SAN FRANCISCO – Conferencia RSA 2024 – A medida que los ataques cibernéticos continúan afectando a las empresas a niveles récord, el rol del Director de Seguridad de la Información (CISO) se está convirtiendo rápidamente en uno de los roles más importantes y estresantes en las organizaciones.
Un panel de discusión en la Conferencia RSA en San Francisco el martes analizó los peligros modernos del puesto de CISO y cómo los líderes de TI deberían responder al creciente panorama de amenazas que amenaza con devastar a los altos ejecutivos de seguridad.
Un miembro del comité conoce muy bien los peligros de asumir pesadas responsabilidades de seguridad. Joe Sullivan, exdirector de seguridad de Uber, fue acusado después de que una violación en 2016 comprometiera los datos de 56.000 usuarios de Uber. Se salvó de la cárcel, pero fue sentenciado a tres años de libertad condicional y una multa de 50.000 dólares. [Editor’s note: Contributor Carrie Pallardy had a two-part interview with Sullivan that appeared in InformationWeek last year].
Sullivan dijo a la audiencia que incluso más importante que lo que hace una empresa después de una violación de datos es lo que dice interna y externamente. Las autoridades están poniendo cada vez más énfasis en la comunicación.
Sullivan, que ahora dirige su propia empresa de consultoría de seguridad, dijo que su experiencia ha cambiado parcialmente su forma de ver el papel del CISO.
“Recibo llamadas de personas que están considerando el puesto de CISO. Me preguntan: ‘Joe, ¿cómo puedo conseguir ese trabajo? ¿Qué debo decir si me dan una entrevista para un puesto de director financiero o asesor general?’ llamo así, me pregunto: ‘¿Realmente quiero ese trabajo?’
El panel también incluyó a Gadi Evron, fundador y director ejecutivo de la empresa de seguridad de inteligencia artificial Knostic, Charles Blauner, presidente de Cyber Aegis, y David Cross, vicepresidente senior y CISO de Oracle SaaS Cloud. Sullivan dijo que aunque el título de la discusión era “El CISO acusado: estudios de caso, lecciones aprendidas y perspectivas hacia el futuro”, él era “el único que realmente fue acusado”, lo que provocó risas en la audiencia.
Ebron dijo que el aumento de la presión sobre los CISO está directamente relacionado con el aumento del delito cibernético. “La presión está aumentando porque la realidad es que las agencias gubernamentales están lidiando con un aumento de los delitos cibernéticos y todo el mundo lo sabrá”.
Cómo los CISO pueden aliviar la tensión
Entonces, ¿qué deberían hacer los CISO ahora que hay presión? Sullivan dice que la clave es crear estándares que extiendan la responsabilidad de seguridad a todo el equipo ejecutivo.
“Creo que necesitamos adoptar estándares realmente objetivos y documentarlos claramente ante la junta”, dijo. “Necesitamos alejarnos de un mundo donde cada decisión la toma el equipo de seguridad. Las decisiones se toman a nivel del director ejecutivo y de la junta directiva, y ellos tienen que aprobar todo”.
Un miembro de la audiencia preguntó sobre las responsabilidades de las empresas con respecto a las comunicaciones por correo electrónico de los empleados. Browner dijo que no hay respuestas fáciles, pero hay algunas cosas que los líderes de TI pueden hacer.
“Una es crear un mayor sentido de profesionalismo en la comunicación”, dijo. “Siempre le digo a mi equipo, si quieres desahogar tus frustraciones, ven a mi oficina y grítame, no lo escribas en un correo electrónico. Puedes crear una cultura en la que las personas se comuniquen de manera más profesional, arriesgas la gobernanza. Si tenemos una buena gobernanza y un buen proceso para escalar y gestionar los riesgos, creo que los peligros de la charla se reducen considerablemente”.
Cross de Oracle dijo que también es importante que los CISO tengan documentación que defina claramente los roles y responsabilidades dentro de cada organización.
“Es todo una cuestión de documentación”, dijo. “¿Quién documenta claramente sus funciones y responsabilidades? [A small portion of the audience raised their hands]”Si estás en el 5% de la audiencia cuyos roles y responsabilidades están claramente documentados, esa es la causa del problema. No está documentado. Entonces, ¿por qué no culpar?”.
Fuente: https://www.informationweek.com/cyber-resilience/-they-re-coming-after-us-rsa-panel-explores-ciso-legal-pressure
