Los CISO de hoy están bajo ataque desde numerosos sectores, tanto dentro como fuera de sus organizaciones. Ciertamente, hay muchos delincuentes que utilizan métodos de explotación nuevos y más sofisticados para penetrar en sus redes. Pero internamente también están bajo fuego.
Los requisitos para el director de seguridad de la información moderno son innumerables: mantenerse actualizado en la implementación de nuevas tecnologías y medidas de protección, por supuesto, pero también mejorar las habilidades y la moral del personal y, sobre todo, asumir un mayor perfil de liderazgo y responsabilidad para reducir el cumplimiento general. riesgo y responsabilidad legal.
De acuerdo a Informe reciente de recomendaciones del programa de seguridad de Forrester«Los ojos del mundo están puestos en los CISO, pero no en el buen sentido. Ahora hay una larga lista de CISO sacrificados que han sido despedidos o abandonados debido a desacuerdos con sus empresas».
Navegar por lo que viene después no es fácil, pero aquí hay cinco conclusiones del análisis de Forrester que podrían ayudar a identificar algunos caminos hacia el éxito.
La empatía puede reconstruir la confianza después de una infracción
Una consecuencia del continuo ataque a las redes corporativas es la erosión de la confianza, especialmente entre clientes y socios comerciales, según escribe en un reciente artículo la analista de Forrester, Heidi Shey. informe sobre las implicaciones para la marca debido a fallas de privacidad.
Recomienda que los CISO realicen un examen crítico de los riesgos de ciberseguridad y privacidad en toda la operación, incluidos los ecosistemas de socios y proveedores, porque, como escribió, «una supervisión, prácticas y estructuras de responsabilidad de privacidad sólidas serán la foundation para crear nuevos productos y apoyando el uso ético y responsable de los datos en su transformación digital.»
Sin embargo, los CISO también deben ser empáticos y transparentes con notificaciones rápidas posteriores a las infracciones, comprendiendo las preocupaciones de los proveedores, socios y clientes sobre el daño que las infracciones pueden causar, sin importar de quién sea la culpa del incidente.
«Existe una tendencia a la autoconservación después de una infracción, y es lógico guardarse la información para uno mismo, incluso después de que el evento haya terminado», dice Max Shier, CISO de Optiv. «Sin embargo, los profesionales de la ciberseguridad y especialmente los CISO deben garantizar que se comparta la mayor cantidad de información posible para ayudar a otros a aprender del evento».
Sea sincero cuando cometa errores
Parte de esta reconstrucción de la confianza es que los CISO deben ser sinceros, asumir la responsabilidad cuando hay problemas y ser proactivos a la hora de trabajar con diversas partes interesadas para solucionarlos.
«Practique la franqueza radical con sus electores y ejecutivos clave», es una sugerencia de Forrester. En otras palabras, formule las preguntas difíciles y trabaje para llegar a un consenso.
«La transparencia, la comprensión y mantener abiertas las líneas de comunicación pueden ayudar a toda la cadena de suministro a afrontar un evento si algo se interrumpe en la línea», afirma Shier. «Es clave para tener una cadena de suministro resiliente, pero también es clave para ayudarse mutuamente durante y después de un evento, ya que hay efectos en cadena a lo largo de la cadena de suministro».
Los CISO no pueden permitirse el lujo de no prestar atención a su responsabilidad por la violación de datos: un desglose de la empresa del Las 35 principales infracciones en todo el mundo en 2023 descubrió que las organizaciones pagaron casi 2.600 millones de dólares en multas por exponer 1.500 millones de registros, y casi la mitad de las infracciones ocurrieron en agencias públicas e industrias relacionadas con la atención médica. Entre esta lista se encontraban infracciones en muchos de los proveedores de telecomunicaciones más grandes del mundo. De las 35 principales infracciones, todas menos una ocurrieron en la Unión Europea y Estados Unidos.
Transparencia operativa: más que solo relaciones públicas
Además, la transparencia debería ser una parte all-natural del guide de un CISO, no sólo algo que se activa en situaciones posteriores a una infracción. Parte de la motivación es el cumplimiento, como señalaron los analistas de Forrester.
«Los reguladores están presionando para lograr una mayor transparencia», escribieron. «Lo están facilitando al dar incentivos a los líderes de seguridad para que actúen en el mejor interés de los clientes (y de ellos mismos) con la amenaza de acciones legales. La falta de transparencia conduce a una violación de la ley, un abuso de confianza y una continuación de teatro de transparencia. En otras palabras, haz lo que dices que haces con tus datos».
En otro informe publicado a principios de este mesLos analistas de Forrester también dieron este consejo a los gerentes de seguridad: «No firmen con su nombre evaluaciones de riesgos de terceros, documentos de suscripción de seguros o certificaciones de cumplimiento normativo que ofusquen o encubran fallas del programa o del producto».
En basic, los CISO deben «apropiarse de ello, reconocer dónde salieron mal las cosas y trabajar de manera proactiva para solucionarlas, incluyendo a tantas partes interesadas como sea posible para garantizar que se solucione la causa raíz e identificar cualquier otro problema que pueda haberse pasado por alto», dice Shier. . «Esto es especialmente cierto ahora que los CISO son cada vez más responsables personalmente de los problemas que pueden surgir de negligencia corporativa o problemas de seguridad que eran persistentes, conocidos y no mitigados».
Preste más atención a la mejora de las capacidades de su private
Los CISO también enfrentan el desafío de mantener a su own actualizado sobre nuevas tecnologías, nuevas amenazas y nuevos métodos de prevención.
«La seguridad es un objetivo en movimiento, las cosas están cambiando muy rápido», dice Lisa Rokusek, reclutadora de su propia agencia con sede en St. Louis, llamada rokusekrecruits.com. «Muchas empresas han tenido un historial horrible en términos de desarrollo y retención de su talento interno. Es muy miope.»
El camino a seguir es invertir en más y mejores programas de mejora de habilidades, algo que la analista de Forrester Jess Burn escribió en su informe sobre el tema. «La falta de empleados con habilidades de seguridad fue un desafío clave en muchas organizaciones», dijo. «Invertir en tecnología en lugar de capacitación sólo aumenta la brecha de habilidades a medida que los profesionales luchan por mantenerse al día con el aprendizaje de nuevas herramientas en lugar de desarrollar competencias en dominios clave».
Adopte nuevas tecnologías, pero comprenda el contexto
Cuando se trata de implementar nueva tecnología (IA generativa, digamos), es casi inescapable que los CISO queden atrapados en un ciclo de exageración en algún momento. Pero es importante mantener la cabeza despejada y pensar detenidamente sobre los riesgos para la privacidad de los datos frente a los beneficios de seguridad cuando se trata de nuevas plataformas.
«La industria de la ciberseguridad es como cualquier otra y también es víctima de ciclos de exageración», dice Shier. «Inmediatamente me vienen a la mente la inteligencia artificial, la confianza cero y las plataformas de seguridad. El trabajo del CISO es sopesar los riesgos, los beneficios, eliminar la jerga del marketing y determinar un buen equilibrio entre riesgo y beneficio, sin dejar de habilitar el negocio. «Es una tarea fácil, especialmente cuando la IA realmente ha cambiado el mundo, tanto para bien como para mal, y la necesidad de implementación es extremadamente alta, o su negocio puede volverse irrelevante rápidamente».
Como señalaron los analistas de Forrester con respecto a las características similares a ChatGPT, «priorizar la utilidad sobre la ostentación, darse cuenta de las limitaciones de la IA y comprender sus impactos» en la infraestructura, los datos y las operaciones de una organización.
Otro ejemplo es el paso a la opción sin contraseña. Forrester recomienda que las empresas opten por métodos de autenticación sin contraseña y otros mejores para evitar futuros ataques. Sin embargo, esto no es algo que un CISO pueda activar simplemente.
«A un nivel de 80.000 pies todo esto es cierto, hace mucho que necesitamos algo mejor que las contraseñas», dice Phil Dunkelberger, director ejecutivo de Nok Nok, un proveedor de autenticación desde hace mucho tiempo. «Aquí es donde está el problema: cuando nuestros clientes comienzan a implementar soluciones sin contraseña, descubrimos que el diablo está en los detalles cada vertical tiene sus propias necesidades de seguridad, sus propios mandatos regulatorios y, por supuesto, las plataformas también varían ampliamente».