El papel del CISO está cambiando. ¿Pueden los propios CISO responder?


El papel del director de seguridad de la información (CISO) se ha ampliado durante la última década debido a la rápida transformación digital. Hoy en día, los CISO deben orientarse más hacia los negocios, asumir más responsabilidades y comunicarse de manera efectiva con ejecutivos, empleados y clientes. De lo contrario, corre el riesgo de sufrir graves fallos de seguridad.

En la amplia conferencia de prensa CPX 2024 en Las Vegas, un panel de CISO y vicepresidentes (VP) de organizaciones internacionales dijeron que la transformación digital, las presiones sobre los ingresos y la falta de conciencia sobre la seguridad están cambiando sus posiciones de técnica a técnica. sobre cómo las cosas cambiaron tanto de ser empresariales a ser muy sociales.

Hoy en día, sugieren que la diferencia entre un CISO eficaz y, por extensión, una cultura de seguridad eficaz en una organización tiene que ver tanto con habilidades de comunicación más suaves como con mitigar vulnerabilidades y definir políticas. De hecho, los líderes de seguridad que tienen éxito en lo segundo pero no en lo primero están exponiendo a sus organizaciones a violaciones importantes.

“¿Preguntó sobre los resultados?”, Preguntó retóricamente Dan Creed, CISO de Allegiant Travel Company, en respuesta a una pregunta de Dark Reading. “Pregúntele a SolarWinds cuál será el resultado”.

El impacto de la transformación digital en los CISO

“El papel del CISO ha cambiado en los últimos 10 años, pero no nos dimos cuenta”, dijo Frank Dixon, vicepresidente del programa de productos de ciberseguridad de IDC, en una conferencia de prensa separada de CPX el 6 de marzo.

Hace unos años, este puesto se creó con un enfoque relativamente limitado al riesgo cibernético, y su imagen permanece hoy. Sin embargo, su alcance se ha ampliado a medida que se han ampliado las superficies de ataque de las empresas. En el pasado, una infracción típica requería una vulnerabilidad en los recursos corporativos. Piense en Target, Ashley Madison, etc. Pero hoy en día, especialmente después de COVID, los correos electrónicos, teléfonos y otros dispositivos de los empleados representan el mayor riesgo para las organizaciones. A medida que las responsabilidades de seguridad de la información se han vuelto colectivas, los CISO se han visto obligados a romper con sus silos.

La transformación digital ha trasladado la TI desde rincones aislados directamente a la línea de negocio. Como señaló el Sr. Dixon, “alrededor del 40% de los ingresos del departamento de TI provienen [Global] El próximo año 2000 será un año impulsado por los productos y servicios digitales. En otras palabras, la naturaleza de la TI pasará de ser un fijador de costos a un generador de ingresos. Y si piensas en lo que eso implica, cambia fundamentalmente el papel del CISO. ” Dado que las empresas actuales ven la TI como un motor de negocios, los CISO son responsables no solo de prevenir y mitigar los riesgos cibernéticos, sino también de asesorar a las juntas directivas sobre las decisiones comerciales y reunirse con desarrolladores, vendedores y clientes. Habrá una mayor necesidad de participar. cosas como hacer cosas.

Las crecientes responsabilidades de los CISO relacionadas con los negocios se reflejan en el estudio de IDC publicado en CPX. De los 847 líderes de ciberseguridad encuestados, el 10% cree que el trabajo más importante de un CISO es el liderazgo y las habilidades de formación de equipos, y el 8% cree que las habilidades de gestión empresarial. La conciencia y comprensión reales de la ciberseguridad y las habilidades de ingeniería y arquitectura de TI recibieron pocos votos, con un 12% cada uno.

Qué pueden hacer los CISO por sus empleados

Los CISO no sólo tienen que actuar como empresarios; “Las consecuencias de no construir esas relaciones son [is] “Empresas como SolarWinds y MGM tienen una cultura que dice: “Bueno, no es mi responsabilidad”. Simplemente llaman al servicio de asistencia técnica y restablecen MFA, pero no se dan cuenta de las consecuencias de la falta de conciencia sobre la seguridad. No lo entiendo ni lo reconozco”, explica Creed.

La sensibilidad del argumento del Sr. Creed es importante, y los participantes de la mesa redonda se hacen eco de ello. Subrayan que la simple sensibilización no es suficiente para evitar fallos de seguridad por parte de los empleados. Incluso los empleados más expertos ignorarán la seguridad si no tienen una buena relación con el equipo de seguridad o si la higiene es demasiado exigente.

“[They say] “La seguridad debería estar oculta. Yo iría un paso más allá y diría que la seguridad debería facilitar y acelerar los negocios”, dijo Pete Nicoletti, CISO de campo de Check Point, y agregó que el CISO moderno ha reflejado la filosofía. Citó las VPN como un ejemplo de cómo los CISO heredados y limitados tradicionalmente han ralentizado los negocios. “¿Mi correo electrónico se conservará durante 2 o 10 segundos? ¿Cuánto tiempo lleva registrarme en una VPN?” [employees] ¿Le gustaría evitar esto, ya que lleva 22 segundos más la autenticación? [It’s about] Nuestro objetivo es hacerlos lo más transparentes y fáciles de usar posible. Una vez que comience a elegir herramientas que realmente aceleren el proceso, obtendrá una ventaja competitiva. “

“Algunos de los primeros esfuerzos que estoy promoviendo son sólo eso”, coincidió Creed. “Alejémonos de las VPN y pasemos a una conectividad permanente, donde puedes encender tu computadora portátil y conectarte a nuestra red a través de la pila de seguridad. Nuestro próximo objetivo es construir las bases para no tener contraseñas”.

Si simplemente hablar con los empleados y simplificar las medidas de seguridad no es suficiente, los CISO también pueden probar otros incentivos. “Tenemos métricas de KPI en torno a la cultura de seguridad y nos estamos preparando para comenzar a impactar el fondo de bonificación, por lo que si el departamento se desempeña mejor, el fondo de bonificación será mayor de lo normal”. [. . .] Si no lo logramos, afectará nuestras bonificaciones”, explicó Creed.

Cómo los CISO pueden colaborar más eficazmente con otros ejecutivos

Luego está el tablero.

En un estudio, IDC preguntó a los CISO y otros CIO qué hacen realmente los CISO, por ejemplo, si se centran en la arquitectura estratégica o si su trabajo es de naturaleza táctica. Cuando se les preguntó, descubrimos que había bastantes discrepancias en las respuestas. Esto muestra que incluso los socios de nivel C más cercanos al CISO no están completamente en la misma página.

Creed recordó recientemente uno de esos casos. “Hemos pedido algunos 737 nuevos y este es nuestro primer avión conectado electrónicamente”. [The board] Debido a que no me incluyó en la conversación anterior, el hecho es que todas las aeronaves nuevas conectadas electrónicamente tienen requisitos de ciberseguridad a menos que tengan un plan de seguridad de red aprobado y aprobado por la FAA. Se convirtió en un simulacro de incendio que resultó en la pérdida de. los certificados de aeronavegabilidad de dichas aeronaves. ¿Cree que cuando la junta comenzó a hablar por primera vez de seguir este camino de ‘expandir nuestra flota de aviones’, consideraron las posibles implicaciones de seguridad que esto tendría?

“Por eso tenemos que educarlos y explicarles. Por eso necesitamos sentarnos en la mesa. Cada decisión estratégica que se toma para una empresa implica riesgos”. [. . .] “Cuanto más nos incluyamos en la mesa, mejor podremos proteger nuestros negocios y determinar dónde está ese riesgo desde el principio, en lugar de después del incendio”, dijo.

Con ese fin, en una entrevista con Dark Reading, Russ Traynor, vicepresidente senior de tecnología de la información de los Denver Broncos, ofreció algunos consejos sencillos.

“A veces le envío la noticia de una filtración de datos al director financiero. ¿Cuántos datos cree que se han filtrado y cuánto cuesta?”, dice. “Este tipo de información a menudo resuena en la gente”.



Fuente: https://www.darkreading.com/cybersecurity-operations/ciso-role-changing-can-cisos-keep-up