William Wetherill, CISO de DefenseStorm, analiza cómo los CISO pueden pasar de guardianes técnicos a líderes estratégicos para guiar a las organizaciones a través de los desafíos de ciberseguridad.
El papel del Director de Seguridad de la Información (CISO) se reconoce cada vez más como esencial para que cualquier organización persiga eficazmente sus objetivos estratégicos. Son los guardianes de la seguridad de la información y son responsables de minimizar el grave impacto de los incidentes cibernéticos. Tradicionalmente, los CISO han sido relegados a una función técnica, principalmente responsables de implementar medidas de seguridad para proteger la infraestructura de TI de una organización. Sin embargo, a medida que las ciberamenazas se han vuelto más complejas y la dependencia de los recursos digitales ha aumentado, nuestra comprensión del papel del CISO ha evolucionado.
Hoy en día, se espera que los CISO asuman un papel más estratégico, incluido el desarrollo y la dirección de programas de seguridad de la información, trabajando con líderes empresariales para educar y gestionar los riesgos tecnológicos y evaluar y gestionar continuamente la postura de riesgo cibernético y tecnológico de la organización. Debido al nivel de rendición de cuentas y responsabilidad legal que conlleva el puesto, los CISO deben tener un asiento en la mesa de toma de decisiones. No se trata sólo de dar voz a los CISO, sino de reconocer la importancia de la ciberseguridad e integrarla en la estrategia empresarial general, fomentando al mismo tiempo expectativas razonables de confianza y responsabilidad. Esto significa participar en discusiones estratégicas, tener la autoridad para autorizar cambios importantes en ciberseguridad y contar con el apoyo de la junta directiva y el liderazgo ejecutivo.
la necesidad de cambio
El reciente incidente de SolarWinds ha generado preocupaciones sobre la falta de priorización de la ciberseguridad y la transparencia, pero también ha generado una visión más discriminatoria de los niveles de responsabilidad de los CISO. La Comisión de Bolsa y Valores (SEC) ha acusado a SolarWinds y su CISO de fraude y fallas de control interno relacionadas con supuestos riesgos y vulnerabilidades de ciberseguridad conocidos.
La denuncia alega que SolarWinds y su CISO engañaron a los inversores al exagerar las prácticas de ciberseguridad de SolarWinds y subestimar o no revelar los riesgos conocidos. Este caso destaca la importancia de la transparencia en las prácticas de ciberseguridad y las posibles consecuencias legales y financieras de no hacerlo. También destaca la necesidad de que los CISO aclaren su autoridad para autorizar cambios significativos y garanticen que toda la alta dirección esté comprometida a priorizar la ciberseguridad.
El papel estratégico del CISO en ciberseguridad
Para que los CISO protejan eficazmente a sus organizaciones, deben ampliar su papel estratégico y establecer claramente su autoridad para tomar decisiones clave. Los ejecutivos pueden trabajar con los CISO para ampliar sus funciones de siete maneras:
1. Gestión de riesgos: los ejecutivos pueden identificar, evaluar y mitigar de forma proactiva los riesgos de ciberseguridad. Esto incluye comprender la tolerancia al riesgo de su organización y ajustar su estrategia de ciberseguridad en consecuencia. Se pueden utilizar herramientas y metodologías de evaluación de riesgos para identificar posibles vulnerabilidades y amenazas y desarrollar estrategias de mitigación. Esto incluye monitorear y actualizar continuamente los planes de gestión de riesgos para adaptarse al cambiante panorama de amenazas.
2. Desarrollar políticas de seguridad de la información: los CISO pueden liderar el desarrollo y la implementación de políticas y procedimientos de ciberseguridad. Esto incluye establecer estándares para la protección de datos, la seguridad de la red y la respuesta a incidentes. Colabore con varias partes interesadas para desarrollar políticas que se alineen con los objetivos y requisitos regulatorios de su organización. Estas políticas deben revisarse y actualizarse periódicamente para que sigan siendo prácticas y relevantes y aprobadas por la alta dirección.
3. Capacitación y concientización: lanzar un programa de concientización sobre ciberseguridad para educar a los empleados sobre posibles amenazas cibernéticas y la importancia de cumplir con las políticas de seguridad. Estos programas pueden incluir sesiones periódicas de capacitación, talleres, simulaciones y más para ayudar a los empleados a comprender sus funciones y responsabilidades en el mantenimiento de la ciberseguridad. Esto fomenta una cultura consciente de la seguridad en la que todos los empleados realmente comprenden la importancia de su función para mantener segura la organización.
4. Planificación de respuesta a incidentes: los CISO deben desempeñar un papel clave en la planificación y ejecución de estrategias de respuesta a incidentes. Esto incluye desarrollar un plan para gestionar las violaciones de seguridad y reducir su impacto. También debe crear y probar procesos diseñados para coordinar diferentes equipos para responder de manera rápida y efectiva a los incidentes de seguridad. Esto incluye realizar revisiones posteriores al incidente para aprender del incidente y mejorar la respuesta futura de la organización.
5. Colaborar con unidades de negocios: trabajar en estrecha colaboración con varias unidades de negocios para incorporar consideraciones de ciberseguridad en las decisiones comerciales. Esto hace que la seguridad sea una parte clave de su estrategia empresarial, en lugar de una idea de último momento. Podemos brindar orientación y soporte para ayudar a las unidades de negocios a implementar medidas de seguridad y cumplir con las políticas de seguridad.
6. Manténgase al tanto de las tendencias: manténgase actualizado sobre las últimas tendencias, amenazas y estrategias de mitigación de ciberseguridad. Este conocimiento ayuda a tomar decisiones estratégicas y garantiza que las medidas de seguridad de su organización estén actualizadas. Manténgase informado sobre los últimos avances en el campo participando en foros de la industria, asistiendo a conferencias sobre ciberseguridad y colaborando con otras organizaciones.
7. Cumplimiento normativo: los CISO pueden liderar los esfuerzos de cumplimiento de las regulaciones de ciberseguridad relevantes. Esto ayuda a las empresas a evitar multas y posibles problemas legales, y fortalece la postura de seguridad de su organización. Puede trabajar con equipos legales y de cumplimiento para comprender los requisitos reglamentarios y garantizar que las prácticas de su organización los cumplan.
Más información: 3 métricas que un CISO debe presentar a la junta directiva y cómo calcularlas
Colaboración con el equipo ejecutivo.
Además de este papel estratégico ampliado, el CISO puede mejorar significativamente la postura de ciberseguridad de la organización y la resiliencia ante las amenazas cibernéticas al trasladar la carga del CISO solo a una responsabilidad compartida en todo el equipo ejecutivo como un esfuerzo conjunto. Los CISO deben trabajar con los ejecutivos para revisar y tomar decisiones basadas en recomendaciones, garantizando que las medidas de seguridad estén alineadas con los objetivos comerciales más amplios de la organización.
Además, debe trabajar con la gerencia para desarrollar una estrategia de riesgo integral, estableciendo umbrales de riesgo aceptables y pasos proactivos para reducir el riesgo a niveles aceptables. Los CISO también deben comunicarse directamente con la junta directiva y discutir abiertamente las preocupaciones y recomendaciones de seguridad. Con los recursos necesarios, una autoridad establecida y un modelo de responsabilidad compartida, los CISO pueden hacer mejor su trabajo.
Adopción de tecnología avanzada por parte del CISO
Los CISO han liderado los avances en tecnología y también han contribuido a una transformación significativa de sus funciones. Los CISO han desempeñado un papel clave en la adopción y promoción de nuevas tecnologías para mejorar los programas de seguridad de manera innovadora. Ampliamente conocido como el primer CISO del mundo, Steve Katz (se abre en una ventana nueva) proporciona un excelente ejemplo de cómo los CISO pueden aprovechar la tecnología avanzada para transformar el camino de seguridad de una organización.
Después de un importante incidente de piratería informática, la junta directiva de Citicorp ordenó al director ejecutivo que contratara a un director de seguridad. Steve Katz se convirtió en el primer CISO de la empresa y su enfoque fue innovador en ese momento. Katz consideró que su función era servir a toda la empresa, no sólo al departamento de TI. Creíamos que la ciberseguridad es una herramienta para gestionar el riesgo empresarial. Katz lideró el desarrollo de protocolos de seguridad más sólidos, incluido el cifrado avanzado de transferencias de datos y procesos de autenticación mejorados para el acceso al sistema. El Sr. Katz también trabajó para implementar software antivirus y seguridad del sistema de correo electrónico para computadoras personales que se usaban con mayor frecuencia en ese momento. Katz no sólo fortaleció las prácticas de seguridad de Citicorp, sino que también sentó un precedente para el papel del CISO en la organización, enfatizando la importancia de incorporar tecnología avanzada en el camino de la seguridad.
Los CISO están aprovechando la inteligencia artificial (IA) y el aprendizaje automático (ML) para el análisis del comportamiento de usuarios y entidades (UEBA) y herramientas de monitoreo para mejorar su capacidad de detectar y responder a amenazas de seguridad y aprovechar la tecnología avanzada para seguir innovando. También se están adoptando infraestructura definida por software, infraestructura como código y redes definidas por software para crear entornos de TI más flexibles y seguros. Otros ejemplos notables de tecnologías avanzadas implementadas para mejorar la seguridad incluyen herramientas de orquestación y automatización como Orquestación, Automatización y Respuesta de Seguridad (SOAR), que reducen los tiempos de respuesta y reducen la necesidad de personal adicional.
Liderazgo CISO en gobernanza de la ciberseguridad
En el futuro, los CISO deberán ser una parte integral del proceso de toma de decisiones y tener la autoridad para realizar cambios significativos en la ciberseguridad. Al reconocer la importancia estratégica de los CISO, deben incorporar la ciberseguridad en su estrategia comercial general. Esto no sólo le ayuda a evitar repercusiones legales y financieras, sino que también protege la reputación de su organización, garantiza el éxito de sus iniciativas estratégicas y, en última instancia, protege sus resultados.
El papel del CISO en la gobernanza de la ciberseguridad no sólo es esencial, sino fundamental. El liderazgo, la experiencia y la visión estratégica de un CISO son esenciales para guiar de forma segura a una organización a través de la agitación de las amenazas cibernéticas. El papel del CISO no es sólo gestionar el riesgo, sino también permitir la confianza, la resiliencia y el crecimiento. El futuro de la gobernanza de la ciberseguridad está ligado al papel estratégico del CISO, que no sólo es el guardián de la seguridad de la información sino también el arquitecto de la confianza digital.
Fuente de la imagen: Shutterstock
Acerca de CISO (director de seguridad de la información)
Fuente: https://www.spiceworks.com/tech/it-careers-skills/guest-article/role-of-ciso-in-cybersecurity/