A medida que la ciberseguridad se ha convertido en una consideración cada vez más importante en la toma de decisiones corporativas, ha habido un movimiento correspondiente para elevar el rol del director de seguridad de la información (CISO) a un punto más alto en la jerarquía ejecutiva. El razonamiento parece ser: "Si lo cibernético es importante, los CISO deben ser importantes". Sin embargo, elevar el rol convierte al CISO en una voz solitaria en el desierto que grita "seguridad", con poca conexión con los tomadores de decisiones del día a día en TI, ingeniería o productos.
Esto ha llevado a algunas consecuencias indeseables, como el ejecutivo de Facebook que pensó que estaba bien que las medidas de seguridad de la empresa provocó retrasos de horas en respuesta a su interrupción del 4 de octubre de 2021, o al ejecutivo de Uber que piratas informáticos pagados que violó su sistema, en lugar de reconocer la violación, o los numerosos CISO que han invertido en "capas adicionales de seguridad" en lugar de admitir que inicialmente tomaron malas decisiones. En todos estos casos, el aislamiento del CISO de las unidades de negocios funcionales indudablemente desempeñó un papel en el pensamiento de túnel que reflejan estas decisiones.
Impacto organizacional
Tal vez sea hora de reinventar el papel del CISO. Tal vez sea mejor ver la importancia del CISO reflejada en el impacto organizacional en lugar del estado organizacional. Quizás incorporar seguridad en unidades funcionales dará como resultado una mejor seguridad.
Imagine al CISO como parte del ecosistema de la organización de TI. Estarían involucrados en cada decisión sobre la infraestructura, y las preocupaciones de seguridad serían parte integral de esas decisiones en lugar de agregarse después del hecho. Esto permitiría un conjunto de soluciones de "seguridad" basadas en cómo se estructura y administra la red, en lugar de capacidades de seguridad especiales insertadas en la infraestructura por un grupo externo.
Imagine un experto en seguridad integrado en la organización de desarrollo de software. Serían capaces de refinar el proceso de desarrollo para asegurarse de que el código se escribe y prueba teniendo en cuenta la seguridad, sin cargar a los desarrolladores con procesos que les son ajenos, reduciendo así las vulnerabilidades en el código de la empresa. Imagine un experto en seguridad integrado en las líneas de productos. Podrían asegurarse de que la infraestructura corporativa proteja su propiedad intelectual y que su proceso de desarrollo reduzca las vulnerabilidades de su producto.
En todos estos casos, la seguridad se convierte en un factor de decisión empresarial fundamentado en la realidad de las operaciones corporativas. La experiencia técnica del CISO se convierte en parte integral del trabajo diario en lugar de una restricción que se le impone. Del mismo modo, la seguridad y el cumplimiento deben funcionar sin problemas para que los sistemas financieros y las comunicaciones con socios y proveedores permanezcan seguros. Esto se extiende a los sistemas de telecomunicaciones y otro hardware.
El factor de riesgo
Esta parece una forma más impactante de hacer que la dimensión técnica de la seguridad sea una voz poderosa en la ejecución de la empresa. Sin embargo, uno puede preguntarse si esto disminuirá la dimensión política, balcanizándola para abordar los intereses especiales de las unidades funcionales individuales. Esta preocupación se puede abordar ampliando el papel del director de riesgos para incluir las funciones de política de seguridad que actualmente lleva a cabo el CISO.
Esto tiene la ventaja de mantener la política de seguridad en el nivel C, donde recibe la atención que necesita. Tiene el beneficio adicional de considerar el riesgo de seguridad cibernética en el contexto de otros riesgos (riesgo para la disponibilidad, riesgo para la reputación, para abordar los casos anteriores). La seguridad ya no sería un fin en sí mismo, sino una dimensión de hacer negocios. Esto no significa que la seguridad deba enfrentarse a otras preocupaciones y hacer adaptaciones que comprometan la postura de seguridad de la organización. Más bien, establece un entorno que cambia la mentalidad de uno u otro por una que busca satisfacer todos los requisitos.
Existen numerosas tecnologías de control de acceso que habrían protegido a Facebook de manera efectiva sin bloquear a su propio personal. Cuando se considera el riesgo de seguridad junto con el riesgo de disponibilidad, surgirían esas soluciones más pragmáticas.
- blockchain
- carteras de criptomonedas
- intercambio crypto
- seguridad cibernética
- ciberdelincuentes
- La Ciberseguridad
- Lectura oscura
- departamento de seguridad nacional
- billeteras digitales
- cortafuegos
- Kaspersky
- el malware
- Mcafee
- NexBLOC
- Platón
- platón ai
- Inteligencia de datos de Platón
- Juego de Platón
- PlatónDatos
- juego de platos
- VPN
- seguridad del sitio web
