Explicación
Este es un momento de grandes cambios para los directores de seguridad de la información. Mientras que antes las cosas parecían claras y sencillas, el papel y las responsabilidades del CISO ahora parecen un objetivo en movimiento. Los líderes de la industria de la ciberseguridad deben aclarar estas responsabilidades o enfrentar las consecuencias.
Cuando se contrata a un CISO, a menudo se lo describe como responsable de implementar un marco eficaz de seguridad, seguridad de la información y gestión de riesgos dentro de la organización. Pero a la luz de los cargos de la Comisión de Bolsa y Valores (SEC) contra el CISO de SolarWinds, algunos podrían decir que la descripción del trabajo de un CISO también debería incluir un “chivo expiatorio ante un incidente cibernético”.
Este caso sentó un precedente en materia de responsabilidad personal, creando un elemento disuasorio para el papel de los CISO en las empresas que cotizan en bolsa. Con esta nueva responsabilidad en mente, ahora es un buen momento para analizar qué se necesita para ser un gran CISO y dónde va su trabajo más allá de la descripción de su puesto.
Comprender el impacto del incidente de SolarWinds
Los cargos de la SEC son un paso en la dirección correcta. Esto se debe a que las multas han demostrado ser ineficaces para garantizar que las empresas mantengan su ciberseguridad al día. Pero si bien la SEC está haciendo lo correcto, no necesariamente lo hace de la manera correcta.
Una mayor responsabilidad es un paso importante, pero el camino en el que nos encontramos actualmente coloca esa responsabilidad en gran medida en el CISO. Aunque los CISO a menudo supervisan estas actividades, es posible que no tengan suficiente autoridad para llevarlas a cabo. Esta reacción está poniendo nerviosos a los CISO. Por ejemplo, el CISO de Clorox planea dejar la empresa mientras ésta se recupera de un importante ciberataque en diciembre.
Para evitar el mismo resultado que en el caso de SolarWinds, debemos aprender del caso de SolarWinds. Los CISO a menudo se mantienen alejados de los puntos más finos de las operaciones de ciberseguridad. A alto nivel, defienden e impulsan la agenda de ciberseguridad de la organización. Pero no basta con dar la aprobación final a las grandes decisiones. Debe mantenerse informado sobre el panorama de amenazas y colaborar continuamente con los equipos de seguridad individuales dentro de su organización. Como supervisor de la implementación eficaz de la seguridad, el CISO debe participar en cada paso. Se deben tomar todas las medidas y no se debe dejar ninguna vulnerabilidad sin controlar.
Asegúrese de trabajar para una organización con alta integridad.
Además del control, también es importante contar con un equipo sólido que rodee al CISO. A medida que proliferan los incidentes cibernéticos globales y evolucionan las regulaciones de divulgación y privacidad, existe una necesidad creciente de garantizar que las funciones de seguridad, cumplimiento y gestión de riesgos estén alineadas.
Esto significa que los CISO deben comunicarse constantemente con los socios comerciales senior, legales y de cumplimiento dentro de la organización. Por definición de su función, los CISO a menudo reportan a los directores legales y de cumplimiento, quienes deberían ser sus colegas y socios de absoluta confianza. Si algo parece sospechoso o no se genera confianza, el CISO debería tomarlo como una señal para renunciar.
En medio de las preocupaciones en torno a la rendición de cuentas, la seguridad cibernética insegura se considera una forma de minimizar el riesgo personal y evitar posibles procesos penales hasta que se produzca un incidente de seguridad como resultado de prácticas inseguras. Es probable que en el próximo año aumenten los denunciantes de prácticas inseguras. Tal como están las cosas, esto coloca a los CISO en una posición incierta. Los CISO en lugares de trabajo con alta integridad no tendrán que preocuparse por tales violaciones, pero otros sí deberían hacerlo.
Espere que las reglas de rendición de cuentas puedan cambiar en cualquier momento
Si bien ninguna descripción del puesto puede cubrirlo todo, una habilidad importante para un CISO es tener siempre una actitud positiva y comprender hacia dónde se dirige la industria. Actualmente, la responsabilidad recae en gran medida sobre los hombros de los CISO, pero el alcance de esta responsabilidad pronto podría ampliarse aún más.
El borrador del Certificado de desarrollo de software seguro de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) está dirigido a directores ejecutivos y directores de operaciones, y es probable que este esfuerzo continúe más allá del software. Los fabricantes de software pueden resistirse a esto, argumentando que estos roles abstraen demasiado su comprensión de la ciberseguridad, pero esto podría ser una señal de un esfuerzo concertado por parte de los reguladores para trasladar la responsabilidad a lo más alto.
Por ahora, el CISO está a cargo, pero el año que viene puede que sea el CEO. Si bien la ciberseguridad se ha convertido en un foco de debate a nivel de la alta dirección y de la junta directiva, estos cambios en la industria están dando a los CISO el impulso que necesitan para hacer de la ciberseguridad una prioridad máxima en las discusiones comerciales y evitar que se pueda recibir responsabilidad personal.
Sepa que estar siempre conectado es parte de su rol
Aunque los CISO no pueden predecir todos los ataques cibernéticos, pueden y deben hacer todo lo que esté a su alcance para prepararse para un ataque. Ya no basta con cumplir y dar por terminado el día. Los CISO deben estar más comprometidos, ser proactivos y estar al tanto de los nuevos riesgos y conflictos globales que pueden afectar la postura de seguridad de su organización. El mejor lugar para comenzar es observar de cerca la descripción del trabajo y asegurarse de que todas las casillas estén marcadas, todas las tareas explicadas y que todos los miembros del equipo puedan confiar en usted.
Los CISO son más que simples personas; son tomadores de decisiones clave con respecto a todas las cuestiones de seguridad en una organización. Dado que la responsabilidad es un enfoque tan importante hoy en día, es importante que las empresas aprovechen esta oportunidad para alinearse en todo lo relacionado con la ciberseguridad en preparación para un futuro en el que todos los líderes de nivel C deberán desempeñar un papel.
Fuente: https://www.darkreading.com/cybersecurity-operations/ciso-role-undergoes-major-evolution
