El papel del CISO es cada día más importante.
Los negocios son cada vez más complejos. Los ataques son interminables. El impacto de las infracciones es cada vez más grave. Aunque las empresas siguen invirtiendo mucho en herramientas defensivas, muchas todavía luchan por protegerse de tácticas comunes como el phishing por correo electrónico. Mientras tanto, se espera que la IA impulse aún más a una comunidad global de hackers ya decidida. Esto hace que una situación de amenaza peligrosa sea aún más peligrosa.
Muchas empresas confían en los CISO para gestionar estos desafíos. Sin embargo, el nivel de autoridad otorgado a los CISO varía ampliamente. En última instancia, todas las empresas necesitan prevenir, detectar y recuperarse de los ataques. Sin embargo, el papel del CISO en la implementación de estas prioridades varía ampliamente de una empresa a otra. Y a menudo depende de dónde se encuentra su organización en su curva de crecimiento.
Las responsabilidades y autoridades del CISO deben alinearse con las prioridades comerciales generales de la empresa. Esto incluye el valor asignado a los recursos de datos y el nivel de riesgo que la empresa está dispuesta a asumir en caso de un ataque real. Cualquier discrepancia puede reducir la seguridad de su organización.
Por eso es tan importante la estrecha colaboración entre CISO y CIO. Aunque los CIO suelen ocupar puestos altos dentro de las organizaciones, no siempre es así. De cualquier manera, es necesario comprender la madurez en ciberseguridad de su organización. Sólo entonces podrá el CIO facultar al CISO para que tome las medidas necesarias para cumplir con sus funciones principales.
Esto es lo que los líderes empresariales necesitan saber sobre el papel de la ciberseguridad en sus organizaciones y el tipo de talento necesario para liderar equipos de seguridad a medida que las empresas evolucionan.
Nivel de madurez 1:
En las organizaciones menos maduras, el equipo de seguridad es simplemente una persona clave. Los equipos de seguridad no pueden establecer políticas de forma independiente en toda la empresa. Además, los equipos de TI suelen asumir muchas de las responsabilidades diarias necesarias para mantener el entorno tecnológico en funcionamiento.
En esta etapa, las empresas normalmente ni siquiera tienen un CISO de tiempo completo. En cambio, el departamento de “ciberseguridad” está formado por unos pocos técnicos que pueden configurar servidores, por ejemplo. Y a menudo reportan a los gerentes de TI de nivel medio y, a veces, al CIO.
En estas organizaciones, la ciberseguridad se convierte en gran medida en una tarea de “marcar casillas”. Estas empresas suelen ser más pequeñas y tienen huellas de TI más concentradas. También suelen ser empresas privadas. A diferencia de las empresas públicas, no son responsables ante accionistas que valoran la ciberseguridad. Las empresas privadas también están menos preocupadas por la necesidad de auditar sus sistemas según lo exigen las regulaciones.
En cambio, a menudo se priorizan otros objetivos, como aumentar rápidamente las ventas. De hecho, las medidas de ciberseguridad que suponen una carga para los usuarios finales a menudo obstaculizan ese objetivo. Por ejemplo, algunas organizaciones pueden evitar la autenticación multifactor debido a la carga que supone para los usuarios.
Nivel de madurez 2:
A medida que su negocio evoluciona, su entorno de TI también debe evolucionar. Con más empleados, flujos de trabajo y puntos de contacto con clientes y proveedores, la superficie de ataque potencial de los piratas informáticos se expande.
De repente, la ciberseguridad se vuelve más importante. Muchas empresas designan a su primer CISO en esta etapa. Sin embargo, en este nivel, el rol a menudo no incluye la autoridad para desarrollar y ejecutar la estrategia. En cambio, los CISO suelen ser expertos técnicos. A veces paso tiempo codificando con mis empleados.
En esta etapa, las empresas también comienzan a incorporar experiencia en cumplimiento. También puede introducir capacidades iniciales de seguimiento y auditoría. A medida que los equipos de seguridad crecen, la brecha con TI comienza a cerrarse. Las dos partes ahora están trabajando juntas para identificar áreas donde no se están cumpliendo los objetivos de seguridad. Hoy en día, los CISO y los CIO interactúan con más frecuencia.
Nivel de madurez 3:
En última instancia, los CISO necesitan la autoridad y autonomía para implementar controles de seguridad en toda la organización. En esta etapa, el CISO posee más capacidades técnicas. Los CISO son responsables de prevenir, detectar y recuperarse de los ataques. El CISO puede incorporar expertos en áreas como la seguridad en la nube. O podría introducir nuevas funciones, como la gestión de identidades y accesos.
En este nivel, los CISO aún no están tomando decisiones unilaterales. Otros ejecutivos se oponen a las medidas que creen que afectarán la productividad o alterarán el flujo de trabajo. La ciberseguridad se ha vuelto importante, pero los líderes empresariales aún administran equipos de seguridad.
Mientras tanto, el departamento de TI se ha convertido en un equipo independiente encargado de monitorear la infraestructura central. El departamento de TI se centra en poner en marcha servidores, implementar nuevos entornos de desarrollo y gestionar el ciclo de vida de los distintos componentes implicados.
Sin embargo, en el mejor de los casos, el CIO comienza a ver al CISO como un par más importante y comienza a trabajar con él para garantizar que los objetivos de seguridad y TI estén alineados.
Nivel de madurez 4:
Aquí es donde el CISO ejerce autoridad. El CISO tiene acceso directo al director ejecutivo y participa con frecuencia en reuniones estratégicas con la junta directiva para asesorar sobre la integración de los riesgos de ciberseguridad y las medidas de seguridad en la estrategia comercial general.
Hoy en día, los CISO se centran en la gestión de riesgos. Trabajamos con la gerencia para determinar la tolerancia al riesgo de la empresa. Y estamos creando políticas y procedimientos apropiados para toda la empresa para reflejar eso.
Por ejemplo, muchos CISO en esta etapa de madurez están discutiendo con sus juntas directivas cómo sus empresas pueden aprovechar la tecnología de inteligencia artificial y protegerse de las nuevas amenazas que plantea.
Nivel de madurez 5:
En las empresas que han llegado a esta etapa final, la seguridad y otras partes del negocio están trabajando en armonía. Es probable que estas empresas sigan principios de seguridad por diseño, donde la ciberseguridad está integrada en la base de todo lo que hace la empresa.
Los sistemas críticos se prueban continuamente para ayudar a los equipos a recuperarlos en caso de un incidente. Además, todos los empleados siguen los principios de seguridad de datos establecidos, incluida la autenticación multifactor.
aplicar estos principios
Cuando los CISO comprenden cómo sus funciones y responsabilidades se reflejan en la madurez cibernética de la organización, pueden prepararse mejor para lo que viene después. Y a medida que las propias habilidades de los CISO evolucionen, las empresas se tomarán más en serio la defensa digital.
Cuando se trata de ciberseguridad, no todas las empresas son iguales. Cada empresa tiene una pila de tecnología diferente y diferentes prioridades. Las necesidades de las empresas públicas son completamente diferentes a las de las empresas privadas. Las pequeñas empresas tienen restricciones diferentes a las de las grandes empresas.
Como resultado, los CISO deben seguir siendo flexibles y adaptables. Las empresas deben sopesar los riesgos y beneficios inherentes a cada etapa de la curva de crecimiento de la madurez. Al comprender las características de cada etapa, los CIO y otros líderes empresariales pueden capacitar adecuadamente a los CISO para tener éxito.
Javier Domínguez, director de seguridad de la información, Commvault
Fuente: https://www.scmagazine.com/perspective/what-to-know-about-each-stage-of-the-ciso-maturation-cycle