimiento. Peter establece las políticas de acceso y gobernabilidad para la compañía. Ultimamente las responsabilidades de Peter se han vuelto más complejas. De hecho, el número de formas en que los empleados pueden acceder a la información como resultado de la proliferación de dispositivos y tendencias como BYOD han hecho que la vida de Peter sea extremadamente desafiante.
 
Después de una revisión de política interna, Peter y yo fijamos distintas formas de dar a las personas adecuadas el acceso correcto a la información correcta de forma rápida y segura. La calidad de la experiencia del usuario final fue una prioridad.
 
Nos gustó la idea de implementar una solución IAM in-situ. Pero Peter creía que esto tendría altos costes desde una perspectiva de recursos humanos. El ROI también sería difícil de probar. Necesitábamos un enfoque completamente nuevo.
 
Fue entonces cuando le presenté a Peter a Capgemini. Nos hablaron en un evento de cumplimiento, y asistimos a una sesión sobre su oferta de Servicios de Identidad y Gestión de Acceso (IDaaS). A Peter le impresionó la velocidad de despliegue de este servicio. También se sentía atraído por su escalabilidad, que consideraba rentable y ayudaría a disminuir el riesgo. Poco después contratamos IDaaS.

Más sobre IDaaS aquí.

Share this article

Asking the right questions about Cybersecurity

My April Blog

How do I ensure that my business is resilient enough? Is my organization compliant with security regulations and corporate policy? Is it possible to combine digital transformation with acceptable risks?

One of our competitors recently suffered a major data breach. This ― and the emergence of new market players prompted me to consider what cybersecurity strategy would best protect our own digital assets.

My starting point was our business needs. What security should we have in place to ensure the company’s growth and competitiveness going forward ― especially the level at which we combined digital transformation with acceptable risks? And, crucially, how could I ensure that our security plans were given the senior-level attention required from decision-makers and other stakeholders to ensure top-down buy-in to the whole subject of cybersecurity?

It was a strategically important challenge. I needed to ask the right questions to enable me to build an appropriate cybersecurity strategy for our organization ― one that would ensure regulatory compliance and business resilience. These questions had two focus areas: how to achieve our cybersecurity objectives, and how to align those objectives with the business.
 

A critical starting point to protecting your digital assets

Here’s what I came up with ― and I believe these four questions would be a good starting point for any CISO or IT leader developing their security strategy:

  • • How do we evolve our traditional security model so that there is a focus on data, people and risks?
  • • What should we focus our investment on now, given that security operations no longer rely solely on IT protection? 
  • • How can we embed the new cybersecurity vision as part of the wider business transformation journey, in order to deliver deep changes in the security function?
  • • How can we avoid employees being the weak link and move toward a more people-centric approach to security?

 

So, I was asking the right questions, now I needed to put in place my strategic security plan. I set up a meeting with the Capgemini Cybersecurity team to help me map out a bespoke strategy for our business and then bring it to fruition.

What I liked about Capgemini’s proposal was their offer to manage both strategy and implementation ― no one else was able to paint (and deliver) this complete picture. I was also comfortable with their vendor-agnosticism because I knew I wouldn’t be pressured to buy any particular technology, or be tied into an expensive license deal.

Based on a clear, shared vision of our maturity and practices, Capgemini helped implement our cybersecurity transformation program in just 12 weeks. I now feel confident that we’ve got the cybersecurity we need to take our business forward ― securely. \

Want to see how Capgemini Cybersecurity strategies can protect your digital assets? Mouse here.

Share this article
Share this edition