Los directivos de seguridad de la información (CISO) a menudo tienen problemas para comunicar su visión, estrategia y progreso de manera efectiva y sucinta en toda la organización. La adopción de un marco simple y coherente puede ayudar a dar definición y estructura a lo que de otro modo parecería ser un número de proyectos e iniciativas desarticulados. Este artículo describe el uso del marco de predicción, prevención, detección y respuesta (PPDR) como método para aportar claridad a las comunicaciones estratégicas del CISO (incluyendo, pero no limitando a propuestas de presupuesto, descripciones de iniciativas, documentos de visión y reseñas de programas).
Los CISO necesitan una manera limpia y consistente de categorizar sus esfuerzos de comunicación en términos fáciles de entender y enfocados en los resultados.
Un marco de referencia
El modelo de PPDR suena muy bien desde el punto ejecutivo y técnico por dos razones principales: es una manera corta y fácil de esquematizar la funciones de seguridad críticas y nos recuerda que hay mucho más en la seguridad que en la mera prevención.
- Pronosticar: Las capacidades predictivas permiten a la organización de seguridad aprender de los eventos externos mediante la supervisión externa del hacker. Puede entonces anticipar proactivamente nuevos tipos de ataques contra el estado actual de los sistemas e información que está protegiendo, y priorizar proactivamente y abordar las exposiciones. Esta inteligencia se utiliza entonces para retroalimentar las capacidades preventivas y de detección, cerrando así el circuito en todo el proceso.
- Prevenir: Las estrategias preventivas incluyen políticas, productos y procesos que se implementan para prevenir un ataque exitoso. El objetivo clave de esta categoría es elevar el listón para los atacantes por superficie de ataque y bloquear sus métodos de ataque antes de que afecten a la empresa.
- Detectar: Las capacidades de detección están diseñadas para detectar ataques que han superado la categoría preventiva. El objetivo principal de esta categoría es reducir el tiempo de permanencia de las amenazas y, por tanto, el daño potencial que pueden causar. Las capacidades de detección son críticas porque la empresa debe asumir que ya está comprometida.
- Responder: Se requieren funciones de respuesta para investigar y remediar los problemas descubiertos por las actividades de detección (o por servicios externos). Proporcionan análisis forense y análisis de causa raíz, y recomiendan nuevas medidas preventivas para evitar futuros incidentes.
