En solo dos meses, hemos visto una avalancha de nuevas filtraciones de datos e incidentes cibernéticos de cara al 2024. En respuesta a los rápidos cambios en la ciberseguridad, la SEC adoptó regulaciones en julio que definen específicamente las reglas de divulgación de ciberseguridad para las empresas actuales. Como parte de la norma, que entró en vigor en diciembre, las empresas deben “revelar anualmente cualquier incidente importante de ciberseguridad que experimenten, así como información clave sobre su gestión, estrategia y gobernanza de riesgos de ciberseguridad”.
Los directores de seguridad de la información (CISO) de hoy han tenido que adaptarse a esta nueva era de ciberataques sin precedentes. A menudo desempeñan múltiples funciones a la vez para navegar en un entorno de ataque más amplio mientras responden a las medidas de responsabilidad tan necesarias que están tomando las empresas, impulsadas por las regulaciones de la SEC. Estos matices detrás de la evolución del papel del CISO dejan una cosa clara. La responsabilidad de la ciberseguridad ya no puede recaer en manos de una sola persona. Más bien, los CISO deben comenzar a aprovechar sus relaciones clave y liderar sólidas iniciativas de ciberseguridad para abordar los desafíos de seguridad actuales.
CISO moderno
El papel del CISO es relativamente nuevo. A diferencia del director financiero o director ejecutivo, el rol de director de seguridad de la información no existió oficialmente hasta mediados de la década de 1990. Una de las cargas para los CISO en 2024 es que su papel ha cambiado significativamente en las últimas dos décadas. De hecho, según el Informe CISO 2023 de Splunk, el 90% de los CISO encuestados cree que el puesto se ha convertido en un “trabajo completamente diferente” desde sus inicios.
El papel del CISO ahora es mucho más externo. En los primeros días, antes de que comenzara la transformación digital global, las funciones de muchos CISO se limitaban al desarrollo de políticas, la gobernanza y el monitoreo del tráfico. Pero en una época que depende casi exclusivamente de la tecnología, su papel se ha vuelto más importante.
Los CISO ya no están aislados
La presentación 8-K ilustra por qué los CISO de hoy necesitan trabajar en estrecha colaboración con los ejecutivos de nivel C. A medida que las dependencias digitales se extienden por toda la organización, las partes interesadas en la ciberseguridad deben ir más allá del CISO y el equipo de ciberseguridad.
Esto comienza en el nivel ejecutivo. Es una buena idea que el CISO trabaje en estrecha colaboración con el CEO (director ejecutivo), el CFO (director financiero) y el CLO (director jurídico). Cuando estas relaciones son sólidas, todos pueden estar seguros de que las inversiones en tecnología, incluidas las últimas tecnologías de nube e inteligencia artificial, serán un activo para los resultados comerciales y financieros sin generar problemas legales.
Estas relaciones son especialmente importantes durante las discusiones presupuestarias. Una de las preguntas clave en el mundo CISO actual es: “A medida que una empresa crece, ¿crecerán también sus recursos de ciberseguridad?” Según el Informe CISO de 2023, el 87% de los CISO dicen que han presentado argumentos comerciales para aumentar los presupuestos año tras año, pero solo el 35% dice que sus juntas directivas están asignando presupuestos de ciberseguridad adecuados.
Para algunos ejecutivos y ejecutivos de nivel C, la ciberseguridad es un riesgo de inversión creciente. Los directores ejecutivos están preocupados por la cantidad de riesgo empresarial que están asumiendo y los directores financieros están preocupados por los costos asociados. Para mantener relaciones estrechas con las partes interesadas de nivel C, es importante celebrar reuniones individuales periódicas con el CEO, el CFO y el CLO. Esto proporciona a las partes interesadas una comprensión continua de las necesidades de ciberseguridad y de por qué la ciberseguridad debería ser una prioridad presupuestaria. Esto es fundamental para una industria que cambia constantemente y responde a los últimos ataques.
CISO como líder y comunicador
Si bien los CISO deberían explorar asociaciones de ciberseguridad, en última instancia, la responsabilidad de liderar una cultura de ciberseguridad sólida recae sobre sus hombros. Para ello, los CISO deben ser líderes sólidos y contar con éxito la historia de la ciberseguridad de su empresa. Por ejemplo, a medida que evolucionen tecnologías como la IA generativa (GenAI), los directores ejecutivos de todo el mundo comenzarán a preguntarse cómo esta nueva tecnología los beneficiará o perjudicará. Es responsabilidad de los CISO comunicar de manera efectiva cómo sus empresas pueden aprovechar de manera segura la tecnología de IA sin obstaculizar por completo los beneficios que la GenAI puede aportar a los resultados comerciales.
Otra forma en que los CISO pueden demostrar liderazgo es estableciendo puntos de referencia de ciberseguridad. Esto le brinda a todo su equipo de TI o ciberseguridad un estándar con el cual evaluarse. Por ejemplo, muchas empresas utilizan el marco del Instituto Nacional de Estándares y Tecnología (NIST), que se centra en cinco principios fundamentales: identificar, proteger, detectar, responder y recuperar.
Si bien cada uno de estos principios proporciona una base sobre la cual construir prácticas de ciberseguridad, es importante señalar que cada empresa puede implementar este marco de manera diferente. En otras palabras, ciertas empresas pueden tener regulaciones específicas de la industria que rigen cómo pueden aprovechar este marco. Tomemos como ejemplo la industria aérea.
En marzo de 2023, la Administración de Seguridad del Transporte (TSA) anunció requisitos actualizados de ciberseguridad para aeropuertos y operadores de aeronaves. Durante el año pasado, el personal de ciberseguridad de aerolíneas y aeropuertos recibió una serie de publicaciones federales que recomiendan medidas de control de acceso, políticas de segmentación mejoradas, políticas de detección y monitoreo continuo y parches/actualizaciones de seguridad periódicas para los sistemas operativos. Hemos trabajado para seguir cuatro pautas: Para los CISO de aerolíneas, estas pautas darán forma a los métodos de “identificación” y “protección” descritos en el marco del NIST.
No tienes que hacerlo solo
La tecnología de ciberseguridad moderna puede ayudar a proteger el marco digital de una empresa, pero la capacidad de un CISO para construir relaciones y establecer un marco sólido es esencial para que las empresas se adapten al entorno de ciberseguridad actual. Dadas las implicaciones financieras, legales y comerciales de los incidentes de ciberseguridad, los CISO no pueden darse el lujo de trabajar detrás de escena. Es hora de que los líderes en ciberseguridad consideren a sus colegas CFO, CLO y CEO como socios en la construcción de una empresa segura. Con estas relaciones implementadas, los CISO pueden prepararse para cualquier ciberataque, cumplir con las regulaciones federales más recientes y adaptarse a cualquier evolución del rol del CISO en 2024.
Fuente: https://www.informationweek.com/it-leadership/a-new-era-for-cisos-navigating-regulations-and-unprecedented-threats
