VentureBeat Transform 2024 reúne a líderes de OpenAI, Chevron, Nvidia, Kaiser Permanente y Capital One. Obtenga información clave y amplíe su red sobre GenAI en este evento especial de 3 días.Haga clic aquí para más detalles
2024 se perfila como el año más estresante de la historia para los CISO. Con el auge de tecnologías emergentes como la IA generativa, los CISO están tratando de proteger sus organizaciones de un número creciente de amenazas que aumentan en velocidad y complejidad. La situación no mejora, ya que los presupuestos cibernéticos se están reduciendo y los CISO también pueden ser considerados personalmente responsables de las infracciones, como lo demuestra la sentencia que sienta un precedente contra el ex CISO de Uber.
Además, según Proofpoint, el 61% de los CISO no se sienten preparados para un ciberataque y el 68% siente que su organización está en riesgo de sufrir un ataque. No es de extrañar que los CISO modernos a menudo se encuentren en desventaja y se sientan como chivos expiatorios.
He trabajado con cientos de CISO en las principales empresas Fortune 100 de todo el mundo y, mientras los ayudo a asumir el rol de creador de valor y socio confiable, comprendo sus mayores desafíos. Si bien no existe una solución milagrosa, existen medidas que los CISO pueden tomar ahora para aumentar el valor de sus programas de ciberseguridad y prepararlos para el éxito frente a objetivos cambiantes.
trae tu tabla
Las juntas directivas suelen estar compuestas por ejecutivos experimentados con experiencia operativa, financiera, de ventas y de otras industrias, pero es posible que no tengan conocimientos técnicos detallados sobre ciberseguridad. Sin embargo, los CISO se enfrentan a un mayor escrutinio por parte de las juntas directivas mientras defienden la eficacia de sus programas de ciberseguridad.
Cuenta regresiva para VB Transform 2024
Los líderes empresariales asistirán a nuestro evento emblemático de IA en San Francisco del 9 al 11 de julio. Conéctese con sus pares, explore las oportunidades y desafíos de la IA generativa y aprenda cómo integrar aplicaciones de IA en su industria.Regístrate ahora
Para demostrar el valor del programa y demostrar su eficacia, los CISO deben establecer una comunicación clara y superar las desconexiones entre la junta directiva y sus equipos. Es responsabilidad del CISO ayudar a la junta directiva a comprender el nivel de riesgo cibernético que enfrenta la organización y qué se necesita para hacer que la organización sea más resiliente cibernética. Presentar el nivel de riesgo cibernético en términos financieros y demostrar los próximos pasos viables pone a la junta en la misma página, allana el camino para una comunicación honesta y coloca al equipo de ciberseguridad en el papel de creador de valor esencial para lograrlo.
Presente su SEC 10K honestamente sin aumentar su riesgo cibernético (¡es cierto!)
Los nuevos requisitos de divulgación de la Comisión de Bolsa y Valores (SEC) y otros reguladores requieren que los CISO tengan una comprensión sólida de los riesgos materiales y revelen cómo administran y maduran sus programas de ciberseguridad. Sin embargo, un análisis reciente de los SEC 10K presentados a principios de 2024 encontró que el 31% de las empresas no proporcionan información sobre ciberseguridad y el 23% no cuantifica ni explica cómo lo hacen.
Los CISO son muy cautelosos a la hora de compartir públicamente detalles sobre su postura en materia de ciberseguridad debido al riesgo innecesario y evitable de exponer a sus organizaciones a ciberataques. Se espera que los ciberataques cuesten 10,5 billones de dólares para 2025.
Honestamente, enviar un 10K mientras se mantienen las defensas cibernéticas de su organización requiere un equilibrio delicado. Ya hay ejemplos de Clorox que sufre un desequilibrio.
Un gran ejemplo de un SEC 10K honesto pero equilibrado es la presentación del SEC 10K 2024 de Lockheed Martin. Esta presentación adopta un enfoque descriptivo. La empresa nombró a un CISO para liderar su estrategia de seguridad. También describió políticas, marcos y requisitos de ciberseguridad específicos a cumplir, lo que demuestra la madurez del programa de ciberseguridad de la organización. La compañía explicó de manera proactiva su modelo de riesgo cibernético y aclaró su metodología de gestión de riesgos a proveedores y terceros. Lockheed Martin también mencionó el uso de técnicas como evaluaciones de terceros, pruebas de penetración, auditoría e inteligencia sobre amenazas para probar el diseño y la efectividad de los controles. Todos estos son elementos importantes para tener un programa sólido de gestión de riesgos y presentar un SEC 10K equilibrado y honesto.
Implemente IA para reducir el riesgo cibernético
Según datos de Gartner, sólo hay suficientes profesionales cualificados en ciberseguridad para cubrir apenas el 70% de la demanda actual. A medida que el panorama de amenazas continúa evolucionando rápidamente, la necesidad de talento calificado sin duda crecerá.
La gestión eficaz de los riesgos de ciberseguridad requiere identificar vulnerabilidades críticas y evaluar la eficacia de los controles de seguridad. Sin embargo, los petabytes de datos de fuentes dispares y el estancamiento de los equipos dificultan que los CISO obtengan una visibilidad completa de estos riesgos.
A menudo, el mayor obstáculo para los equipos de seguridad es convertir los datos sin procesar en información útil. Esto es necesario para impulsar una reducción eficaz del riesgo de una manera que sea comprensible en toda la organización. Al aprovechar tecnologías avanzadas como la IA generativa, el aprendizaje profundo y otras técnicas especializadas de aprendizaje automático para analizar millones de activos e instancias de vulnerabilidad, los equipos de seguridad pueden acceder a información procesable en tiempo real y reducir rápidamente sus riesgos cibernéticos.
Además, permite a los líderes de seguridad comprender la eficacia de sus programas de seguridad y demostrar el retorno de la inversión de sus iniciativas de ciberseguridad. En última instancia, las conversaciones con la junta directiva serán más fáciles y productivas.
Dado el entorno de ciberseguridad en rápida evolución, el trabajo del CISO es cada vez más difícil. El CISO es responsable no sólo de defender con éxito a la organización contra las amenazas, sino también de proporcionar evidencia de su eficacia a la junta directiva e informar a la SEC. Para cumplir plenamente su rol como creador de valor dentro de su organización, es esencial mantenerse al día con la última tecnología y tener una comunicación abierta y honesta con las partes interesadas ajenas a la ciberseguridad.
Gaurav Banga es el director ejecutivo y fundador de Balbix, una plataforma de gestión de riesgos de ciberseguridad basada en inteligencia artificial.
tomador de decisiones de datos
¡Bienvenido a la comunidad VentureBeat!
DataDecisionMakers es un lugar donde los expertos, incluidos los tecnólogos que trabajan con datos, pueden compartir conocimientos e innovaciones relacionados con los datos.
Si desea conocer ideas de vanguardia, actualizaciones, mejores prácticas y el futuro de los datos y la tecnología de datos, únase a DataDecisionMakers.
¿Por qué no considerar contribuir con su propio artículo?
Obtenga más información sobre los creadores de decisiones de datos
Fuente: https://venturebeat.com/security/the-modern-ciso-scapegoat-or-value-creator/