Los CISO son cada vez más responsables personalmente de las fallas de seguridad, lo que hace que los profesionales de la seguridad sean reacios a asumir estos roles.
Estas son las palabras del ex CISO de Uber, Joe Sullivan, hablando en Black Hat Europe 2023.
Sullivan fue sentenciado en 2022 por cargos federales por encubrir el robo de información personal de conductores y clientes de Uber en 2016.
Destacó las implicaciones de largo alcance de los casos recientes en los que los CISO han sido considerados personalmente responsables de incidentes de seguridad en sus organizaciones.
La supervisión legal de los CISO aumentará
Además de su propio caso, Sullivan citó cargos recientes presentados por la Comisión de Bolsa y Valores de EE. UU. contra SolarWinds y su director de seguridad de la información, Tim Brown. Se alega que intencionalmente minimizó o no reveló los riesgos cibernéticos y exageró las medidas de seguridad de la empresa. La denuncia alega que el Sr. Brown no sólo es responsable de las prácticas de seguridad de SolarWinds, sino también de lo que la empresa dice sobre su seguridad.
En su condena, que Sullivan está apelando actualmente, el juez dejó claro que si ocurriera un incidente similar en el futuro, lo enviaría a prisión.
Un ex CISO de Uber dice que la tendencia de los líderes de seguridad a responsabilizarse por las fallas de seguridad de sus empresas significa que los CISO están “pensando en sí mismos y no en el panorama general”, y algunos incluso han decidido dejar sus trabajos. Dijo que algunas personas están considerando hacerlo. él.
Agregó que, de manera anecdótica, los futuros CISO le han preguntado: “¿Por qué debería correr este riesgo personal?”
El papel único del CISO
La persona promedio pensaría que el CISO debería ser responsable de todos los aspectos de la seguridad de una organización, reconoció Sullivan. Sin embargo, la realidad es que el rol de CISO es único entre los roles ejecutivos.
“Los CISO luchan todos los días en el trabajo, pidiendo recursos y animando a otros en la empresa a reducir el ritmo y pensar en las cosas que valoran”, señala.
“Nuestro trabajo no se parece al de ningún otro. Como jefe de seguridad, usted es el único ejecutivo con fuerzas hostiles fuera de su organización empeñadas en destruirlo”, añadió.
Además, cree que actualmente existe una falta de claridad regulatoria para los CISO, que a menudo trabajan en entornos inseguros.
“Se puede lanzar un producto y conseguir millones de usuarios antes de obtener la seguridad del diamante”, comentó Sullivan.
Consejos para CISO
A pesar del mayor riesgo personal para los CISO, Sullivan enfatizó que “no deberían huir de la situación” y agregó: “Si lo hacen, se están perdiendo una gran oportunidad”.
Él cree que se avecinan cambios fundamentales en términos de regulación de la ciberseguridad que obligarán a las organizaciones a repensar cómo abordan la seguridad, y que los profesionales de la seguridad de hoy deben facilitar este cambio.
Sullivan ofrece este consejo sobre cómo los CISO deberían abordar sus funciones en el futuro:
Desarrollar un plan personal de respuesta a incidentes. Para prepararse para una posible responsabilidad personal, los CISO deben prepararse emocional, financiera y legalmente, así como en las relaciones públicas, dijo. Construir mejores relaciones internas. Sullivan dijo que su caso le ha enseñado la importancia de que los CISO desarrollen relaciones estrechas con otras partes de la organización, como los equipos de comunicaciones y la alta dirección. Esto incluye dedicar tiempo a cada departamento de la empresa para comprender cómo operan. Tenga un equipo en el que pueda confiar. Durante los incidentes, los CISO necesitan pasar mucho tiempo con la junta directiva, especialmente a la luz de las nuevas reglas de presentación de informes de la SEC. Por lo tanto, los CISO deben contar con un equipo de seguridad confiable que pueda responder a los ataques sin ellos. Construye una estación de bomberos. Los líderes de seguridad deben desarrollar un plan de respuesta a incidentes basado en cómo trabaja el departamento de bomberos. Los departamentos de bomberos están diseñados para responder a emergencias y se planifican con anticipación, incluidas las rotaciones de equipos.
Para terminar, Sullivan dijo que cree que la industria de la seguridad se dirige en una de dos direcciones, y depende de los expertos decidir qué dirección tomar.
“Podemos ser un equipo impulsado por la gestión técnica y tener que ser invitados a la sala de juntas, o podemos ser un equipo muy respetado y confiable en los niveles más altos del gobierno y las empresas”, dijo.
Crédito de la imagen: Gota de tinta/Shutterstock.com
Fuente: https://www.infosecurity-magazine.com/news/liability-fears-damaging-ciso-role/