¿Es hora de dividir el papel del CISO?


La ciberseguridad ha atraído mucha atención en los últimos años y, junto con esa atención, se han promulgado leyes y regulaciones, y el monitoreo se ha vuelto más estricto. Como resultado, los CISO tienen responsabilidades que van más allá de los aspectos técnicos de proteger a la empresa.

Según un estudio de IANS, los CISO deben mirar más allá de la seguridad de la información hacia los riesgos técnicos, el cumplimiento y más. Requisitos regulatorios más estrictos significan una mayor necesidad de supervisión de la junta directiva. Los CISO deben alinear constantemente su comprensión de la evolución del riesgo cibernético y el entorno empresarial.

“Los CISO deben colaborar con los ejecutivos de las empresas, los reguladores, los proveedores de seguros cibernéticos y los directores financieros para elaborar presupuestos, y deben estar familiarizados con el lenguaje de los negocios y traducirlo al riesgo cibernético. Es un rol de tiempo completo”, dice John Ortoshik. Analista emérito de Enterprise Strategy Group.

Al mismo tiempo, existe una demanda cada vez mayor de gestión de tecnologías cada vez más complejas, que requieren atención y supervisión dedicadas. “La tecnología se está volviendo increíblemente grande y diversa, incluido el desarrollo de nuevas aplicaciones y la implementación de nuevos tipos de dispositivos, y también se vislumbran implementaciones de IA a gran escala, pero contar con personas que puedan seguir las pautas de la empresa e implementarlas. los controles apropiados son un tipo diferente de rol”, dice Ortoshik a CSO.

Preocupaciones por separar los riesgos técnicos y comerciales

Ese alcance no hará más que ampliarse, y Gartner predice que para 2027, el 45% de las competencias de los CISO se extenderán más allá de la ciberseguridad debido a la creciente presión regulatoria y la ampliación de las superficies de ataque.

Para hacer frente a responsabilidades crecientes, es probable que más organizaciones sigan el ejemplo de los bancos y otras grandes corporaciones y diferencien responsabilidades entre múltiples roles responsables de la gestión técnica y el riesgo empresarial.

Un posible acuerdo es que el CISO informe al CEO y el director de tecnología de seguridad (CSTO), un oficial de seguridad orientado a la tecnología, al CIO.

A nivel funcional, colocar la CSTO dentro del departamento de TI brinda a los CIO la oportunidad de integrarse y colaborar aún más, e integrar la observabilidad y el monitoreo de seguridad. A nivel ejecutivo, es necesario comprender las vulnerabilidades de seguridad, y los CISO pueden ayudar a considerar los riesgos comerciales estratégicos, afirma Oltsik. “Esta separación puede mejorar la supervisión de la seguridad y crear una cultura de seguridad más establecida en las grandes organizaciones”.

Sin embargo, separar la responsabilidad y las líneas jerárquicas conlleva muchas consideraciones y riesgos prácticos. Colocar al CISO fuera del ámbito del CIO corre el riesgo de crear una capa entre la gestión del riesgo cibernético y la supervisión de la tecnología. También puede profundizar la brecha entre las operaciones de TI, que se centran en mantener los sistemas en funcionamiento, y la seguridad, que prioriza mantener los sistemas seguros.

“Todos, no sólo el CIO, están motivados para mantener los sistemas en funcionamiento, pero el trabajo del departamento de seguridad es asegurarse de que los sistemas sean seguros y se pueden colocar barreras que lo hagan un poco más difícil”, dice Olczyk. .

Además, existen riesgos de seguridad al desarrollar e implementar nuevas aplicaciones. Cuando las funciones de tecnología de seguridad caen bajo el ámbito del CIO y de TI, es posible que la seguridad no se considere plenamente si existe un conflicto entre el rendimiento y la seguridad.

“Una de las razones por las que tenemos tantas vulnerabilidades es que a los desarrolladores de software se les paga para poner su código en producción y, al hacerlo, descuidan la seguridad”. “Separar los dos convertiría al CISO en un líder solo de nombre sin responsabilidad operativa, y el CIO podría decirle al director de tecnología de seguridad que se aleje de la seguridad porque está obstaculizando la productividad o el rendimiento.

¿Separar ciertas funciones mejorará la gestión de riesgos?

En otras situaciones, es posible que tenga un oficial de ciberseguridad liderando los equipos de tecnología, operaciones y arquitectura, y un CISO liderando las funciones de gobernanza, riesgo y cumplimiento, dice Chirag Joshi, CISO y fundador de 7 Rules Cyber ​​​​Consultants. razonable hacerlo. “Las funciones de gobernanza y riesgo pueden involucrarse más profundamente con la junta y presentar métricas y mediciones, estrategias y políticas”, le dice Joshi a CSO.

Uno de los requisitos de la SEC es presentar un programa anual de gestión de riesgos cibernéticos, que suele ser la función de los líderes de gobernanza. Los líderes de gobernanza construyen una estrategia que tiene en cuenta las medidas de control, pero debe contar con el apoyo de alguien que sea funcionalmente independiente y pueda cuestionarla si es necesario. “Tener una línea entre las responsabilidades operativas y de riesgo es beneficioso porque esa independencia aumenta la probabilidad de que las selecciones de riesgo puedan ser cuestionadas”, dice Joshi.

Al elevar el papel del CISO al de otros ejecutivos de nivel C, se convierten en asesores comerciales estratégicos con un enfoque en la gestión de riesgos. En lugar de simplemente responder la pregunta “¿cómo aseguramos esto?”, dará una opinión sobre si su organización debería hacer “esto”, como introducir nuevas aplicaciones u otras consideraciones de seguridad.

Para lograrlo, los CISO deben poder adoptar el lenguaje de la alta dirección y explicar las cosas en términos de inversión proporcionada y gestión de riesgos proporcionada. “Necesitan un lenguaje sobre el riesgo, pero que va más allá de simplemente medir el riesgo cibernético como alto, medio o bajo, en lugar de negociar la aceptación del riesgo, deciden invertir proporcionalmente en su gestión. Es una conversación más difícil y no tan simple como la conversación de alto, medio y bajo riesgo”, le dice Joshi a CSO.

Para cambiar de enfoque con éxito, los CISO deben comprender aspectos como las finanzas y la estrategia corporativa, y articular controles cibernéticos en este marco, en lugar de emitir alertas e informes trimestrales. “Los CISO deben incorporar la taxonomía de riesgos a la taxonomía de riesgos de toda la empresa”, dice Joshi.

Pero el presupuesto podría ser un problema en este acuerdo. Joshi explica que los presupuestos de los CIO tienden a estar más centrados en lo cibernético hoy en día y puede resultar difícil crear una situación en la que los CISO y los CIO estén en igualdad de condiciones sin afectar la asignación de fondos.

Otro posible punto de fricción es quién tiene la autoridad para tomar decisiones sobre el mantenimiento de las aplicaciones y sopesar las consideraciones sobre el final de su vida útil y las posibles vulnerabilidades frente a los costos. “Los CIO necesitan administrar los costos y mantener las aplicaciones en funcionamiento el mayor tiempo posible, mientras que los CISO están ansiosos por migrar a nuevas aplicaciones para no tener que preocuparse por las vulnerabilidades heredadas”, agrega Joshi.

¿Es necesaria una persona responsable de las operaciones de seguridad?

En otras situaciones, las organizaciones pueden seguir el ejemplo de grandes bancos como Standard Charters Bank y adoptar un modelo que asigne responsabilidades en tres líneas: operaciones, riesgo y auditoría. El jefe de operaciones de ciberseguridad será responsable de la gestión y la implementación del sistema, el CISO más especializado supervisará el riesgo y el cumplimiento, y un tercer rol será responsable de las funciones de auditoría y podrá revisar de forma independiente las funciones de ciberseguridad, dice Wouter Vougelen, jefe de ciberseguridad de Australia. ​Seguridad y MD Senior en FTI Consulting.

“Los oficiales de operaciones de seguridad manejan todas las respuestas de prevención y detección, mientras que los CISO se centran en la gobernanza, estableciendo políticas sobre controles de seguridad y comprobando el cumplimiento, pero no pueden ser responsables de la implementación. Una sola persona es demasiado amplia para cubrirlo todo”, afirma Veugelen.

Propiedad del riesgo

Sin embargo, dividir los roles de seguridad presenta muchos desafíos, especialmente cuando se trata de responsabilidad. Dividir las responsabilidades entre múltiples roles puede hacer que no quede claro quién es el responsable final de la gestión y los resultados generales de los riesgos de ciberseguridad. Además, si los controles de seguridad operativa se separan de la gobernanza y la gestión de riesgos, puede resultar difícil garantizar una rendición de cuentas adecuada en ambas funciones.

Para abordar este problema, Vougelen sugirió que las organizaciones necesitan políticas y directrices claras en torno a la rendición de cuentas y garantizar que no haya brechas ni superposiciones entre los diferentes roles y funciones de seguridad. También advierte que una persona que posee un riesgo de ciberseguridad no posee todo el riesgo a menos que tenga toda la autoridad para mitigarlo. “La propiedad del riesgo debería recaer preferentemente en partes interesadas que tengan el presupuesto y la autoridad para mitigar el riesgo”, afirma.

De manera similar, pueden surgir conflictos sobre quién es responsable de informar los riesgos al directorio. En la mayoría de los casos, el CISO depende del CIO, quien a su vez depende de los ejecutivos del grupo, pero este acuerdo puede no brindar la opción de una evaluación de riesgos gratuita y honesta. “Si se requiere que el CISO informe los riesgos a la junta directiva, pero la documentación de la junta directiva debe pasar por el CIO, los riesgos de ciberseguridad informados pueden darle al CIO una impresión desfavorable de que los sistemas no están mantenidos”, dice Veugelen.

En este caso, el CISO debería comunicarse directamente con el comité de riesgos y al menos proporcionar un informe equilibrado sobre los riesgos del CISO, afirma.

Mucho depende de la estructura de su empresa y del perfil de riesgo, pero es probable que esta configuración sea adecuada para organizaciones más grandes con la escala necesaria para soportar necesidades de seguridad más complejas y funciones distintas.

Las organizaciones más pequeñas pueden carecer de los procesos y la estructura necesarios para gestionar eficazmente a múltiples ejecutivos de seguridad de la información, lo que genera posibles brechas y superposiciones de responsabilidades entre las funciones que existen. “También se pueden incurrir en costos adicionales para respaldar roles y funciones de seguridad separados dentro de una organización”, dice Veugelen.

Sobre el papel del CISO



Fuente: https://www.csoonline.com/article/2145845/is-it-time-to-split-the-ciso-role.html/amp/