El ascenso del director de inteligencia (CINO)
«Rise of the Chief Intelligence Officer (CINO)» explica por qué se necesita este puesto y qué deben incluir las habilidades y la experiencia de un líder de este tipo.
El director sénior de estrategia de ciberinteligencia de Anomali, A.J. Nash, escribió recientemente una columna para la revista United States Cybersecurity Magazine sobre cómo los cambiantes desafíos de seguridad requieren nuevas habilidades y profesionales de liderazgo, que puedan ayudar a desarrollar y ejecutar nuevos programas que estén a la altura de los adversarios modernos. En «Rise of the Chief Intelligence Officer (CINO)», A.J. explica por qué se necesita este puesto y qué deben incluir las habilidades y la experiencia de un líder de este tipo. Se vuelve a publicar aquí en su totalidad y con pleno permiso.
En respuesta a las crecientes amenazas en el ciberespacio, las organizaciones del sector privado comenzaron a crear programas de inteligencia hace casi una década, generalmente denominados inteligencia de amenazas cibernéticas (CTI). En teoría, el sector privado estaba intentando replicar lo que el gobierno ha hecho con éxito durante generaciones: obtener una ventaja informativa para evitar las victorias del enemigo y mitigar el daño causado por los éxitos del enemigo. Si bien la mayoría de las grandes empresas actuales tienen algún tipo de programa de CTI, la mayoría usa la palabra «inteligencia» sin el oficio, los estándares o los procesos que respaldan la etiqueta. La «inteligencia» en el sector privado sigue consistiendo principalmente en la ciberseguridad táctica y técnica dirigida por personas con antecedentes similares. Las personas encargadas de las responsabilidades de una organización de inteligencia rara vez conocen las mejores prácticas para la recopilación, producción y difusión de información de inteligencia. Además, solo unas pocas empresas han integrado la inteligencia en los procesos de toda la empresa para optimizar los resultados que cumplen con las metas y objetivos organizacionales documentados. En lugar de ser prácticas de seguridad impulsadas por la inteligencia, gran parte del sector privado sigue sin invertir y estar poco preparado. Peor aún, la mayoría de las organizaciones con programas de CTI, incluso los más eficaces, restringen su propia capacidad de capitalizar el tiempo y el dinero invertidos en CTI porque su visión de la inteligencia se limita al Centro de Operaciones de Seguridad (SOC).
La causa principal de estos desafíos es un malentendido fundamental de la inteligencia, que surge del desconocimiento de las diferencias entre la ciberseguridad y la inteligencia como campos profesionales independientes. En lugar de centrarse en los indicadores de compromiso (IOC), las firmas y las acciones de respuesta, la inteligencia debería ser un medio para contrarrestar las amenazas, la ciberseguridad o de otro tipo, e impulsar mejoras en toda la empresa en la reducción de riesgos.
La respuesta a este desafío es capitalizar las lecciones aprendidas por el Gobierno de los Estados Unidos (USG) con respecto a la inteligencia. Del mismo modo que hay un director de Inteligencia Nacional (DNI) que depende directamente del presidente y dirige la comunidad de inteligencia de los Estados Unidos «en la integración de la inteligencia, forjando una comunidad que ofrece la información más perspicaz posible»,[1] Cada una de las empresas del sector privado necesita un único líder de inteligencia que dependa directamente del CEO, el presidente o la junta directiva. En lugar de que la única función de inteligencia de una empresa sea un equipo de CTI enterrado dentro del SOC y centrado en las operaciones cibernéticas defensivas o en las necesidades del director de seguridad de la información (CISO), el establecimiento del director de inteligencia (CINO) permitirá a las empresas maximizar el valor de sus inversiones, eliminar las redundancias y reducir el riesgo.
En la década de 1980, cuando la alta dirección se expandió para incluir a los directores de información (CIO) y, en la década de 2010, para incluir a los directores de seguridad (CSO) y a los directores de recursos humanos (CHRO), llegó el momento de abrir un nuevo puesto en la mesa para el primer director de inteligencia (CINO).
El candidato ideal de CINO
Al añadir una silla a la sala de juntas, es importante evaluar el valor único que la nueva incorporación aportará al personal ejecutivo (personal electrónico). Las habilidades y experiencias necesarias para la recién creada CINO comienzan con un conocimiento profundo de las normas y prácticas de inteligencia tradicionales, así como con una integridad y un juicio impecables. Será el experto principal en inteligencia y una voz influyente que informará al personal electrónico y al consejo de administración; a veces influirá en las decisiones corporativas que cambiarán la trayectoria. Más allá de eso, un CINO exitoso necesitará una sólida comprensión de las normas y prácticas de ciberseguridad, así como una familiaridad con los conceptos de seguridad física, una formación en evaluación y reducción de riesgos, una mentalidad para las prioridades empresariales, un enfoque basado en los procesos, inteligencia emocional para construir relaciones entre líneas de negocio y asociaciones, y una perspectiva estratégica.
Si bien encontrar a alguien con todas (o incluso la mayoría) de esas habilidades no será fácil, el impacto del puesto justifica encontrar o hacer crecer a alguien capaz de demostrar todas estas características. Los candidatos más calificados serán los líderes de inteligencia del sector privado que hayan dejado el gobierno, ya que tendrán experiencia en el oficio de inteligencia y comprenderán lo que impulsa a la empresa privada.
Relación entre el CINO y sus homólogos ejecutivos
Un personal electrónico típico está formado (consulte la figura 1) por el director ejecutivo (CEO), el director financiero (CFO), el director de operaciones (COO), el director de información (CIO), el director de clientes (CCO), el director de marketing (CMO), el director de productos (CPO), el director de recursos humanos (CHRO) y el director de seguridad (CSO). El director de seguridad de la información (CISO) suele estar subordinado al CSO, aunque esa función a veces se fusiona con las funciones de CSO o CIO.
Figura 1: Relación entre el CINO y sus homólogos ejecutivos
El CINO, al igual que el resto del personal electrónico, será igual para todos, excepto para el CEO, al que rinden cuentas todos los demás. Si el CISO está subordinado a un CSO o un CIO, es el CSO o el CIO quien es igual al CINO, no el CISO. Es importante tener en cuenta que, dado que Intelligence es un servicio y no un producto, el CINO verá a sus pares como clientes; por lo tanto, solo seguirá las instrucciones del CEO. Otras funciones que pueden existir o no son las de director de atención al cliente (CCO), director de riesgos (CRIO) y director jurídico (CLO) para quienes cuentan con asesoramiento interno».
Función y responsabilidades del CINO
Como autoridad en materia de inteligencia, el CINO tendrá cinco responsabilidades principales con la empresa. Son las siguientes:
- Establecimiento, aplicación y socialización de las normas de inteligencia y el oficio: El CINO será responsable de establecer y hacer cumplir los estándares analíticos y el arte basados en las mejores prácticas establecidas. Entre ellas figurará la adopción de las Directivas Comunitarias de Inteligencia (ICD) 203,[2] 206,[3] y 208,[4] técnicas analíticas estructuradas,[5] el Protocolo de semáforo,[6] y el uso de marcos como MITRE ATT&CK,[7] Cyber Kill Chain,[8] El modelo Diamond de análisis de intrusiones,[9] Marco de ciberseguridad del Instituto Nacional de Estándares y Tecnología (NIST),[10] y Análisis factorial del riesgo de la información (FAIR).[11] Además, dado que la inteligencia solo es efectiva si las partes receptoras entienden los mensajes enviados por el equipo de inteligencia, el CINO será responsable de la capacitación en el lenguaje de la inteligencia, incluido el lenguaje de confianza, las advertencias y la validación de las fuentes.
- Creación y mantenimiento de requisitos de inteligencia: El CINO será responsable de la investigación y el análisis de las operaciones, los procesos, las metas, los objetivos, los sistemas y el personal existentes con el fin de crear, validar y mantener los requisitos de inteligencia empresarial (EIR) que reflejen las necesidades estratégicas de la empresa. Además, el CINO desarrollará y mantendrá los requisitos de inteligencia subordinada (SIR) para las entidades individuales de la empresa. Por último, el CINO debe asignar todos los SIR a EIR establecidos para eliminar la tendencia a gastar energía en esfuerzos inútiles contra proyectos de inteligencia interesantes pero sin valor (conocidos como «objetos brillantes»).
- Entrega de una imagen de inteligencia unificada: El CINO será responsable de todo el ciclo de inteligencia (figura 2) y el resultado será la entrega de inteligencia que genere ventajas informativas, impulse cambios organizativos proactivos y reduzca el riesgo en materia de seguridad física (incluidas las instalaciones, el personal y la protección ejecutiva), ciberseguridad (ofensiva y defensiva), amenazas internas, gobernanza, riesgo y cumplimiento (GRC), fusiones y adquisiciones (M&A), protección de marcas y comunicaciones de crisis. Además de brindar inteligencia a cada una de estas organizaciones de clientes, el CINO estará en una posición única para sintetizar la inteligencia que responde a los EIR y los SIR. Es más, el CINO establecerá conexiones que las empresas actuales no pueden ver debido a la duplicación de esfuerzos, a la agitación, al parroquialismo, a las rivalidades políticas y a las personas que priorizan los objetivos profesionales personales por encima de las necesidades de la empresa.
Figura 2: Proceso de inteligencia
- Inteligencia proactiva: El CINO será responsable de entregar evaluaciones y estimaciones sobre las amenazas y los riesgos, incluidas las probabilidades y los cursos de acción recomendados para respuestas proactivas o reactivas, a los líderes ejecutivos y sus pares. Esta inteligencia puede incluir tanto inteligencia procesable (destinada a informar o impulsar decisiones inmediatas o a corto plazo) como inteligencia informativa (destinada a educar sobre los patrones, las tendencias o la comprensión necesaria para desarrollar un conjunto general de conocimientos que pueda servir de base para la producción posterior de inteligencia procesable).
- Inteligencia de respuesta: El CINO será responsable de respaldar las operaciones ad hoc dentro de cualquier función compatible, que incluyen, entre otras, la respuesta a incidentes físicos o de ciberseguridad y la investigación de amenazas internas. La inteligencia producida en respuesta a estas operaciones de seguridad debe tratar de mejorar la comprensión de las amenazas, los riesgos y las líneas de acción recomendadas para minimizar las pérdidas y proteger los intereses comerciales.
Beneficios de un enfoque de inteligencia de arriba hacia abajo
Aumentar la inteligencia y establecer un CINO independiente que dependa directamente del CEO generará algunos beneficios claros en comparación con el modelo actual más común de CTI enterrado en un SOC. En primer lugar, la inteligencia ya no se verá influenciada de manera desproporcionada por las necesidades de una organización a expensas de las de otras organizaciones. Trabajar bajo la dirección del CEO permitirá al CINO evaluar objetivamente las EIR y las SIR; por lo tanto, recomendará la priorización en función de la visión estratégica del CEO sin que las organizaciones o líderes subordinados obliguen a Intelligence a priorizar sus necesidades por encima de todas las demás. Esto garantiza que una empresa capitalizará la importante inversión en talento, acceso y tecnologías necesarias para crear un programa de inteligencia eficaz. En segundo lugar, con una inteligencia elevada y unificada, el CINO podrá reducir las redundancias en gastos y esfuerzos que a menudo afectan a las grandes empresas en la actualidad. Por ejemplo, muchas empresas actualmente tienen varios equipos que pagan por la misma inteligencia o una similar de los proveedores. Esto suele deberse a uno de los siguientes factores:
- Procesos de adquisición ineficientes o omitidos
- Ignorancia entre los equipos de las funciones y responsabilidades de sus homólogos
- Los gerentes dan prioridad a los objetivos personales por encima de las necesidades de la empresa
En tercer lugar, con la inteligencia unificada bajo el CINO, la empresa se beneficiará de tener una única fuente autorizada. En situaciones en las que el tiempo es crítico, como la seguridad, la ciberseguridad y las crisis empresariales, las opiniones contrapuestas de validez variable basadas en información y criterios de juicio inconsistentes conducen a decisiones mal informadas que pueden ser catastróficas. El CINO actuará como un agente unificador en todas las fuentes disponibles y actuará como un asesor confiable para el CEO y el personal electrónico en los momentos más críticos.
Visualizando el futuro de la inteligencia en la industria privada
Figura 3
Figura 4
Tras establecer el papel, las responsabilidades y los beneficios de ampliar el personal electrónico para incluir al CINO, la pregunta pendiente es quién rendirá cuentas al CINO y cómo eso cambiará las organizaciones existentes. Este es probablemente el ajuste más fácil de hacer, ya que la mayoría de las organizaciones son lo suficientemente maduras como para pasar al concepto CINO y ya han establecido programas de CTI eficaces. La transición del CTI dentro de un SOC a la Inteligencia bajo un CINO es solo cuestión de elevar el equipo actual y ampliar su mandato para que coincida con el programa descrito anteriormente. Las figuras 3 y 4 (ver arriba) ofrecen una visualización de estos estados actuales y futuros de Inteligencia.
Referencias
[1] https://www.dni.gov/index.php/who-we-are/mission-vision
[2] https://fas.org/irp/dni/icd/icd-203.pdf
[3] https://fas.org/irp/dni/icd/icd-206.pdf
[4] https://fas.org/irp/dni/icd/icd-208.pdf
[5] https://www.cia.gov/static/955180a45afe3f5013772c313b16face/Tradecraft-Primer-apr09.pdf
[6] https://www.first.org/tlp/
[7] https://attack.mitre.org/
[8] https://www.lockheedmartin.com/enus/capabilities/cyber/cyber-kill-chain.html
[9] https://www.activeresponse.org/wpcontent/uploads/2013/07/diamond.pdf
[10] https://www.nist.gov/cyberframework
[11] https://www.fairinstitute.org/fair-risk-management
Discover More About Anomali
Get the latest news about cybersecurity, threat intelligence, and Anomali's Security and IT Operations platform.
Propel your mission with amplified visibility, analytics, and AI.
Learn how Anomali can help you cost-effectively improve your security posture.
