El papel del CISO continúa creciendo en perfil, presión e importancia, especialmente en la era actual de transformación digital. Las empresas de hoy requieren seguridad cibernética para sobrevivir, y las estrategias de seguridad cibernética de hoy deben respaldar los objetivos comerciales para ser efectivas.
Con su libro, La evolución del CISO: conocimiento empresarial para ejecutivos de ciberseguridadlos autores Matthew K. Sharp y Kyriakos «Rock» Lambros tienen como objetivo proporcionar una hoja de ruta para los CISO que navegan por el C-suite al presentar lecciones sobre conceptos comerciales fundamentales a través de una lente de seguridad.
Aquí, Lambros y Sharp analizan cómo Los CISO pueden reclamar su lugar en la sala de juntas al comprender el valor comercial y conectarlo con la estrategia de ciberseguridad. También explican por qué no todos los CISO necesitan un MBA, cómo mejorar en la negociación y qué hacer con la actual escasez de talento.
Nota del editor: Este texto fue ligeramente editado por su extensión y claridad.
¿Por qué decidiste escribir? La evolución del CISO?
Mateo K. Sharp: En 2020, tuve un compromiso de hablar en RSA. Rock estaba allí en una muestra de apoyo, pero nadie más vino. Fue una especie de punto bajo para mí. Pero, dado que solo éramos nosotros, comenzamos a generar ideas y a hablar sobre cosas como: «¿Cómo se presupuesta significativamente la seguridad cibernética en la nube cuando la nube es tan dinámica?»
Mateo K. Sharp
También nos dimos cuenta de que seguíamos asistiendo a conferencias y escuchando a los llamados líderes de opinión hacer declaraciones insípidas sobre hablarle a la empresa en lenguaje comercial. Pero, si alguna vez le preguntas a alguno de ellos, ‘Bueno, ¿cómo haces eso?’ obtendrías miradas en blanco porque la mayoría de los líderes de seguridad cibernética en todo el país en realidad no tenían idea.
Entonces, Rock, en lugar de decir: ‘Voy a distanciarme de este idiota que no pudo lograr que otra persona se presentara en su mesa de RSA’, dijo: ‘Estos son excelentes temas. Escribamos un libro.
Kyriakos «Roca» Lambros
¿Cuáles son algunos puntos clave de losEvolución del CISO?
Kyriakos «Roca» Lambros: El comienzo del libro establece los principios comerciales fundamentales, como cómo desglosar los estados financieros, qué EBIT [earnings before interest and taxes] y EBITDA [earnings before interest, taxes, depreciation and amortization] decir y por qué a usted, como líder de seguridad, debería importarle. Desafortunadamente, a menudo encontramos que ese tipo de perspicacia empresarial fundamental falta en nuestra industria. Y es esa base la que nos permite comprender cómo las organizaciones crean valor y cómo podemos tener esas conversaciones en las salas de juntas.
Conectar la valoración con la estrategia de seguridad es realmente el método principal para hacerse, como CISO, relevante en la sala de juntas.
Mateo K. Sharp
Agudo: Conectar la valoración con la estrategia de seguridad es realmente el método principal para hacerse, como CISO, relevante en la sala de juntas. Si no comprende cómo se valora realmente su negocio, entonces no puede pararse frente a alguien y decir: ‘Esto agrega valor’ o ‘Esto no agrega valor’.
¿Los CISO de hoy necesitan títulos de MBA?
Lambrós: Matt y yo tenemos maestrías en administración de empresas: divulgación completa. Funcionó para mí, pero no todos necesitan desembolsar entre $60,000 y $100,000. Es una decisión muy personal.
una de las premisas de La evolución del CISO es que no todos los CISO necesitan un MBA completo para tener éxito. Intentamos destilar nuestros propios MBA y nuestros 40 años de experiencia combinada en la industria en un volumen de trabajo digerible. Es una hoja de trucos para ayudar a los líderes de seguridad cibernética a cerrar esa brecha.
Escribes sobre el arte de la negociación y dices: ‘No se trata solo de obtener lo que quieres. Se trata de conseguir lo que quieres y hacer que la otra parte se sienta bien al respecto.’ ¿Cuál es su consejo para los CISO que no confían en sus habilidades de negociación?
Agudo: Cada vez que aboga por cambiar el statu quo, está en una negociación. Eso puede significar negociar precios con sus proveedores, negociar con otras partes interesadas en el negocio sobre recursos y plazos, o incluso negociar para retener talento clave cuando no puede ofrecer aumentos. Si cree que va a ser un CISO y no introducirá cambios, entonces está en el negocio equivocado.
En última instancia, la influencia es el nombre del juego. Queremos enviarlo a la sala equipado con todas las herramientas y estrategias apropiadas que necesita para tener un diálogo exitoso. Debe asegurarse de haber establecido relaciones significativas, construido un mapa de partes interesadas y creado una estrategia para maximizar su influencia. La negociación en sí es solo el componente final.
Realmente aprecio la manera [former FBI hostage negotiator] Chris Voss se acerca a la negociación. Argumenta que la empatía y la curiosidad intelectual te dan la capacidad de sentarte en el mismo lado de la mesa que la persona con la que estás negociando para resolver un problema mutuo. Y así, en lugar de tratar de influir en esta persona, lo que resulta en una negociación de ganar-ganar o de ganar-perder, resulta ser un compromiso mucho más colaborativo.
No creo que el paradigma tradicional de yo contra ellos sea la forma adecuada de pensar en la negociación y, con suerte, eso es lo que se presenta en La evolución del CISO. La negociación se trata de ser un socio colaborativo para buscar el beneficio mutuo y tener la persistencia de hacer algunas cosas que son incómodas para obtener el resultado óptimo para el negocio.
Usted mencionó la retención de talentos. ¿Cómo pueden los CISO construir sus equipos de manera efectiva en medio de la continua escasez de habilidades en ciberseguridad?
Lambrós: Su red es el lugar número uno donde encontrará nuevos talentos. cultivarlo Salga a la comunidad y construya relaciones.
No puede dejarlo en manos de los departamentos de recursos humanos: no están conectados a la comunidad de seguridad cibernética, de donde provendrá su mejor talento. Entienden lo que pones en papel y cómo marcar las casillas, pero no entienden la ciberseguridad y lo que necesita.
A veces, tendrá fricciones con los departamentos de recursos humanos. A menudo requieren títulos universitarios para ciertos niveles de clasificación laboral, por ejemplo, pero algunas de las personas más inteligentes y talentosas con las que he trabajado en seguridad cibernética no tienen títulos. Tienen títulos de la escuela de golpes duros, y los tomaría cualquier día. Un profesional de recursos humanos podría decir: ‘Oye, para ser un empleado de grado de salario de nivel cinco en nuestra organización, esta persona debe tener una licenciatura’; podría ser en cestería bajo el agua; solo tienen que marcar esa casilla. Creo que es una estupidez en el mercado laboral en el que estamos ahora.
Agudo: Además, como CISO, el simple hecho de estar informado sobre el talento es bastante crítico en términos de su influencia a nivel ejecutivo. La supervisión del talento es una prioridad de la junta porque, para las empresas que intentan la transformación digital, capturar y retener el talento es la principal limitación. No es tecnología porque la nube pública está fácilmente disponible. Entonces, nuevamente, debe comprender cómo su programa de seguridad afecta a la organización en general.
Mateo K. Sharp
Kyriakos «Roca» Lambros
