Por qué 2024 será el año del CISO


2023 ha sido un año desafiante para los CISO.

En mayo, el ex CISO de Uber, Joe Sullivan, fue sentenciado a tres años de libertad condicional y una multa de 50.000 dólares. Sullivan no reveló la violación de datos y pagó a los piratas informáticos para que permanecieran en silencio. Sullivan apeló su condena. En octubre, el CISO de SolarWinds, Tim Brown, fue acusado por la Comisión de Bolsa y Valores de Estados Unidos (SEC). Brown está acusado de fraude y fallas de control interno relacionadas con riesgos y vulnerabilidades de ciberseguridad conocidos. Según el comunicado de la SEC, “Según la denuncia, las declaraciones públicas de la compañía sobre las prácticas y riesgos de ciberseguridad de SolarWinds son inconsistentes con las evaluaciones internas, incluidas las realizadas por los ingenieros de la compañía en 2018 y también incluyó una presentación compartida dentro de la compañía, que incluye por Brown, que dijo que la configuración de acceso remoto de SolarWinds “no es muy segura” y que cualquiera que aproveche la vulnerabilidad “básicamente no lo hace hasta que sea demasiado tarde”. Pueden hacer cualquier cosa sin que nos demos cuenta, “lo que podría llevar a” significativo daño reputacional y financiero” a SolarWinds. En diciembre, falleció Steve Katz, considerado el primer CISO del mundo. El Sr. Katz se convirtió en CISO de Citicorp en 1995 y luego trabajó en JPMorgan y Merrill Lynch. Según un artículo de bankinfosecurity, Katz “pasó gran parte de su jubilación promoviendo estándares de ciberseguridad, intercambio de información y liderazgo eficaz”.

Además de estas experiencias individuales, los CISO también se enfrentarán a una nueva ola de regulaciones en 2023, y se prevé que más regulaciones entren en vigor el próximo año. Las nuevas reglas de ciberseguridad de la SEC exigen que todas las empresas que cotizan en bolsa en EE. UU. informen sobre incidentes cibernéticos. Los emisores nacionales deben divulgar incidentes importantes de ciberseguridad en un plazo de cuatro días y deben divulgar incidentes materiales de ciberseguridad en sus presentaciones del Formulario 8-K. Los emisores privados extranjeros deben presentar un Formulario 6-K para revelar incidentes cibernéticos importantes. Las organizaciones también deben tener experiencia en ciberseguridad en sus juntas directivas, un programa de gestión de riesgos documentado y un liderazgo específico en ciberseguridad.

Las empresas de servicios financieros deberán cumplir con el Departamento de Servicios Financieros del Estado de Nueva York 23, incluidos nuevos requisitos para grandes empresas, requisitos de gobernanza ampliados para juntas directivas, notificaciones ampliadas de incidentes cibernéticos, nuevos requisitos para respuesta a incidentes y planes de continuidad del negocio, y Requisitos adicionales de autenticación multifactor. El NYCRR 500 también enfrenta cambios.

En Europa, NIS2 entrará en vigor en octubre de 2024. Mientras que NIS1 se centró en industrias críticas como la atención médica, la energía, el transporte, la infraestructura digital y la infraestructura del mercado financiero, NIS2 amplía las industrias afectadas para incluir el sector alimentario (producción, procesamiento y distribución) y las redes sociales, incluidas plataformas de servicios y computación en la nube. servicios y centros de datos. NIS2 se centra en cuatro áreas clave: gestión de riesgos, responsabilidad corporativa, obligaciones de presentación de informes y continuidad del negocio. En un nivel más detallado, NIS2 aborda el uso de cifrado, programas de gestión de vulnerabilidades, acceso a datos confidenciales de los empleados, autenticación multifactor, evaluación de la efectividad de las tecnologías de seguridad, capacitación de los empleados y protección de la cadena de suministro.

¿Cómo afrontan los CISO este intenso panorama de escrutinio legal y supervisión regulatoria? No puedo decir que vaya bien. Según un estudio reciente de ESG y la Asociación de Seguridad de Sistemas de Información (ISSA), el 62% de los CISO encuestados dijeron que más de la mitad de sus trabajos son estresantes. Los CISO están particularmente estresados ​​por cargas de trabajo abrumadoras, trabajar con gerentes comerciales desinteresados ​​y cumplir con los requisitos de seguridad de nuevas iniciativas comerciales. Además, el 36% de los CISO dicen que es muy probable o muy probable que dejen su trabajo actual durante el próximo año, en comparación con el 26% de los que no son CISO. Muchos (46%) están considerando abandonar la ciberseguridad por completo, en comparación con el 28% de los que no son CISO.

¿Por qué los CISO están abandonando la ciberseguridad? El 65% ha considerado dejar su trabajo debido al estrés asociado con el trabajo de ciberseguridad, y el 43% está frustrado porque su organización no se toma en serio la ciberseguridad. El 39% dice que se acerca a la edad de jubilación y planea dejar la ciberseguridad. profesión en aquella época.

2024 es un año de cambios para los CISO

Creo que 2024 será el año del CISO, dada la mayor visibilidad y escrutinio de su función. Para ser claros, no me refiero a los tópicos ceremoniales de “Larga vida al CISO”. Dicen que en 2024, las organizaciones individuales y la comunidad empresarial en su conjunto examinarán, experimentarán y, en última instancia, modificarán el papel del CISO más que en cualquier otro momento de la historia.

Aquí hay cinco predicciones sobre lo que sucederá el próximo año.

Habrá una grave escasez de CISO empleables. Como muestra el estudio de ESG/ISSA, muchos CISO hartos se jubilan, mientras que otros se convierten en CISO virtuales (vCISO) o asumen puestos de CISO in situ en proveedores de tecnología de seguridad. Durante el próximo año, probablemente verá muchas noticias sobre la salida de los CISO por impulso. El motivo no se revela, pero definitivamente es uno de los motivos enumerados anteriormente. La competencia por candidatos calificados será feroz. Como nota al margen, no creo que haya muchos candidatos CISO de próxima generación con la experiencia adecuada para dar un paso adelante. En 2024, agregaremos una adición específica a la discusión general sobre la escasez global de habilidades en ciberseguridad con respecto a la escasez de CISO. Los salarios y compensaciones de los CISO están aumentando rápidamente. Aparte de los puestos millonarios, los salarios de los CISO no son tan altos como la gente podría imaginar. Salary.com calcula que el salario medio es de aproximadamente 241.000 dólares, y el 90% de los CISO ganan menos de 302.000 dólares. Teniendo en cuenta los requisitos del trabajo (largas jornadas, estrés, guardias, etc.), esta no es una cantidad enorme. La competencia por candidatos hace que los salarios de los CISO aumenten rápidamente a medida que las empresas aumentan significativamente los salarios base, los beneficios y las bonificaciones. Además, las batallas legales en la industria requerirán que los CISO exijan que su compensación incluya un seguro adecuado para directores y funcionarios (D&O). El capital y las bonificaciones de los CISO estarán sujetos a un escrutinio aún mayor. Esperamos que los CISO mantengan la integridad moral, pero cuando su compensación está sesgada por su posición patrimonial, algunos pueden verse tentados a extraviarse. Claro, revelar una violación de datos o un riesgo cibernético indebido puede ser lo correcto, pero también podría arruinar la compra planeada por un CISO de un nuevo barco. Claro, los CISO trabajan en equipo y deberían beneficiarse de la prosperidad de sus organizaciones, pero su compensación debería basarse en una sólida gestión de riesgos, eficacia de la seguridad, eficiencia operativa y gestión empresarial en lugar de un paseo aleatorio por Wall Street que debería estar ligado a la situación. viabilidad de Más CISO reportarán al CEO. Según una investigación de ESG/ISSA, casi la mitad (49%) de los CISO reportan al CIO u otro alto funcionario de TI, y el 24% reporta directamente al CEO. Las personas que reportan al director ejecutivo tienden a trabajar en organizaciones más pequeñas. En 2024, los CISO ejercerán presión para lograr cambios en las estructuras de presentación de informes debido a preocupaciones legales y regulatorias generales. Los nuevos CISO evitarán ofertas de trabajo que dependan de TI. Los CISO también querrán establecer un comité de ciberseguridad que informe directamente a la junta directiva sobre la gestión de riesgos cibernéticos y el cumplimiento normativo. Los CISO exigirán mejores planes de respuesta a incidentes. Los CISO no tolerarán preparativos estrictos cuando se trata de estas nuevas regulaciones. Más bien, requerirán ejercicios prácticos, pruebas de penetración, equipos rojos, contratos de IR y cobertura de seguro cibernético. Examinan los procesos de escalamiento, las comunicaciones internas/externas y los roles y responsabilidades individuales para la gestión empresarial. Nuevamente, estas actividades deberían ser comunes pero a menudo se descuidan. La responsabilidad de la ciberseguridad debería terminar en el escritorio del CISO, pero ningún CISO puede permitirse el lujo de convertirse en un chivo expiatorio legal.

Los CISO querrán más opiniones sobre lo que se hace público. No se tolera la jerga jurídica cliché. En cambio, los CISO darán prioridad a la transparencia. Si esto se cuestiona, el CISO quedará fuera.

Dividir el rol de CISO

Reconociendo la dificultad de este rol, hace varios años propuse dividir el rol de CISO en dos. He propuesto dos roles.

Ejecutivos centrados en los negocios centrados en la gestión de riesgos y cumplimiento normativo, y ejecutivos centrados en la tecnología centrados en la prevención, detección y respuesta a amenazas.

Los primeros deberían reportar al CEO y a la junta directiva, mientras que los segundos deberían reportar directamente al CIO, sin dejar de estar salpicados por los primeros. Dada la incertidumbre que rodea al rol, ese rol dual podría convertirse en realidad en 2024.



Fuente: https://www.csoonline.com/article/1267546/why-2024-will-be-the-year-of-the-ciso.html/amp/