El peligroso papel del CISO: navegando por el campo minado moderno


En la era digital actual, los directores de seguridad de la información (CISO) están en primera línea para proteger a las empresas, los clientes, los datos y otras partes interesadas de un entorno de amenazas cada vez más peligroso. Los CISO, que alguna vez se centraron en proteger redes y sistemas, ahora enfrentan desafíos que van desde estrictos requisitos regulatorios hasta una mayor responsabilidad legal debido a violaciones de datos y complejidades de cumplimiento. De hecho, la presión ha aumentado tanto que algunas personas que anteriormente habían considerado esta carrera profesional se sienten ansiosas.

“Los profesionales de seguridad de alto nivel nos preguntan cada vez más: ‘¿Quién quiere hacer ese trabajo?’. Esa es una muy buena pregunta”, dijo Robert Hansen, director general de Grossman Ventures. “No sé si las empresas se dan cuenta del riesgo que corren sus CISO. Puedo entender el motivo si hay un beneficio financiero, pero un nuevo CISO necesita un buen abogado. Le advierto que revise su acuerdo de incorporación y lo cumpla absolutamente. Asegúrese de que tenga la mayor cobertura posible en sus términos, así como cualquier producto de seguro que pueda ayudar a compensar su riesgo. Le recomendamos que dedique más tiempo a investigar esto, porque hay mucho en juego.

Desafíos regulatorios: un panorama cambiante

La evolución del papel del CISO va paralela a los rápidos cambios en los marcos regulatorios y las amenazas a la ciberseguridad. Hansen enfatiza que “mantenerse por encima de la zona de peligro regulatorio” es la principal presión que enfrentan los CISO de hoy. El entorno regulatorio cambia constantemente, con nuevas regulaciones y sanciones internacionales que modifican los requisitos de cumplimiento casi a diario. Para los CISO, este entorno dinámico requiere no sólo medidas sólidas de ciberseguridad, sino también un cumplimiento meticuloso de estándares legales en constante cambio.

“Si no se trata de nuevas sanciones o cambios en las normas de presentación de informes desde el extranjero, es o un mandato interno o una carga burocrática que cambia casi a diario”, continuó Hansen. “Creo que sería demasiado fácil si todo fuera estable. He oído a los CISO decir: ‘No tengo miedo de los hackers, tengo miedo de los auditores'”.

Por supuesto, los incidentes que rodearon a los jefes de seguridad de Uber y SolarWinds han aumentado esta ola de presión, pero conocemos otros incidentes de seguridad en los que la regulación ha creado responsabilidad personal.

Hansen no está solo en esta opinión. Hablé con dos personas que actualmente ocupan puestos de CISO y ambas tenían inquietudes similares. De hecho, Kayla Williams, CISO de Devo, explica que ha visto a colegas abandonar o dejar de ocupar puestos debido a preocupaciones sobre la responsabilidad.

A diferencia de otros directores ejecutivos que normalmente tienen autoridad para tomar decisiones, los CISO se encuentran en una posición precaria porque tienen un control limitado sobre las decisiones comerciales clave que a menudo afectan las inversiones y la estrategia en ciberseguridad.

“No se considera la responsabilidad de los líderes empresariales (CEO, CFO, etc.) y los CISO a menudo no tienen la autoridad para ejecutar estrategias de hoja de ruta sin el apoyo (financiero, cultural) y la aceptación de los líderes empresariales”, dice Williams. “Esto coloca a los CISO en la posición de tratar de proteger los datos de su negocio y de sus clientes tanto como sea posible sin tener un control total sobre lo que sucede con la inversión en tecnología, el desarrollo e incluso el desarrollo comercial que influyen en estas decisiones”.

anuncio publicitario. Desplázate para seguir leyendo.

“Un panorama de amenazas en constante evolución”

Aunque se escucha este término en los comunicados de prensa de casi todos los proveedores, la realidad es que los actores de las amenazas, las amenazas y las tecnologías que utilizamos para protegernos de esas amenazas cambian constantemente. Y a medida que el panorama de amenazas siga evolucionando, también lo hará el papel del CISO.

“Varios [changes] “La tecnología es técnica”, dice Merritt Baer, ​​​​CISO de Reco. “Por ejemplo, con la aceptación generalizada de la computación en la nube y los entornos basados ​​en aplicaciones abstractas y, por supuesto, el aumento de la IA tanto en la seguridad como en las prácticas de protección, es importante mantenerse alerta y ser un agente de cambio. Obviamente, existe presión porque eso. es lo correcto para el negocio”.

Baer continuó diciendo que la seguridad es una característica de todo lo que hacemos hoy y es parte de todo lo que ofrecemos, ya sea en hotelería, tecnología, manufactura, automoción o biociencias. No importa dónde trabaje, la seguridad aumenta significativamente la presión laboral.

“Estoy en el negocio de la seguridad porque es inherente a los valores de la empresa”, dijo.

Las crecientes presiones asociadas a la tecnología van más allá de las amenazas mismas. Williams describió sucintamente cuatro razones relacionadas con la tecnología que han superado las presiones sobre los CISO de hoy.

Clientes cada vez más sofisticados exigen control sobre sus contratos. Las compañías de seguros cibernéticos requieren de una gerencia para obtener cobertura. Los privilegios de función varían ampliamente según la empresa, la industria y la región, lo que genera una falta de comprensión general. Mayor dependencia de proveedores y socios externos, lo que puede aumentar significativamente la superficie de ataque.

Sin mencionar la preocupación constante sobre la razón por la que los CISO asumieron el papel en primer lugar: la tutela. Además de todo lo escrito, una de las mayores presiones sigue siendo la falta de visibilidad, según Williams.

“Cuando tienes desconocidos en tu red y no puedes protegerlos porque no tienes visibilidad, de repente tus activos están

Aparece porque está potencialmente comprometido, nadie sabía que existía y no hay control para descubrir qué está pasando. ”

Evolución estratégica: de experto en tecnología a líder empresarial

En medio de estos desafíos, estamos viendo un cambio significativo en la forma en que las organizaciones perciben y posicionan el rol del CISO. Baer enfatizó que el alcance de la responsabilidad del CISO se está ampliando y que el creciente número de CISO que reportan directamente al CEO refleja el reconocimiento de la importancia estratégica de la ciberseguridad en los niveles más altos de gobierno corporativo. Esto es algo positivo en general. Esta posición elevada brinda a los CISO la oportunidad de alinear los objetivos de seguridad con objetivos comerciales más amplios e integrar la ciberseguridad en el tejido de la cultura de la organización. Más importante aún, los CISO tienen la oportunidad de reunirse con la junta directiva cara a cara.

“Esperamos que este escrutinio cree una oportunidad para ser realmente parte de la conversación, de modo que los CISO tengan individualmente la voluntad política que necesitan”, dijo Baer. “Las decisiones clave de seguridad son decisiones comerciales, por lo que como CISO no obtendrá todo lo que desea, pero obtendrá lo que necesita”.

Pero adaptarse a este desafío requiere más que capacidad técnica. Los CISO deben tener una gran visión empresarial y habilidades políticas para navegar en la dinámica interdepartamental, pero Hansen señala que este no es necesariamente el caso de los CISO de tecnología.

“Uno de mis amigos que es muy activo en este espacio en una firma de capital privado dice que cuando analiza más de 100 CISO, los que tienen más éxito tienden a ser CISO centrados en los negocios”, dice Hansen. “Tienden a poder sentarse a la mesa, colaborar con juntas directivas y equipos de gestión, y trabajar de forma proactiva y proactiva en todos los departamentos”.

Añadió además que, desde su perspectiva, los CISO con más habilidades prácticas tienden a tener un desempeño inferior en estos entornos porque son menos capaces de manejar conversaciones multifuncionales.

“No estoy diciendo que no puedan resolverse”, dijo. “Pero están en desventaja”.

Hansen dijo que los CISO no técnicos tienden a tener la ventaja de contratar personas que comprenden aspectos técnicos que ellos tal vez no comprendan. “pero, [themselves] Si nunca comprende cómo explotar las cajas de Windows NT, su capacidad para gestionar y mitigar adecuadamente los riesgos dentro de una gran empresa se verá comprometida. ”

Equilibrar riesgo y recompensa: el futuro del CISO

A medida que las organizaciones lidian con el impacto de la ciberseguridad en sus resultados y reputación, la pregunta de si el rol de CISO vale los riesgos inherentes ha cobrado gran importancia. Más allá de los incentivos financieros como opciones sobre acciones, bonificaciones y buena voluntad de la industria, los posibles CISO deben considerar cuidadosamente las responsabilidades personales y profesionales asociadas con el puesto. Fortalecer la protección legal a través de acuerdos de incorporación exhaustivos y cobertura de seguro profesional puede ayudar a reducir el riesgo, pero los desafíos persisten en un entorno cada vez más litigioso.

El rol de CISO es uno de los puestos más exigentes y de mayor riesgo en el liderazgo corporativo, con grados claramente diferentes de valor y riesgo, pero para los líderes visionarios, puede ayudar a dar forma al futuro de la ciberseguridad. En una era dominada por la transformación digital y las crecientes amenazas a la ciberseguridad, el camino a seguir requiere ejecutivos adaptables que puedan navegar por la complejidad regulatoria, fomentar alianzas estratégicas e impulsar la resiliencia organizacional.

A medida que las empresas sigan priorizando la ciberseguridad como un imperativo empresarial clave, el papel del CISO sin duda evolucionará, permitiéndoles no solo proteger los datos sino también liderar la organización hacia el crecimiento sostenible y la innovación.

“Mi esperanza es que estemos a punto de ver una ola de talentos inteligentes y diversos que vean la seguridad como un campo creativo, y eso espero”, dijo Baer. “Pero la realidad es que, si miras a tu alrededor hoy en día, la mayoría de los CISO todavía son bastante homogéneos… ¡Intentémoslo! Si convertirse en un ejecutivo de seguridad es la verdadera forma de cambiar el mundo para mejor, es un buen punto de partida”.

Relacionado: Cyber ​​​​Insights 2024: ¿Un año desastroso para los CISO?

Relacionado: Conversación de CISO: Geoff Belknap de LinkedIn y Guy Rosen de Meta



Fuente: https://www.securityweek.com/the-perilous-role-of-the-ciso-navigating-modern-minefields/amp/