TIPS TECNOLÓGICOS, DE CONFIGURACIÓN Y NEGOCIO QUE COMPLEMENTAN TU SEGURIDAD

CISOS Y CONSEJO DIRECTIVO POSEEN VISIONES DIVERGENTES SOBRE CIBERSEGURIDAD

Escrito por Miguel Torres on 28/04/17 16:30

CISOSvsConsejoCibersec.jpgLos consejos de administración en las organizaciones a menudo requieren reportes mucho más relevantes que los que sus CISO les proporcionan, esto lo muestra un estudio de la firma Focal Point Data Risk.

A pesar de todo lo que se habla sobre que la ciberseguridad necesita ser una cuestión de nivel consejo, los ejecutivos de seguridad y directores corporativos continúan teniendo puntos de vista muy diferentes sobre casi todos los aspectos críticos de la función de la seguridad.

Las investigaciones publicadas la semana pasada por Focal Point Data Risk muestran que los CISO y los miembros del consejo tienen a menudo diferentes perspectivas sobre el valor de la ciberseguridad, sobre cómo evaluar la efectividad de los programas de seguridad y cómo medir y expresar el riesgo.

Mientras que los ejecutivos de nivel C, por ejemplo, a menudo consideraban los datos y la protección de marca como el valor primordial de la ciberseguridad para la organización, los CISO consideraban de alguna manera sorprendente que sus funciones primarias son guiar y habilitar negocio evitando perdidas financieras.

Para el informe, Focal Point Risk realizó entrevistas individuales con más de 50 CISO, 25 directores corporativos y 10 expertos en la materia. El objetivo era tratar de identificar cómo los directores corporativos y los CISO consideraban los roles y responsabilidades de cada uno alineados a la seguridad cibernética. Las preguntas de la entrevista eran abiertas y fueron conducidas por el instituto Cyentia, el cual escribió el informe.

Uno de los principales descubrimientos fue que los CISO -por lo menos los entrevistados para el informe- generalmente tendían a considerar que la función de seguridad tenía menos que ver con los datos y la protección de la marca en comparación con los miembros del consejo.

Mucho de eso, según el informe, puede simplemente tener que ver con que los CISO están tratando de posicionar la seguridad cibernética como un activador de negocios en lugar de un centro de costo. Mientras que los ejecutivos de seguridad saben que la protección de datos es una de sus funciones principales, muchos se sienten presionados para demostrar cómo eso ayuda a la línea de fondo, señaló el informe.

Los miembros de la Junta Directiva y los CISO también tenían opiniones sustancialmente divergentes sobre la efectividad del programa de seguridad de su organización. Mientras que el 46% de los ejecutivos de seguridad expresaron su confianza en sus controles de seguridad, sólo el 5% de los miembros del consejo compartía ese sentimiento. Por el contrario, el 49% de los miembros del consejo manifestaron falta de confianza en sus controles de seguridad organizacional en comparación con el 13% de los ejecutivos de seguridad que se sentían de la misma manera.

"Los CISO estan ante un reto contra el tiempo probando una negativa: que si no existieran se produciría una debilidad tangible con malos resultados", dice Yong-Gon Chon, CEO de Focal Point Data Risk. La falta de confianza del consejo también se deriva del hábito de los ejecutivos de seguridad de presentar lenguaje técnico a la junta de consejo en lugar de lenguaje de negocios, dijo Yong-Gon Chon. Las reuniones con los ejecutivos de seguridad a menudo dejan a los miembros de la junta directiva con la impresión de que no importa cuánto gasten, seguirán siendo vulnerados.

De manera similar, las métricas que usan los CISO para transmitir al consejo directivo el estatus del programa de seguridad de la organización  tienden a ser de una naturaleza más operativa, mientras que los miembros de la junta están mucho más interesados en métricas que muestren la totalidad de la imagen grande como comparativos contra la competencia.

Un hallazgo sorprendente del informe es el deseo relativamente bajo entre los miembros de la junta de ver el riesgo expresado en términos de pérdidas financieras en comparación con un período de tiempo específico.

"He oído decir mucho que el lenguaje de la junta de consejo es en dólares y asumo que quieren discutir del riesgo cibernético en esos mismos términos", dice Wade Baker, cofundador del Instituto Cyentia. "Pero creo que hay mucho escepticismo en la capacidad de medir con precisión el riesgo cibernético, por lo que prefieren una explicación clara de dónde están las cosas".

John Pescatore, director de las nuevas tendencias de seguridad en el SANS Institute, dice que gran parte de la desconexión se debe a que los CISO no han sido capaces de comunicarse. "Los CISO son muy buenos en presentar 'la sangre en las calles' y muy malos al presentar una estrategia de cómo evitarla", dice Pescatore. Muchos son débiles en el uso de datos de tendencias para dar a la junta la confianza de que el negocio podría evitar o minimizar los riesgos que enfrentan.

Los CISO tienen que aprender a mostrar la conexión entre los gastos de seguridad y el impacto comercial. "Eso no siempre significa ROI, pero sí significa más que 'cosas malas están sucediendo. Si no conseguimos más gente o gastamos más dinero, nos pasará a nosotros ", dijo.

Enmarcar las cosas en términos de riesgo y habilitación del negocio puede ayudar a permitir una mejor conversación con el consejo, agrega Christopher Pierson, consejero general y jefe de seguridad del servicio de pago en línea Viewpost.

"Mostrando a la junta de un montón de diagramas de flujo, esquemas y números sobre la cantidad de malware bloqueado no responde o aborda la pregunta fundamental", dice Pierson. Lo que la junta quiere saber es cómo la organización de seguridad está mitigando el riesgo y lo que sus directores pueden hacer para ayudar.

"Un miembro del consejo favorecerá métricas combinadas con una historia intuitiva. Pero tiene que ser una narrativa que puedan entender ", dice Daniel Kennedy, analista de 451 Research. "El problema técnico, un tanto difícil, de la seguridad debe ser descrito en términos simples que van lo suficientemente profundo para personas muy inteligentes, que no son expertos en seguridad", dice Kennedy.

Aprende las diferentes perspectivas de la seguridad de la información en nuestro tiempo inscribiéndote a nuestro Diplomado de Seguridad de la Información da click en la imagen y conoce más.

Si tienes algún comentario o requerimiento adicional puedes contactarme en mi dirección de correo electrónico: mtorres@smartekh.com  

Nuevo llamado a la acción

*Jai Vijayan/DarkReading/2017

Topics: cibercrimen, Seguridad, Seguridad Informática, Ciberseguridad, panorama de amenazas, mejores practicas seguridad informatica, controles de seguridad informática, mitigacion de riesgos, dia cero, ciberseguridad y negocio, CIO, CISO


Deja un comentario

No te pierdas lo mejor en Seguridad ¡Suscríbete al blog!

Lists by Topic

see all

Lo que se dice en Smartekh

ver lo mejor en Seguridad
Agenda-aqui-tu-asesoria-con-un-consultor-experto.jpg
Tienes-problemas-de-soporte-levanta-tu-caso-aqui.jpg
Webinar | ¿Cómo adaptarse a la nueva normalidad e incrementar la productividad?
EBOOK-Guia-de-senales-de-prevencion-para-evitar-ataques-por-ransomware-con-tu-solucion-de-ciberseguridad.jpg

¿Cómo estás enfrentando los riesgos cibernéticos por COVID-19?