El papel del CISO está cambiando. ¿Pueden los propios CISO mantenerse al día?

El papel del director de seguridad de la información (CISO) se ha ampliado en la última década gracias a la rápida transformación digital. Ahora los CISO tienen que estar mucho más orientados a los negocios, desempeñar muchas más funciones y comunicarse de manera efectiva con los miembros de la junta directiva, los empleados y los clientes por igual, o de lo contrario corren el riesgo de sufrir graves fallas de seguridad.

En una amplia sesión de preguntas y respuestas con la prensa en CPX 2024 en Las Vegas, un panel de CISO y vicepresidentes (VP) de organizaciones internacionales deliberaron sobre cómo la transformación digital, las presiones de resultados y la falta de conciencia de seguridad han forzado un cambio en la naturaleza de sus posiciones, en términos generales, desde técnicas hasta empresariales y altamente sociales.

Hoy en día, sugirieron, la diferencia entre un CISO eficaz (y, por extensión, una cultura de seguridad eficaz en una organización) radica tanto en unas habilidades de comunicación más suaves como en la mitigación de vulnerabilidades y la definición de políticas. De hecho, los líderes de seguridad que prosperan con lo segundo pero carecen de lo primero terminan exponiendo a sus organizaciones a violaciones importantes.

"¿Preguntaste sobre las consecuencias?" Dan Creed, CISO de Allegiant Travel Company, preguntó retóricamente en respuesta a una pregunta de Dark Reading. “Pregúntele a SolarWinds cuáles son las consecuencias. Tenían una política de contraseñas, un pasante no siguió la política de contraseñas, mire las consecuencias”.

Cómo la transformación digital transformó al CISO

"El papel del CISO ha cambiado en los últimos 10 años, y nunca nos hemos dado cuenta de ello", afirmó Frank Dickson, vicepresidente del programa de productos de ciberseguridad de IDC, en una conferencia de prensa separada de CPX el 6 de marzo.

Hace años, el puesto se creó con el enfoque relativamente limitado de riesgo cibernético con el que todavía está asociado en la actualidad. Pero se ha ampliado, en primer lugar gracias a una ampliación de la superficie de ataque empresarial. Las infracciones típicas solían requerir vulnerabilidades en los recursos corporativos (piense en Target, Ashley Madison y similares). Hoy en día, particularmente desde COVID, es Correos electrónicos, teléfonos y otros dispositivos de los empleados. que en cambio representan el mayor riesgo para las organizaciones. A medida que la responsabilidad de la seguridad de la información se ha vuelto colectiva, los CISO se han visto obligados a salir de sus silos.

Frank Dickson informa a la prensa sobre el nuevo informe de IDC; Fuente: CPX

La transformación digital también ha llevado a la TI de su rincón aislado a la línea de negocio. Como señaló Dickson, “alrededor del 40% de todos los ingresos del próximo año [Global] 2000 provendrán de productos y servicios digitales. Entonces, lo que eso hace es cambiar la naturaleza de la TI de algo que fija costos a algo que está en camino de generar ingresos. Y si piensas en lo que eso hace, eso cambia fundamentalmente el papel del CISO”. Cuanto más conciben hoy las empresas la TI como un motor de negocios, más CISO deben integrarse no solo para prevenir y mitigar los riesgos cibernéticos, sino también para asesorar a la junta directiva sobre decisiones comerciales y reunirse con desarrolladores, vendedores y clientes.

Las crecientes responsabilidades del CISO de cara al negocio se reflejaron en una encuesta de IDC revelada en CPX. De 847 líderes de ciberseguridad encuestados, el 10% cree que el trabajo más importante de un CISO es el liderazgo y las habilidades de formación de equipos, y el 8% cree que son las habilidades de gestión empresarial. La conciencia y comprensión reales de la ciberseguridad y las habilidades de ingeniería y arquitectura de TI apenas recibieron más votos, con un 12% cada uno.

Cómo los CISO pueden mejorar el desempeño de sus empleados

No se trata simplemente de que los CISO tienes doblemente como empresarios: es necesario. “La consecuencia de no establecer esas relaciones [es] que se genera una cultura en la empresa que dice 'Bueno, no es mi responsabilidad'. Como SolarWinds y MGM. Restablecen su MFA simplemente con una llamada al servicio de asistencia técnica, aunque no comprenden ni se dan cuenta de las consecuencias de no tener conciencia de seguridad”, explicó Creed.

La sutileza del argumento de Creed (del que otros en la mesa redonda se hicieron eco) es importante. Prevenir fallas de seguridad por parte de los empleados no es simplemente una cuestión de crear conciencia, enfatizan, porque incluso los empleados informados ignoran la seguridad cuando su relación con su equipo de seguridad no es saludable, o cuando la higiene simplemente requiere demasiado esfuerzo.

“[Dicen] que la seguridad debería estar oculta. Voy un paso más allá: la seguridad debe lubricar los negocios y hacerlos más rápidos”, dijo Pete Nicoletti, CISO de campo en Check Point, haciéndose eco de la filosofía evolucionada del CISO moderno. Ofrece las VPN como un ejemplo de cómo los CISO limitados y anticuados tradicionalmente han ralentizado los negocios. “¿Cuánto tiempo retiene mi correo electrónico: dos segundos o 10 segundos? ¿Cuánto tiempo lleva registrarse en una VPN? ¿[Los empleados] van a solucionarlo porque lleva 22 segundos y autenticación? [Se trata de] tratar de hacerlos lo más transparentes y fáciles de usar posible. Empiece a elegir herramientas que realmente aceleren el proceso, hasta donde ahora tenga una ventaja competitiva”.

"Algunas de las primeras iniciativas que estoy impulsando son exactamente eso", secundó Creed. “Alejémonos de la VPN y pasemos a un modo siempre activo en el que con su computadora portátil, la enciende, se enciende y se conecta a nuestra red, volviendo a través de nuestra pila de seguridad. El próximo objetivo es que ahora estamos sentando las bases para pasar a la tecnología sin contraseña”.

Si hablar con los empleados y facilitarles la seguridad no es suficiente, los CISO también pueden experimentar con incentivos alternativos. “De hecho, tenemos métricas de KPI en torno a la cultura de seguridad. Y nos estamos preparando hasta el punto en que vamos a comenzar a impactar los fondos de bonificación, hasta el punto de que, si a su departamento le va mejor, aumentará su fondo de bonificación por encima de la norma [. . .] y si no lo hace, entonces alcanzará su bonificación”, explicó Creed.

Cómo los CISO pueden colaborar mejor con otros ejecutivos

Luego está el tablero.

En su encuesta, IDC preguntó a los CISO y a sus compañeros CIO qué hacen realmente los CISO (por ejemplo, si se centran en la arquitectura estratégica o si el trabajo es táctico por naturaleza) y encontró discrepancias no insignificantes en las respuestas, lo que indica que incluso los CISO ' Los socios de nivel C más cercanos no están totalmente en la misma página.

Creed recordó recientemente uno de esos casos: “Pedimos algunos 737 nuevos. Y estos son nuestros primeros aviones conectados electrónicamente. [La junta] no me incluyó en las conversaciones anteriores, y luego se convirtió en un simulacro de incendio que todas las nuevas aeronaves conectadas electrónicamente tienen requisitos de ciberseguridad; eso, de hecho, si no tienes un plan de seguridad de red aprobado y aceptado con la FAA registrada, pierde su certificación de aeronavegabilidad para esas aeronaves. ¿Cree que la junta, cuando empezaron a hablar de seguir este camino de 'vamos a ampliar la flota', consideró que eso podría tener implicaciones de seguridad?

“Así que hay que educarlos y explicarles: por eso necesitamos un asiento en la mesa. En cada decisión estratégica que se toma para el negocio, existe un riesgo. [. . .] Cuanto más Incluirnos en un asiento en esa mesa., mejor podremos proteger el negocio y evaluar dónde está ese riesgo al inicio y no una vez que se convierte en un incendio”, dijo.

Con ese fin, en una entrevista con Dark Reading, Russ Trainor, vicepresidente senior de tecnología de la información de los Denver Broncos, ofreció un consejo sencillo:

"A veces le envío noticias de las filtraciones a mi director financiero: aquí está la cantidad de datos que se filtraron, esto es lo que creemos que costó", dice. "Esas cosas tienden a afectarnos".

• Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
• PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
• PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
• PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
• PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
• Fuente: https://www.darkreading.com/cybersecurity-operations/ciso-role-changing-can-cisos-keep-up