Cuatro pasos que los CISO pueden seguir para aumentar la confianza en su negocio


En el volátil entorno empresarial actual, ha surgido una tendencia clara: las organizaciones con un alto nivel de confianza tienen un mayor potencial de crecimiento. Otra tendencia clara es que los CISO son clave para generar esta confianza, que debe estar alineada con las inversiones en tecnología del CIO.

Forrester descubre que los clientes que confían en una empresa tienen más probabilidades de realizar compras repetidas, preferir la empresa a la competencia, probar otros productos y servicios y compartir información personal con la empresa descubierta. Por el contrario, las organizaciones que sufren una filtración de datos pierden la confianza de los clientes y reducen su potencial de ingresos.

Un estudio reciente de Forrester encontró que el 25% de los usuarios adultos en línea de EE. UU. que vieron noticias sobre la información personal de un cliente expuesta en una violación de datos dijeron que dejarían de hacer negocios temporalmente con esa empresa, y el 22% dijo que dejarían de hacer negocios temporalmente con esa empresa. Respondieron que dejarían definitivamente de hacer negocios con esa empresa.

Por lo tanto, no sorprende que los CISO desempeñen un papel muy importante en la creación de negocios confiables. Para generar confianza con éxito, los CISO deben trabajar en alineación con los CIO y los equipos de tecnología, pero el estudio de seguridad de Forrester de 2023 encontró que el 72% de los CISO actualmente reportan a departamentos fuera de TI. Si bien los CIO siguen principios de TI de alto rendimiento para mejorar continuamente los resultados comerciales, los CISO deben implementar las iniciativas de seguridad adecuadas en alineación con los objetivos comerciales y tecnológicos.

Para lograr una colaboración multifuncional con TI e impulsar el crecimiento empresarial, los CISO pueden seguir uno o más de los siguientes cuatro pasos:

1. Implemente Zero Trust para estabilizar, operar y proteger su negocio

Cuando las organizaciones de TI priorizan actividades operativas como la eficiencia, la reducción de costos y el rendimiento, la atención se centra en la fortaleza central y la entrega consistente. Este es el momento para que los CISO enfaticen los principios básicos de Confianza Cero que comienzan con los datos y la identidad, integran la seguridad en la TI y crean una experiencia de seguridad consistente.

Invierta en fundamentos de seguridad de datos, como descubrimiento, inventario y clasificación, para obtener suficiente conocimiento sobre sus datos para protegerlos adecuadamente durante todo su ciclo de vida. Al mismo tiempo, utilice el inicio de sesión único para optimizar su programa de gestión de identidades y reducir la superficie de ataque, y utilice MFA para reducir el riesgo de apropiación de cuentas. Utilice el principio de privilegio mínimo para limitar el acceso a la cuenta y reducir la posibilidad de movimiento lateral de los atacantes.

2. Mejore su programa de seguridad y desarrolle, entregue y opere nuevos productos y plataformas

Las estrategias comerciales de algunas organizaciones enfatizan el crecimiento a través de nuevas líneas de negocios. Los departamentos de TI respaldan estos objetivos de crecimiento mediante la creación de nuevos productos y plataformas, a menudo utilizando la arquitectura y las metodologías de desarrollo más recientes y colaborando frecuentemente con socios. Los CISO deben garantizar que exista seguridad para respaldar estas nuevas arquitecturas y asociaciones.

Por ejemplo, si su organización de TI comienza a lanzar nuevos productos al mercado utilizando API, contenedores o microservicios, debe capacitar a su equipo de seguridad en estas tecnologías para escanear, monitorear y proteger estos componentes. Al proteger nuevos productos, los CISO deben considerar todo el ecosistema. Esto significa proteger su cadena de suministro de software y examinar las relaciones con proveedores y socios para garantizar que los atacantes no puedan ingresar fácilmente.

3. Automatizar y ampliar la seguridad para agilizar los procesos y optimizar los resultados comerciales.

Las organizaciones de TI se centraron en racionalizar y optimizar la inversión en tecnologías como la automatización, la inteligencia artificial y el análisis que ayudan a sus equipos a hacer más con menos. Si no se invierte en seguridad como corresponde, los procesos de seguridad pueden retrasar los lanzamientos de productos, estresando a los clientes mientras esperan nuevos productos o características, o hacer que los departamentos de TI pasen por alto la seguridad con el fin de llegar al mercado a tiempo, con el riesgo de sufrir una infracción y erosionar al cliente. confianza.

Los CISO deben apuntar a “desplazar sus inversiones a todas partes” e integrar escaneos de seguridad automatizados y puertas de etapa en todo el proceso de desarrollo para igualar la escala deseada de la organización de TI. Utilice los requisitos iniciales para fomentar conversaciones más amplias sobre la gobernanza. A medida que TI agrega automatización, depende de desarrolladores ciudadanos que no son expertos en seguridad para crear aplicaciones. Apoye y proteja sus objetivos de TI definiendo e implementando barreras de seguridad en torno al uso de datos y los controles de acceso.

4. Implementar nuevas tecnologías de forma segura para lograr los objetivos comerciales

Algunas organizaciones de TI se centran en adoptar tecnologías emergentes para transformar sus negocios. Si esta situación le resulta familiar, dirija la atención de su equipo de seguridad a proteger estas tecnologías emergentes y preste mucha atención a cómo estas tecnologías utilizan sus datos. Las tecnologías emergentes como la IA y el IoT están empujando a los departamentos de TI a utilizar los datos de los clientes de nuevas formas. Por ejemplo, crear nuevos modelos, aumentar la participación del cliente o introducir nuevas oportunidades de asociación.

Para respaldar su negocio, necesita ampliar el uso de datos y al mismo tiempo proteger la privacidad del cliente con seguridad. Esto significa invertir en nuevas tecnologías de seguridad, como la tecnología de protección de la privacidad (PPT). PPT permite el intercambio de datos entre varias partes, el intercambio y análisis de datos internos, la soberanía de los datos, la monetización de los datos, la migración a la nube y la capacitación en IA generativa. Al mismo tiempo, no pierda oportunidades de aplicar nuevas tecnologías a sus casos de uso de seguridad. Si bien los departamentos de TI utilizan tecnologías como la IA generativa para transformar las empresas, los departamentos de seguridad también pueden utilizar las mismas tecnologías para crear herramientas de seguridad transformadoras.

Para generar confianza con éxito, los CISO deben comprender cómo la TI se alinea con la estrategia empresarial y tomar las medidas necesarias para alinear la seguridad y la TI. Estos cuatro pasos no se realizan en secuencia. Elija sólo los pasos que tengan sentido según sus objetivos empresariales y de TI. Al alinearse con TI, los CISO garantizan que la seguridad se centre en actividades que aumentan la confianza del cliente e impulsan el crecimiento.

Sobre el Autor
Sandy Carielli es analista principal de Forrester, donde asesora a profesionales de seguridad y riesgos sobre seguridad de aplicaciones y productos. Se presta especial atención a la colaboración entre equipos de seguridad y riesgos, gestión de productos, desarrollo de aplicaciones, operaciones y negocios. Su investigación cubre temas como el diseño de seguridad proactivo, la protección de arquitecturas de aplicaciones modernas y emergentes, la protección de aplicaciones en producción y la integración de la seguridad durante todo el ciclo de vida del producto. El Sr. Carielli tiene más de 15 años de experiencia en la industria de la seguridad y se graduó de la Universidad de Brown y de la Escuela de Administración MIT Sloan.



Fuente: https://www.techtarget.com/searchsecurity/post/Steps-CISOs-can-take-to-raise-trust-in-their-business