El arte de decir “no” es una poderosa herramienta para los CISO en la era de la IA


Es bueno actuar con rapidez, pero no a expensas de la seguridad. El auge de la IA está ejerciendo una enorme presión sobre los equipos de productos para que los lleven al mercado más rápido que sus competidores, pero los CISO están aprovechando la oportunidad para demostrar cómo la seguridad es un poderoso impulsor de negocios.

La seguridad del producto puede hacer o deshacer un lanzamiento. Y nadie entiende esto mejor que los CISO, quienes deben alinear los riesgos y las mitigaciones con la tolerancia al riesgo de la organización. Es posible que los CISO deban decir no a las tecnologías emergentes, especialmente si no se comprenden completamente los riesgos y no se implementan plenamente las mitigaciones. Esto puede resultar difícil en un momento como ahora, en el que la adopción de la IA está aumentando rápidamente.

Este es un momento decisivo que todos hemos experimentado antes y del que podemos aprender lecciones. ¿Recuerda hace más de una década cuando la experimentación y la migración a la nube se expandían rápidamente? Cuando los CISO bloquearon proactivamente la nube, fueron ignorados y tuvieron que agregar seguridad después del hecho, lo que resultó en una postura de seguridad no tan ideal.

Pero los CISO que ven el potencial de la nube y conocen sus beneficios de seguridad pueden ayudar a sus colegas de negocios a garantizar que todo lo creado o implementado en la nube cumpla o supere los estándares de seguridad que pude. Esto demuestra que invertir en seguridad genera importantes resultados comerciales.

Con el tiempo, el papel del CISO ha evolucionado de un papel técnico pasivo a un experto en seguridad que participa activamente en las decisiones comerciales y asesora al director ejecutivo y a la junta directiva. Esto significa que los objetivos y resultados comerciales pueden verse directamente afectados por el hecho de que un CISO diga sí o no a una solicitud.

Evite la percepción de que el departamento de seguridad dice “no”

Para apoyar los esfuerzos del CISO y comunicar eficazmente los riesgos, es posible que el CISO tenga que decir “no”, pero la conversación no debería terminar ahí. El sector de la seguridad no puede permitirse el lujo de ser visto como un impedimento para la innovación, o como un “sector nulo”, especialmente cuando se trata de las demandas de la IA.

Más bien, deberían esforzarse por ser vistos como un “departamento que dice sí” comprometido a respaldar los objetivos comerciales, al mismo tiempo que asumen la responsabilidad de contabilizar y mitigar los riesgos. Decir “no” y ser un “departamento no” son dos cosas muy diferentes, y cambiar esta percepción a través de la conversación permite a los CISO educar a la empresa sobre los riesgos.

Los CISO deben explorar todas las oportunidades para incorporar la seguridad a las nuevas innovaciones desde el principio, en lugar de crear TI en la sombra, agregar seguridad más adelante o posponer la innovación indefinidamente.

Convierte el no en un sí

Para demostrar el poder del “no”, ¿cuántas solicitudes de una empresa debe rechazar un CISO, por qué y cuánto cuesta realmente en términos de pérdida potencial de participación de mercado que debe realizar un seguimiento? Por ejemplo, los CISO se oponen repetidamente a las nuevas funciones porque no existe una implementación técnica o cultural que respalde la solicitud. El riesgo es demasiado grande.

Se acercaron a la gerencia y dijeron: “Entendemos la presión de publicar esto antes de la competencia y es una oportunidad de $8 millones, pero tenemos x si haces esto sin x, tu oportunidad de $8 millones podría convertirse en un pasivo de $8 millones”.

Con estos datos, los CISO pueden crear un caso de negocio que muestre cómo la seguridad está ligada a la habilitación empresarial. Este soporte permite a los CISO:

Fomentar un programa de cultura de seguridad donde todos asuman la responsabilidad de la seguridad. Esto enseña higiene y propiedad de la seguridad en todos los niveles de la empresa, garantizando que cada empleado desempeñe su papel en la mitigación del riesgo. Justifique el costo de un equipo de herramientas para construir y mantener una canalización de CI/CD con controles de seguridad integrados y no una ocurrencia tardía. Esto permite a los desarrolladores obtener comentarios sobre seguridad en cada etapa del SDLC y centrarse en la funcionalidad. La seguridad debe ser una prioridad en cada etapa del desarrollo de un producto. Esta es una forma de garantizar que la seguridad no se vea comprometida en el proceso. Cree un programa de capacitación y tenga “embajadores de seguridad” en todos los equipos de productos e ingeniería. Esto construye su producto con una mentalidad de seguridad desde el principio, ahorrándole tiempo y dinero más adelante. Sea claro acerca de sus objetivos de seguridad (debe hacer X, Y y Z) y sea flexible (manténgase enfocado en sus objetivos). Hay muchas consideraciones cuando se trata de seguridad, y el trabajo del CISO es priorizar y establecer objetivos realistas utilizando los recursos disponibles.

Estas estrategias involucran profundamente a los desarrolladores en la velocidad de lanzamiento y en el control de la seguridad de sus productos. Al incorporar la seguridad en cada producto desde el principio, hay menos sorpresas y pánicos nocturnos durante los lanzamientos de productos.

Además, estas mejoras mejorarán la cultura de seguridad, garantizarán que las inversiones en seguridad sean proporcionales al riesgo y brindarán a los ejecutivos una comprensión más profunda de los riesgos cibernéticos para que los CISO tengan más confianza a la hora de decir no con menos frecuencia.

A medida que continúa la carrera por implementar la inteligencia artificial, es más importante que nunca distinguir entre decir no y estar en el departamento del no. Los CISO tienen la oportunidad de utilizar el no en términos de riesgos y oportunidades comerciales para justificar mejoras en la seguridad y la resiliencia empresarial mientras mantienen el ritmo de innovación que exigen las empresas modernas.



Fuente: https://www.csoonline.com/article/2123671/the-art-of-saying-no-is-a-powerful-tool-for-the-ciso-in-the-era-of-ai.html/amp/