¿Qué les quita el sueño a los CISO? ¿Y dónde deben centrarse los CISO para aportar valor a la empresa? ¿Cómo deberían cambiar las prioridades ante la proliferación de ciberataques que amenazan con trastornar las empresas en todo el mundo?
Para ayudar a reducir el ruido, nos hemos con Redmond Magazine para convocar a los principales CISO en un debate sobre los aspectos más críticos de la función. El panel incluía:
- Chris Roberts, Hacker residente en Semperis y moderador de la sesión
- Limor Kessem, CISO, CISM y Asesora Ejecutiva de Seguridad en Seguridad de IBM
- James Azar, CISO en Confidencial
- Evan Francen, cofundador de FRSecure y CONSEJERO DELEGADO en SecurityStudio
Del debate surgieron varias conclusiones tácticas para los líderes de seguridad actuales y futuros. Pero estos tres puntos salieron a la superficie.
Establezcanuestro asiento en la C-suite de la alta dirección
Ahora que CISOs son tomanen su relativamente lugar entre los altos ejecutivos, necesitan adquirir un conjunto diferente de habilidades para interactuar eficazmente con los líderes empresariales y las partes interesadas.
Como señaló Kessem señaló, a pesar de tener un título de nivel C, el CISO sigue a menudo informando en sentido descendente y no está bien representado en la cadena. Hablar con la dirección de la empresa empieza por asegurarse de que el CISO sea reconocido: "En primer lugar, sentarse con los ejecutivos y con los miembros del consejo. Megúrese que en en un asiento en para el CISO."
Obtener el reconocimiento de los líderes empresariales también significa encontrar la intersección mundo empresarial y la seguridad.
- Hómo amenazas a la seguridad se traducen en tiempo de inactividad, costeso daños a la precio de las acciones? Discuta cuál es el seguridad de seguridad en estos términos y qué recursos necesitan para alcanzar sus objetivos.
- ¿Cómo se alinean los objetivos decon los objetivos de la empresa? El CISO puede beneficiarse de pensar como un vendedor en todo momento y hacer de la seguridad un elemento facilitador del negocio en lugar de un simple gasto. ¿Puede mejor seguridad aumentar los márgenes o garantizar el éxito en un flujo de ingresos específico? En términos empresariales, eoda inversión de esfuerzo debe aportar valor. No basta con protegerse de las pérdidas.
- ¿Qué lenguaje se adapta mejor a su organización en particularCEO, o consejo? No todos los consejos hablan el mismo idioma. El CISO necesitas establecer relacións con cada responsable de la toma de decisiones, asegúrese de que hay confianza entre ellos, y untender qué preocupaciones son prioritarias con cada individuo.
Nuestro panel estuvo de acuerdo en que los CISO -y los aspirantes a CISO- pueden beneficiarse de entender el negocio incluso antes de abordar la seguridad. Cursar un MBA empresarial o formarse sobre el papel del director de tecnología, el director financiero y el director ejecutivo puede ayudarle a entender sus retos y a tener más éxito en su propio puesto.
Anteponer las personas a las herramientas
Encontrar el equilibrio entre las herramientas y tecnologías y el humanos asde la seguridad es otro reto para los CISO..
Según nuestro panel, las empresas tienden a pensar en la seguridad como algo que pueden comprar. Sin embargo los equipos empiezan a sufrir el agotamiento de las herramientas. Los CISO deben herramientas que tienen y cuántas están utilizando realmente. utilizan realmente. ¿Cómo puede usted aplicar las herramientas que ya para usos adicionales?
Según Francen, el mejor consejo que le dieron al principio de su carrera fue: "Los que mejor aseguran sus cosas son los que las conocen a fondo". íntimamente sus cosas".
Mientrase necesitamosnología para habilitar a nuestros equipos, ca complejidad es el enemigo. Simplificar la tecnología es cómo CISO y hacer que los buenos hábitos de seguridad se arraiguen en la empresa empresa.
Toma-y propagate-arendición de cuentas
Nuestro panel estuvo unánimemente de acuerdo en que una mayor responsabilidad -para cada profesional y de la comunidad de ciberseguridad en su conjunto.puede mover la aguja en la batalla contra los atacantes malintencionados.
Azar lo articuló bien: "Hay voces responsables que quieren hacer el bien... Y sin embargo hay un montón de voces ahí fuera creando FUD, desinformación/desinformación, creando desafíos. Y por desgracia, lo que acaba ocurriendo es que la gente no sabe a quién escuchar".
En última instancia, hoy se cuestiona la rendición de cuentas. W¿dónde recae? ¿En el CISO/comprador? ¿En el sector?? Wuién exactamente es el más informado y digno de confianza?
La ventaja de los recientes ataques de gran repercusión contra empresas como SolarWinds, CD Projekt, desarrollador de Cyberpunk 2077, y la planta de tratamiento de aguas de Oldsmar, Florida, es que han hecho visibles los principales problemas de ciberseguridad y han aumentado la responsabilidad en todos los ámbitos. Estos incidentes llevan la conversación al primer plano, pero los CISO tienen que asegurarse de que se mantiene ahí.
En nuestro panel paneldlos CISO son responsables de hacer más preguntas, compartir másy ayudar a las empresas de obras públicas e infraestructuras mejorar su seguridad. Necesitamos un movimiento de la industria para ayudar a esas organizaciones, porque los ciberataques pueden ocurrirle a cualquier entidadynecesitamos más colaboración en lugar de señalar con el dedo.
Estos tres temas persistieron durante el resto del debate, en el que panel de CISO abordó preguntas como "¿Qué haría en sus primeras semanas de trabajo como nuevo CISO?" "¿Existe ya el perímetro?" y "Dónde deben invertir invertir tiempo ahora para prepararse para ser CISO en 2022 y más allá?"
Si tiene algunas de estas mismas preguntas, vea el debate completo aquí. En relación con este debate, Chris Roberts compartió sus ideas sobre por qué Active Directory es el talón de Aquiles del CISO con Revista Security.