Hace más de 10 años, escribí una publicación de blog titulada “Cinco errores que cometen los nuevos líderes en seguridad de TI”.
Puede que se sorprenda, pero a pesar de todos los avances y cambios en la industria de la tecnología y la ciberseguridad durante la última década, no solo los consejos que proporcioné siguen siendo relevantes, sino que algunas de estas áreas siguen siendo una preocupación importante a pesar de las nuevas innovaciones.
Como resumen rápido (pero recomiendo leer el artículo completo), aquí están mis cinco principales errores de 2013:
1) Sea el “Dr. No”: hice una lista y la revisé dos veces. Ahora está listo para utilizar su nuevo poder de seguridad para detener todo lo malo que sucede dentro de su empresa. ten cuidado…
Como líder de seguridad, su instinto es pasar a la ofensiva, pero no quiere que lo conozcan como “el saboteador del partido”. Nuestro objetivo es ser conocidos como defensores de la tecnología e innovación seguras.
2) No construir una red profesional de 360 grados: los nuevos líderes de seguridad deben pensar en generar confianza en cada parte del organigrama, desde los gerentes hasta los colegas y el personal de primera línea. Sal y conoce a tus clientes. Memoriza tu cara en los círculos correctos. Únase a comités corporativos y grupos de trabajo clave durante su primer año. Caminemos. Dejar la oficina. Entonces definitivamente quedarás satisfecho.
3) Centrarse demasiado internamente durante demasiado tiempo: no hablo en público, no escribo blogs, no uso las redes sociales ni formo parte de comités externos. Esta área es similar a la 2, pero externa a la organización.
Las relaciones públicas positivas (tanto internas como externas) requieren tiempo y esfuerzo, así que comience temprano. Le ayudarán a usted y a su equipo cuando las cosas se pongan difíciles. La comunicación positiva y las buenas historias sobre los éxitos de su equipo deben ser parte de su plan para el éxito.
4) Malos hábitos de relación/gestión de proveedores: este problema con el socio externo puede hacer que cualquiera de las partes “se caiga del caballo”. Algunos líderes de seguridad dedican todo su tiempo a empresas de productos y servicios de seguridad creando hojas de ruta, planes de ciclo de vida, nuevas estrategias de actualización y más. Lo convierten en su reunión de trabajo de tiempo completo con empresas establecidas y empresas de seguridad emergentes. Algunas personas apoyan abiertamente a una o dos empresas específicas basándose en experiencias pasadas o amistades personales.
Por otro lado, algunas personas piensan que lo saben mejor que nadie, o que este es un gran problema que los proveedores de seguridad deben superar. Evitan reunirse con proveedores porque puede consumir gran parte de su valioso tiempo.
5) Falta de mentores: por alguna razón, muchos nuevos líderes de seguridad piensan que pueden hacerlo solos, o que nadie ha hecho su trabajo particular antes, o que no tienen tiempo para contratar a un mentor externo.
Es un mal comportamiento. Encuentre un mentor confiable y respetado lo antes posible en su nuevo rol. Ayuda de muchas maneras. Y algún día, devuélvale el favor asesorando a uno o más líderes nuevos.
actualización 2024
Entonces, ¿qué falta en esta lista?
Una percepción común pero precisa que tienen la mayoría de los nuevos CISO es que necesitan realizar una evaluación de riesgos básica de la empresa. Esto es algo que la mayoría de los nuevos CISO hacen bien, ya que a menudo quieren o necesitan medir el progreso con respecto a métricas.
Pero evaluar a las personas además de los procesos y la tecnología puede no ser tan obvio o común. Muchos nuevos líderes en ciberseguridad están analizando los resultados de las auditorías, los controles implementados (o no), la gestión de identidades, los marcos implementados (como CSF 2.0), los procesos que funcionan bien y los que no. lista de verificación de otras áreas de riesgo que necesita conocer.
A continuación se ofrecen algunos consejos para “personas”.
1) Rodéate de expertos que puedan fortalecer tus debilidades y llenar tus puntos ciegos.
2) Forme un equipo que trabaje en conjunto. De particular importancia son aquellos que le reportan directamente. (Nota al margen: es por eso que muchos entrenadores en jefe en deportes universitarios y profesionales llevan a su personal con ellos cuando cambian de roles. Los líderes inteligentes comprenden la importancia de la confianza y la velocidad de la confianza dentro del equipo de liderazgo. Entendemos que esto puede hacer o deshacer una toda la organización.
3) También puedes medir el progreso de cómo está funcionando la relación en 360 grados. Para obtener más información sobre cómo hacer esto, consulte este artículo sobre cómo evaluar a un CISO.
Si bien el tema del desarrollo de equipos está en la mente de muchos nuevos líderes de seguridad (CISO, Director de Seguridad, cualquiera que sea el puesto), el entorno actual dificulta que atraer y retener talento en seguridad a lo largo de los años sea a menudo muy difícil de lograr. Esto es especialmente cierto en el sector público, donde a menudo faltan salarios, beneficios y opciones sobre acciones.
Aún así, como he escrito muchas veces, prefiero tener un equipo de profesionales de seguridad competentes, confiables y trabajadores que un equipo lleno de “estrellas de rock” de seguridad talentosas pero poco confiables. Creo que es bueno.
Otros líderes de seguridad sólo contratan a personas que no son tan buenas como ellos porque temen salir perdiendo.
Conclusión: puedes fallar en cualquier lado, pero tómate tu tiempo para elegir y apoyar a tu equipo.
Antes de concluir este blog, me gustaría analizar algunas razones comunes por las que todos los profesionales de la seguridad pueden fracasar. Esto se superpone de alguna manera con la lista de temas de Éxitos y fracasos del CISO.
pensamientos finales
Publiqué una versión en LinkedIn de mi artículo de 2013 y recibí muchos comentarios. Algunos de ellos involucraban a CISO con mucha experiencia en gestión pero sin suficientes habilidades técnicas. Aquí hay un comentario de Jean Pawluk.
“Bien dicho. [am] Pero estoy empezando a ver que muchos CISO no tienen ningún conocimiento técnico y no entienden la seguridad, pasando el 99% de su tiempo hablando con sus jefes en lugar de conocer las necesidades de seguridad de su organización o evitar que ocurran problemas. obstáculos ya que paso mucho tiempo administrándolos. Aceptan casi todo el riesgo porque piensan que es más barato pagar después. “
Mi respuesta: “Jean, estoy completamente de acuerdo. Creo que puede salir mal en cualquier lado o la persona carece de la capacidad técnica o tiene dificultades para conectarse con la alta dirección y la empresa. Más complejo que eso: hay cinco (o seis) conjuntos de relaciones y habilidades que deben considerarse.
Después de todo, cada nuevo CISO aporta fortalezas y debilidades al rol de liderazgo, pero aún puede aprender de las experiencias de los demás y evitar las trampas que inevitablemente enfrentarán.
Fuente: https://www.govtech.com/blogs/lohrmann-on-cybersecurity/navigating-the-ciso-role-common-pitfalls-for-new-leaders