¿Quién está a cargo, su CSO o CISO?


Esa decisión dependerá en última instancia de quién posee mejor visión para los negocios y sensibilidad al riesgo.

GEORGE PLATSIS 17 DE JUNIO DE 2019

¿Quién es el guardián de tus secretos? ¿Qué herramientas protegen los recursos necesarios para que sus operaciones continúen? ¿Quién reduce tu perfil de riesgo? En última instancia, ¿quién hace las políticas que mantienen a su organización segura y protegida?

En 2017, Steve Hunt escribió un excelente artículo para SIW sobre esta misma pregunta: CSO o CISO, ¿ quién hace la política? Es una lectura necesaria y esta pieza, de muchas maneras, retoma donde la dejó.

Le sugiero que la respuesta a este tipo de preguntas siempre es: depende. No hay una respuesta clara. De hecho, si busca respuestas claras, puede terminar causando más daño que beneficio. Esa es la razón por la que su guía debería ser: quienquiera que mejor entienda las necesidades comerciales de la organización y pueda satisfacerlas de una manera rentable, tangible, mensurable e incluso rentable, debe establecer políticas.

Por supuesto, esto es más fácil decirlo que hacerlo. Cada organización es diferente y por lo tanto tendrá diferentes necesidades. Ese solo problema subraya por qué “depende” es la respuesta a esta pregunta. Para complicar las cosas, la falta de una definición clara, o al menos coherente, de toda la industria para cada función nubla la decisión.

Sinceramente, dada la dependencia actual de la información para operar cualquier tipo de negocio, ¿existe realmente una diferencia entre un CSO y un CISO? ¿Debería haber uno? ¿Nos atrevemos a agregar también al Director de Riesgos en esta conversación? Christopher Burgess hace precisamente eso, declarando , “el CISO estará a la derecha, si no está atado a la cadera, del CRO”.

¿Quién tiene responsabilidad y quién tiene autoridad?

El artículo de 2008 de SIW por William Plante y James Craft, ” The CSO / CISO Relationship ” ilustra, con una historia anecdótica de una tarjeta de identificación perdida que causa una violación, es un problema de todos. Más de una década después, los desafíos que surgieron de esta historia anecdótica seguirían siendo ciertos; Excepto, por supuesto, los desafíos y la dinámica de las relaciones se han vuelto mucho más complejos.

Por lo tanto, quién hace la política es solo una parte de la pregunta; La otra parte de la pregunta es quién informa a quién, un tema examinado muy bien por Christophe Veltsos en su artículo ” ¿Dónde debería estar el CISO en el organigrama de seguridad y por qué importa? “.

Agregue a la mezcla un desenfoque de dónde comienza y termina la seguridad física y digital, y las aguas se enturbian aún más. Finalmente, y si lo anterior no te ha dejado un poco confundido, la respuesta será aún más complicada cuando comiences a mezclar en la implementación de IoT, Big Data, AI, plataformas SOAR y todos los otros artilugios sofisticados supuestamente diseñados para hacer nuestras vidas. más fácil.

Observo con humor una publicación en el blog de Spencer Stuart que dice: “El CSO o CISO tiene un papel más amplio que solo eliminar la amenaza. También es para lidiar con la crisis y las consecuencias residuales “. Lo que me emociona de la cita es que efectivamente dice:” No me importa quién resuelva el problema, ¡solo quiero que el problema se solucione! “

La mala política conducirá a una complejidad innecesaria e incluso perjudicial

Dos citas vienen a la mente y ayudan a preparar el escenario. El primero es de Dee Hock, fundadora de Visa. Él dice: “El propósito y los principios simples y claros dan lugar a un comportamiento inteligente complejo. Las reglas y regulaciones complejas dan lugar a un simple comportamiento estúpido “.

Con toda franqueza, el oficial de C-Suite que aprecia y se toma muy en serio esta lección debería establecer una política. Pero para hacerlo, ese oficial debe entender primero el negocio. Como puede ver, solo un pequeño porcentaje de empresas puede considerarse que la “seguridad” es un generador de ingresos; en casi todos los casos, es un centro de costos, un impuesto sobre su negocio.

O dicho de otra manera, puede estar armado con las mejores tácticas de seguridad, trucos y estrategias, pero si no comprende las ganancias, el flujo de efectivo y el costo, puede estar condenando a su organización. Después de todo, ¡incluso los gobiernos muestran que pueden quedarse sin dinero también!

Siempre conozca el negocio, sin excepciones

Si el oficial de política monetaria reconoce que su trabajo de seguridad – un trabajo muy necesarias para funcionar en un 21 st economía del siglo – es un drenaje inevitable de recursos de la empresa, ese individuo se verá obligado a considerar el impacto que sus decisiones tendrán en la línea inferior ( o cualquiera que sea la intención de negocio final es). Esa es la persona que quieres establecer política.

No es tanto una cuestión de ganar dinero, aunque eso es útil. Más bien, el oficial de establecimiento de políticas que entiende el negocio también debe comprender inherentemente la continuidad de las operaciones. Por lo tanto, la persona armada con expertos en negocios y tecnología es simultáneamente el arma letal de su organización y su defensor final.

Le sugeriría que la parte con conocimientos de negocios es más difícil que la parte con conocimientos de tecnología. Intentaré probártelo con un simple ejemplo. Si le doy $ 100,000 para gastar, ¿qué es más fácil: convertir esos $ 100,000 en $ 200,000 o gastar esos $ 100,000 en una medida de seguridad?

Tal como lo señaló Steve Hunt, el oficial de políticas que tiene los conocimientos de negocios es el que conducirá el autobús. Richard Wildermuth, director de la ciberseguridad y la privacidad en PwC dijo similares ,  un CISO deben informar a la función en la organización que les permita el presupuesto y la influencia necesaria para integrar de manera efectiva en el negocio.”

Es un sistema, no una unidad, y es por eso que necesita saber el negocio

A menos que el oficial de políticas pueda generar con éxito un ROI positivo en las inversiones en seguridad, la expectativa será minimizar el riesgo de la manera más rentable. O dicho de otra manera, al determinar quién debe establecer la política, debería ser menos una cuestión de dónde comienzan los reinos físicos y digitales (o cibernéticos o de tecnología de la información), y aún menos una pregunta del cuadro de informes. Más bien, debería ser más una cuestión de cómo el aparato completo , el “sistema de seguridad”, afecta al negocio. Esa es su primera pista sobre quién debería estar haciendo una política dentro de una organización determinada.

Y con más C-Suite y tableros que se vuelven cada vez más sensibles a sus responsabilidades fiduciarias con respecto a las violaciones de datos, será el oficial quien podrá hablar los idiomas de administración de riesgos, ganancias y pérdidas, y los impulsores de negocios que deberían estar formulando políticas, no los líderes. uno que está hablando de tráfico de red, eventos anómalos y conexiones seguras.

El oficial de establecimiento de políticas que obtiene estos conceptos de negocios siempre tendrá la ventaja y también debe contar con el apoyo del resto de la C-Suite y la junta. La razón es simple: es porque estas personas deberían estar mejor posicionadas para implementar un “sistema de seguridad” con un propósito y principios simples y claros que respalden las necesidades de la misión empresarial.

El oficial de establecimiento de políticas debe poder ver más allá del ruido

Una de las autoridades en gestión de riesgos, Nassim Nicholas Taleb, dice de la inteligencia: “Piensan que la inteligencia se trata de notar que las cosas son relevantes (detectar patrones); en un mundo complejo, la inteligencia consiste en ignorar las cosas que son irrelevantes (evitar patrones falsos) “.

Hay mucho ruido en el mundo de las TI en estos días. Y quizás la primera ola de ruido está ocurriendo justo en la base del aparato de seguridad. He aquí por qué lo digo: un informe reciente del Ponemon Institute encontró que las organizaciones están “sufriendo de inversiones en productos de seguridad no integrados e inconexos que aumentan los costos y la complejidad”.

Me gustaría interpretar este comentario desde dos extremos:

  • O bien las políticas que se han establecido son demasiado complejas y se han vuelto demasiado caras, lo que resulta en un aparato de seguridad inconexo y no integrado; o
  • Las políticas de los aparatos de seguridad son tan inconexas y no integradas que se han vuelto demasiado complejas y caras para operar.

De cualquier manera, estoy dispuesto a ofrecer esta hipótesis: quien esté a cargo de la configuración de políticas no entiende el modelo de negocio de su respectiva organización. 

Sigue por este camino:

  • Paso 1: Entender el negocio.
  • Paso 2: Identifique los recursos necesarios para operar el negocio.
  • Paso 3: Identifique los recursos necesarios para asegurar el negocio.
  • Paso 4: Hacer política.
  • Paso 5: Ejecuta tu plan.

Si sigue este sencillo enfoque paso a paso, minimizará el ruido.

DJ, Sube la música

En una vida anterior, solía hacer mucho disc jockey. No solo fue una pasión, fue un trabajo y uno que puedo decir con orgullo fue muy exitoso (menos el estrellato internacional).

¿Qué tiene eso que ver con la ciberseguridad? Mucho si va a seguir mi plan de cinco pasos, porque si no lo hace, el oficial de políticas solo va a activar el ruido.

Cualquier club nocturno, o audiófilo, que se enorgullece de su sistema de sonido entiende este concepto: ¡es un sistema Solo un defecto en algún lugar a lo largo de la línea, una mala conexión, una mala conexión a tierra, cables sin blindaje, ecualizadores y cruces mal configurados pueden hacer que el sistema de sonido más costoso suene como basura.

Algo así como una red de computadoras, ¿no?

Pero el DJing para mí fue incluso más allá de la música. En los lugares donde jugué, insistí en que el sistema de sonido estaba “limpio” . Lo que quise decir es que no quería que un sonido ruidoso, o más específicamente distorsionado, llegara a través de los altavoces. Puede dañar los altavoces y es molesto. Pero lo que es más importante, es peligroso para el oído humano y puede causar daños permanentes.

Uno de mis sentimientos más odiados fue salir de un club con un dolor de cabeza debido a un sistema de sonido ruidoso. Pero los sistemas ruidosos a veces son difíciles de detectar porque con tantas otras frecuencias en funcionamiento, y en volúmenes tan altos, todo ese “ruido” puede pasar inadvertido , pero el oído todavía lo “escucha”. Ahí es donde entra el daño.

Seguro que suena como paquetes malintencionados o malintencionados de tráfico en su red, ¿no es así?

Su rol no es uno, sus roles son muchos si desea respaldar el sistema

Habiendo crecido en un restaurante familiar, sabía de qué se trataba el negocio de los clubes nocturnos y qué impulsaba sus ganancias. Mi trabajo como DJ no era solo tocar música que hiciera felices a las personas; mi trabajo consistía en proporcionar una experiencia al público que también asegurara que la empresa ganaría dinero. Tampoco lo fue, o bien, fue a la vez , lo que me obligó a ser un experto en negocios, así como a un experto en tecnología.

También hay un factor comodín aquí: los empleados. En cada lugar donde jugué, me aseguré de usar a los empleados como un “juego de oídos extra” para obtener sus comentarios. Incluso daría un paso más y me aseguraría de incluir algunas canciones para el personal. ¿Por qué? Porque aparte de hacerlos felices, un sentimiento que pasaría a los clientes, el personal se sintió como una extensión del DJ. Y al hacerlo, querían apoyar el buen funcionamiento del sistema. Creó un cambio de cultura.

Dígame solo un CSO CISO, CRO que no querría que el personal de su organización comprenda una cultura que respalda la seguridad de su información. Entiendo que es más fácil cuando tienes tus canciones favoritas a todo volumen, pero eso no quiere decir que no se pueda hacer. Entrar en la relación interpersonal con experiencia.

Lo creas o no, tuve una fórmula para todo esto, pero es una historia separada y soy consciente de que estoy escribiendo un espacio de bienes raíces aquí. Sin embargo, esto es lo importante: solo pude encontrar la fórmula una vez que descubrí el modelo de negocio. En otras palabras, estaba estableciendo una política al crear un propósito simple y claro para mi trabajo. Y al hacerlo, filtré todo el ruido.

¿Cuál fue el resultado? Sencillo, una gran experiencia para la audiencia, un negocio que podría generar efectivo, personal feliz y una operación de fondo sin problemas que se ajusta bien a todo el sistema.

Eso es lo que debe hacer su oficial de políticas. No se trata tanto de cómo se les llama o de dónde se sientan en el organigrama, sino que el oficial de políticas tiene la responsabilidad y la autoridad de respaldar las necesidades de la misión empresarial. Y todos muy parecidos a los tres movimientos de Steve Hunt:

  • Mejora continua
  • Coaching Continuo, y
  • Medición y Reconocimiento

La fórmula ganadora

Cuando decida quién debe ser su oficial encargado de establecer las políticas en este mundo de “todo lo que pasa en la red”, puede haber una necesidad de ir con la persona que tiene las habilidades técnicas más competentes. Es comprensible, pero no significa necesariamente que sea correcto si no tienen los conocimientos de relaciones interpersonales y de negocios que lo acompañan que son necesarios para respaldar el sistema.

Esa es la fórmula ganadora allí mismo: conocimiento de negocios + conocimiento de tecnología + habilidades de relación interpersonal. Si esa persona está redactando y ejecutando las necesidades de seguridad de su organización, estará en mejores manos que la mayoría.

Sobre el Autor: George Platsis trabaja con los sectores privado, público y sin fines de lucro para abordar sus necesidades estratégicas, operativas y de capacitación, centrándose en proyectos relacionados con el desarrollo empresarial, la gestión de riesgos / crisis, la resiliencia, la seguridad cibernética y de la información y las relaciones culturales. Se centra principalmente en las vulnerabilidades del factor humano relacionadas con la ciberseguridad, la seguridad de la información y la seguridad de los datos al separar las áreas de riesgo de la red y la información. Algunos de los temas que aborda incluyen: continuidad de negocios, estrategias de resiliencia, ingeniería social, amenazas internas, guerra psicológica, manipulación e integridad de datos y dominio de la información. George es director de ciberseguridad en FTI Consulting, con sede en Washington, DC, educador, autor y miembro fundador de #CyberAvengers. Tiene una licenciatura Licenciado en administración de empresas y graduado en administración de empresas, gestión de desastres y emergencias, derecho y ciberseguridad. Ha completado su educación ejecutiva en seguridad nacional / internacional y ciberseguridad en la Universidad de Harvard, la Universidad de Syracuse y el Colegio de las Fuerzas Canadienses. Las opiniones expresadas por el autor son las del autor y no necesariamente las opiniones de FTI Consulting, su administración, sus subsidiarias, sus afiliadas o sus otros profesionales.Para obtener más información del Sr. Platsis, visite su sitio web en https://georgeplatsis.com/ .

Fuente: securityinfowatch.com

Mario Meneses

Saludos


Responder

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.