Los CISO necesitan respaldo para hacerse cargo de la seguridad

De acuerdo a una su informe más reciente , solo 5 de las empresas de Fortune 100 cuentan a su jefe de seguridad al incluir a la alta dirección.

La El papel del CISO y su relación con la influencia y la influencia siempre ha sido un baile con la vieja guardia corporativa. ¿El CISO realmente tiene la autoridad para evitar que un ejecutivo de línea de negocios haga algo arriesgado? Y si el CISO lo intenta, ¿el El CISO recibe el respaldo del CEO ¿y otros?

Un Discusión de LinkedIn iniciada por Derek Andrews, el director de operaciones de seguridad cibernética y respuesta a incidentes de una gran organización sin fines de lucro que dijo que preferiría no identificar, resumió los temores bastante bien.

“El rol de CISO no es realmente el jefe de nada más que ser la persona que asume la culpa cuando sea el momento adecuado. Los CISO no están en el círculo interno de los CEO. Son como el cuarto timbrazo. Eso significa que la venta de seguridad tiene que pasar por otras tres antes de obtener la aprobación organizacional real y, en ese momento, se reduce a más capacitación sobre phishing”, escribió Andrews.

Andrews luego planteó una pregunta crítica: ¿Por qué las empresas permiten que cada unidad de negocios decida por sí misma si algo es demasiado riesgoso, en lugar del CISO?

“Nunca he visto ningún lugar que permitiera que cada unidad de negocios operara su propia red. Entonces, ¿por qué permitimos que alguien en marketing acepte un riesgo cibernético que puede afectar a todas las unidades de negocio de la organización? La aceptación significaría propiedad y todos sabemos que la responsabilidad nunca llega a las unidades comerciales que aceptan riesgos cibernéticos. Es el CISO el que se lleva la culpa”, escribió Andrews. “El CFO tiene la autoridad final cuando se trata de riesgo y desempeño financiero. Nunca escuchará a un CFO decir 'Bueno, si acepta el riesgo, entonces puede hacerlo'. Esto no es algo que ellos hagan. Como jefes, son la autoridad final y son responsables de todo lo que está bajo su dominio”.

Aprenda la jerga de liderazgo

¿Por qué las empresas dan a sus CISOs mucho menos poder que a otros ejecutivos de nivel C? Esto no solo socava la estrategia de ciberseguridad empresarial. Puede tener el impacto indirecto de disminuir aún más la postura de seguridad, ya que los CISO se vuelven reacios a ser anulados y comienzan a dar luz verde a los esfuerzos que saben que no deben aprobarse.

Barak Engel, director general de la empresa de seguridad EAmmune y autor de Por qué fallan los CISO, argumenta que gran parte de este problema proviene de Wall Street y otras fuerzas del mercado. Cuando se anuncian brechas de seguridad importantes, las empresas a veces verán una caída en el precio de sus acciones, pero casi siempre es muy temporal.

“Las filtraciones no tienen impactos negativos a largo plazo. Los precios de las acciones se recuperan bastante rápido”, dice Engel. “La lección del CEO es que la seguridad no importa después de los primeros meses. Pero los CISO lo pintan como realmente aterrador y los CEO se muestran escépticos”.

Aunque se ha dicho muchas veces, Engel sostiene que esto se remonta a Los CISO no se comunican de manera efectiva al director ejecutivo, y a los jefes de las unidades de negocios, en términos comerciales puros. “Solo una vez quiero escuchar a un CISO usar el término 'flujo de caja'. Si todo lo que escuchamos de usted son historias de miedo, entonces no ha aprendido lo que significa ser un nivel C. No has adoptado el lenguaje del negocio”, dice.

Construir la compra de negocios

Otra parte del problema es la relativa novedad, al menos en el plato estratégico del CEO, de ciberseguridad. El conjunto de directores ejecutivos de las empresas Fortune 500 ha tenido generaciones de experiencia en la comprensión y en sentirse cómodo con los riesgos e incertidumbres que existen dentro de las unidades de negocios legales, financieras, de recursos humanos, de IR, de cumplimiento y otras. Pero el riesgo de ciberseguridad parece incómodo y difícil de dominar para muchos directores ejecutivos.

“La mayoría de los riesgos comerciales son estáticos, pero el riesgo cibernético no lo es en absoluto”, dice Dirk Hodgson, director de seguridad cibernética de NTT Australia. “En ciberseguridad, los riesgos no están universalmente acordados o claros. Puede que no sea una falta de respeto al CISO tanto como una comunicación deficiente en un contexto comercial. Existe una diferencia fundamental en las expectativas entre la ciberseguridad y otras unidades de negocio. Hasta que arreglemos eso, estaremos atrapados en el mismo lugar”.

Oliver Tavakoli, el CTO de Vectra AI, argumenta que la naturaleza de la ciberseguridad en sí misma causa este problema. Aunque el CISO emite memorandos regulares a los altos ejecutivos sobre varios temas, a menudo se ignoran hasta que ocurre una emergencia de seguridad.

“La ciberseguridad solo se trata durante una crisis. Casi siempre, esa conversación es durante una situación negativa. Eso hace que sea muy difícil desarrollar esa relación”, dice Tavakoli. “La mayoría de los CISO se limitan a ser héroes para otros CISO y no para el resto del C-suite”.

Agrega Brian Walker, director ejecutivo de Cap Group, una firma consultora de seguridad cibernética: “Se trata de autoridad y respeto. Si tienes la autoridad y tu jefe no te respalda, entonces el CISO realmente no tiene la autoridad”.

• Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
• PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
• PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
• PlatoESG. Automoción / vehículos eléctricos, Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
• Desplazamientos de bloque. Modernización de la propiedad de compensaciones ambientales. Accede Aquí.
• Fuente: https://www.darkreading.com/edge-articles/cisos-need-backing-to-take-charge-of-security