Suscríbase a nuestros boletines diarios y semanales para mantenerse actualizado con actualizaciones de IA líderes en la industria y contenido exclusivo.Haga clic aquí para más detalles
Las organizaciones suelen mantener un delicado equilibrio cuando se trata de ciberseguridad. Por supuesto, quieres la defensa más sólida posible. Pero al mismo tiempo, no desea una solución que sobrecargue a sus empleados con requisitos de seguridad onerosos que reduzcan la productividad.
Un ejemplo perfecto es la autenticación multifactor (MFA). Si bien esto ha demostrado ser un fuerte elemento disuasorio contra el creciente número de ataques basados en la identidad, muchas organizaciones no lo hacen. Los protocolos de seguridad con sentido común han tardado en implementarse.
Gestionar el delicado equilibrio entre seguridad y eficiencia suele ser responsabilidad de los CIO y CISO. Y con la ciberseguridad convirtiéndose en un riesgo para toda la empresa y la esperada expansión de la IA en la mayoría de las empresas que potencialmente introduce nuevos riesgos, los CIO y CISO están trabajando más estrechamente que nunca. Es necesario asegurarse de que los activos de TI de su empresa estén protegidos y al mismo tiempo minimizar el impacto. en los usuarios finales.
Durante años, las organizaciones solían ver la ciberseguridad como una función de “marcar la casilla”. Es posible que las empresas solo estén haciendo lo mínimo indispensable para cumplir con estándares como los del Instituto Nacional de Estándares y Tecnología (NIST). Sin embargo, a medida que la frecuencia y el tipo de incidentes se disparan, las organizaciones se están dando cuenta de los posibles riesgos financieros y de reputación de los ciberataques.
Regístrese para acceder a VB Transform On-Demand
Los pases locales para VB Transform 2024 están agotados. No te lo pierdas. Regístrese ahora para obtener acceso exclusivo a pedido después de que finalice la conferencia.Haga clic aquí para más detalles
Así como el escándalo de Enron hace 20 años introdujo nuevos requisitos de cumplimiento para las empresas e hizo que el papel del director financiero fuera más prominente dentro de la alta dirección, la frecuencia y la intensidad de los ciberataques aumentarán. Como resultado, los CISO están recibiendo aún más atención. hoy.
Pero a medida que muchos CISO asumen más responsabilidades de riesgo y cumplimiento, los profesionales de seguridad están aprendiendo a trabajar más estrechamente con los CIO, quienes son dueños de los equipos que operan muchas prácticas y procedimientos de seguridad.
entender la disparidad
Si bien los CISO luchan todos los días para detectar y recuperarse de los ciberataques que saben que van a ocurrir, los CIO pueden tardar demasiado en absorber completamente esos riesgos. En cambio, los CIO continúan pensando en cómo modernizar la infraestructura de su empresa y aumentar la productividad de los empleados. Y a los CIO se les asigna cada vez más la tarea de gestionar las estrategias de IA de sus organizaciones.
Como resultado, no es raro que ambos roles entren en conflicto. Los CIO suelen ser bombardeados con quejas de los empleados sobre medidas adicionales (como MFA) que los alejan del trabajo necesario. Al mismo tiempo, los CIO deben comprender que los cambios que pueden mejorar la productividad también pueden crear graves riesgos de seguridad.
Por ejemplo, si varios empleados participan en una videoconferencia y todos graban la sesión, es probable que se almacenen varios archivos que contienen información potencialmente confidencial en diferentes ubicaciones. Teniendo en cuenta cuántas videollamadas se realizan por día en las grandes empresas, es fácil imaginar que las vulnerabilidades de seguridad resultantes pueden ser una preocupación importante para los CISO.
Contrata al CISO adecuado para tu negocio
Para que la relación CIO-CISO funcione también es necesario comprender los tipos de conjuntos de habilidades que las empresas requieren actualmente de los CISO y los tipos de experiencia necesarios para hacer avanzar la organización.
Por ejemplo, es posible que incluso la mayoría de las organizaciones medianas aún no prioricen la ciberseguridad. Por supuesto, entendemos la gravedad de la situación de amenaza. Sin embargo, los comités de gestión de riesgos pueden estar menos preocupados por la seguridad de TI y más centrados en otras cuestiones, como la diversificación de la cadena de suministro para asegurar la capacidad de fabricación futura.
En este caso, las organizaciones harían bien en contratar un CISO con un enfoque renovado en los aspectos técnicos de la defensa del entorno de TI de la empresa y el desarrollo de planes de recuperación en respuesta a los ataques inevitables. Sin embargo, una vez que una empresa alcanza cierto tamaño, los inversores comienzan a exigir que la ciberseguridad se trate como un riesgo empresarial, elevándola a un tema a nivel de junta directiva. Es entonces cuando las empresas deberían considerar contratar un CISO con experiencia en cumplimiento.
Una vez que el candidato adecuado se une a la organización, el CIO también debe garantizar que el CISO esté preparado para el éxito. Por ejemplo, si las principales funciones del CISO se centran en la gestión de riesgos empresariales, la empresa debe contratar a un director adjunto de seguridad de la información (denominado “CISO en minúsculas”). Esta persona es la única responsable de gestionar los aspectos técnicos de las operaciones de defensa.
Luego, el CISO puede dedicar más tiempo a trabajar con el CIO para desarrollar una estrategia de ciberseguridad más amplia y comunicar ese plan a otros líderes, incluida la junta directiva. Durante ese tiempo, un “CISO” se encarga de las tareas diarias e incluso puede codificar algo él mismo.
Conecte CISO y negocios
CISO es un puesto difícil. En general, la tarea de proteger entornos de TI cada vez más complejos y ampliamente distribuidos es muy amplia. Al mismo tiempo, los CISO tienen poco control de dominio. Los CISO deben trabajar en toda la empresa, obtener la aceptación de múltiples partes interesadas clave e implementar los procedimientos y políticas necesarios.
Los CISO a menudo enfrentan una fuerte resistencia por parte de la empresa. Especialmente cuando los líderes de seguridad intentan implementar medidas que impactan la forma en que trabajan los líderes empresariales y sus equipos. Por lo tanto, el CIO debe asegurarse de que el CISO tenga acceso directo a los líderes adecuados, como el CMO, el CFO, el jefe de ventas globales u otros departamentos con los ejecutivos correspondientes.
Aunque el CISO no tiene la máxima autoridad, los líderes funcionales deben tomar en serio las recomendaciones del oficial de seguridad. Los CIO pueden apoyar este esfuerzo trabajando con los CISO para acordar lo que se debe implementar.
Empoderar a los CISO para que tomen el control durante los ataques
Cuando se trata de problemas operativos básicos, como la caída de un centro de almacenamiento en la nube, el CIO debe tomar la iniciativa. Sin embargo, en caso de un incidente cibernético, el CISO debe tener la autoridad para implementar un plan de respuesta establecido para garantizar una recuperación oportuna y completa, minimizando al mismo tiempo el tiempo de inactividad y la pérdida de datos.
Pero los CISO también necesitan comprender hasta dónde se extiende su autoridad. Por ejemplo, en caso de un ataque de ransomware, la decisión de pagar recaería en última instancia en otros líderes de la empresa, como la junta directiva o el director ejecutivo.
El auge de la IA y el impulso hacia los negocios conectados digitalmente ha atraído nueva atención al debate entre una mayor productividad y mayores riesgos de seguridad. Demasiado sesgo en una dirección puede exponer su empresa a más ataques y reducir significativamente la capacidad de sus empleados para realizar su trabajo. En ambos casos, la empresa acabará sufriendo pérdidas.
La división entre TI y seguridad está desapareciendo rápidamente, al igual que las barreras organizativas dentro de las empresas. A medida que la tecnología asume más funciones centrales de una empresa, corresponde a los CIO y CISO aprender cómo mantener el nivel de oscilación de TI.
Reza Morakabati es CIO de Commvault.
tomador de decisiones de datos
¡Bienvenido a la comunidad VentureBeat!
DataDecisionMakers es un lugar donde los expertos, incluidos los tecnólogos que trabajan con datos, pueden compartir conocimientos e innovaciones relacionados con los datos.
Si desea conocer ideas de vanguardia, actualizaciones, mejores prácticas y el futuro de los datos y la tecnología de datos, únase a DataDecisionMakers.
¿Por qué no considerar contribuir con su propio artículo?
Obtenga más información sobre los creadores de decisiones de datos
Fuente: https://venturebeat.com/security/productivity-vs-security-how-cios-and-cisos-can-see-eye-to-eye/