≫ Cumbre Cibernética de París: unir fuerzas para protegerse mejor

Durante la Paris Cyber Summit 2023, que se celebró los días 6 y 7 de junio en París, se dedicó una sesión a la innovación abierta para los actores de la ciberseguridad, en particular los CISO y los directores de ciberseguridad, responsables del tema. dentro de las empresas. Después de una intervención de Thiébaut Meyer, director de la oficina CISO de Google Cloud (ver recuadro), cuatro CISO presentaron, durante una mesa redonda, los frutos del trabajo colaborativo realizado con un espíritu de co-innovación, en torno a la plataforma 42k.io.

“La amenaza de hoy no es la amenaza de la semana pasada. También necesitamos innovar en las herramientas para defendernos”, afirma Benoît Moreau, director de ciberseguridad de Nexter, para presentar el tema. Luego analiza un dilema al que se enfrentan frecuentemente los CISO: hoy en día hay que tener en cuenta la ciberseguridad a la hora de diseñar un nuevo producto, pero esta ciberseguridad tiene un coste, que se refleja en el coste final del producto. Esto es especialmente cierto cuando se trata de soluciones innovadoras, que pueden resultar costosas. “¿Esto va a ser rentable para la empresa? Tenemos que ponernos del lado del cliente, preguntándonos si quiere comprar ciberseguridad hoy”, recomienda Benoît Moreau.

Co-construir soluciones a problemas comunes

Para reducir el coste de la ciberseguridad, una posible forma es agrupar determinadas cuestiones, para evitar tener tantas respuestas diferentes como empresas. Es esta idea la que dio origen a la plataforma 42K.io, apoyada por la revista especializada Cyberun. Varios CISO y directores de ciberseguridad se unieron para crear conjuntamente soluciones innovadoras en respuesta a desafíos comunes. Los dos primeros grupos de trabajo se centraron en mapear los sistemas de información y crear conciencia.

El mapeo del sistema de información es uno de los primeros pasos en la implementación de un sistema de gestión de seguridad de la información. Pero este paso esencial a menudo resulta complejo de implementar, porque a menudo hay tantas representaciones del SI como interlocutores, sin mencionar las muchas capas diferentes que comprende el SI. "Buscamos entender cómo construir una visión del sistema de información que fuera lo suficientemente simple como para ser comprensible, pero lo suficientemente detallada como para tener la información que necesitamos en ese momento, sin dejar de ser mantenible", explica Laurent. Thery, director de ciberseguridad de las Galerías Lafayette. Con Alban Siffer, CTO de la startup status.sh, el grupo de trabajo estableció una estructura de archivos de arquitectura que incluye toda la información importante para los CISO, así como un documento técnico que detalla la metodología.

Una red de necesidades de concientización

El segundo componente, el del e-learning y la sensibilización de los usuarios sobre la ciberseguridad, también aparece en todas las hojas de ruta. Pero es un tema en el que la expresión de las necesidades puede resultar difícil, según Christophe Pugnoud, CISO del grupo Actual. Además, los proveedores de soluciones también necesitan hacer que sus ofertas sean más legibles para las empresas, un proceso que actualmente lleva mucho tiempo, según Michel Gérard, director general de la editorial Conscio Technologies. A partir de estas observaciones, el grupo diseñó una primera herramienta sencilla, en forma de cuadrícula de Excel, que sirviera de referencia común para ambas partes. Esta herramienta reúne 200 criterios cerrados, que los CISO pueden ponderar según sus necesidades y su contexto. “Esto nos permite plantearnos exactamente nuestras necesidades, dependiendo, por ejemplo, del público objetivo. Si hablamos con profesionales de TI, no necesariamente querrán empezar desde cero en materia de prácticas de seguridad”, ilustra Kien Tendjoukian, CISO de Kontron. Para los editores, la herramienta también brinda visibilidad sobre las funciones más buscadas, brindándoles vías de desarrollo para sus productos.

Al comienzo del año escolar, 42k.io iniciará un nuevo grupo de trabajo, esta vez en torno a la soberanía. De hecho, el concepto abarca toda una gama de requisitos, vinculados al nivel de control buscado sobre su sistema de información. Al igual que el trabajo realizado en materia de sensibilización, el objetivo es facilitar la identificación de lo necesario para abordar un riesgo, tanto por parte del CISO como de las soluciones de mercado.

“La ciberseguridad es un requisito previo para la innovación, es la clave para crear con éxito productos y soluciones viables”, recuerda Benoît Moreau. Destacando el valor de los enfoques de innovación abierta, analiza la posibilidad de que los CISO también participen en el diseño de futuras regulaciones y estándares que les conciernen. “Por ejemplo, determinadas profesiones pueden tener conjuntos comunes de excepciones. Si estas excepciones se hubieran compartido en sentido ascendente, tal vez el repositorio habría estado más adaptado. » Finalmente, también insiste en la colaboración esencial entre las profesiones de seguridad y TI. “CISO y DSI forman una pareja. Necesitamos aprender unos de otros, formamos un equipo”, afirma Benoît Moreau, coincidiendo con Thiébaut Meyer (ver recuadro).

“Ya no construimos muros, sino puentes”

Para Thiébaut Meyer, director de la oficina CISO de Google Cloud, abordar la seguridad de forma abierta es fundamental. “Este es el fin de los estrictos enfoques de seguridad basados en perímetros. Necesitamos apertura ante los desafíos actuales”, subraya. Esta apertura se produce en diferentes niveles, incluidos los estándares, el código abierto y la tecnología. Citando el ejemplo de los protocolos SSL y TLS, que han permitido a todos los actores del ecosistema digital mejorar en términos de seguridad de los intercambios en Internet, Thiébaut Meyer considera que "la estandarización es un factor clave" para la seguridad. Desde la misma perspectiva, considera que hoy las empresas deben unir fuerzas para desarrollar estándares en torno a una autenticación fuerte, teniendo en cuenta la simplicidad “cualquier cosa menos anecdótica”.

Luego, volviendo al tema del código abierto, nos recuerda que código abierto no es sinónimo de software seguro, lo que puede parecer obvio, pero en realidad no siempre es así. "También debemos evaluar los riesgos asociados con el software de código abierto, tanto en términos de seguridad del código como, por ejemplo, también de mantenibilidad", señala Thiébaut Meyer. Para él, el valor del código abierto reside en la transparencia. Y el enfoque no se limita únicamente al software, sino que también puede extenderse a conceptos científicos más amplios. La transparencia también debe reflejarse en toda la tecnología, incluida la infraestructura. “¿Qué usos se hacen de mis datos? ¿Dónde se ejecutan mis cargas de trabajo? Debemos poder responder a estas preguntas, pero también aportar pruebas”, subraya Thiébaut Meyer. Finalmente, la apertura también implica nociones de interoperabilidad entre soluciones.

Durante su discurso, Thiébaut Meyer también mencionó el papel creciente de la inteligencia artificial, “una revolución para todos, en particular para los CISO”. Para él, la IA plantea nuevas cuestiones relacionadas, por ejemplo, con el modelado de amenazas o el apoyo que estas tecnologías pueden proporcionar a los profesionales de la ciberseguridad. “No se trata sólo de tecnologías, sino de una forma de reinventar nuestras tareas diarias”, señala Thiébaut Meyer, recordando que el papel de un CISO es también mejorar la experiencia de sus equipos. “ChatGPT no va a quitarles el trabajo”, concluyó, dirigiéndose a sus pares. “La ciberseguridad es un deporte de equipo. Necesitamos trabajar juntos, actores públicos y privados, reguladores y Estados. Ya no se trata de construir muros, sino puentes. »

Si quieres conocer otros artículos parecidos a Cumbre Cibernética de París: unir fuerzas para protegerse mejor puedes visitar la categoría Otros.