http://www.netmedia.mx/b-secure/ciso-es-hora-de-ver-el-mundo-de-otra-manera/
B:Secure

CISO: es hora de ver el mundo de otra manera

El típico programa de mitigación de riesgos para la ciberseguridad aún es necesario, pero no es suficiente. Así lo indicó Phillip Miller, CISO y jefe de infraestructura de Brooks Brothers, en su discurso de apertura, en el Argyle CISO Leadership Forum, celebrado recientemente en Nueva York.

Según Miller, si bien es importante entender el “apetito de riesgo” de las organizaciones, gestionar los riesgos no puede ser lo único que que un CISO se dedique a hacer. Argumentó que los CISO deben adoptar un enfoque más basado en su misión de proteger a la empresa ya que, a menudo, caen en la trampa de tratar de arreglar todo en lugar de enfocarse en reparar las cosas que harán la diferencia.

Según el analista, esa es la razón por la que las iniciativas de ciberseguridad (tales como la administración de identidades y los proyectos de autenticación multifactorial, por nombrar un par) a menudo se prolongan durante años. Además, muchos albergan una profunda creencia de que la tecnología es una panacea.

“Céntrate en vencer al enemigo que puedes ver, sin preocuparte por el que no puedes. Luego, prepárate para el próximo enfrentamiento”, aconseja el experto en TechTarget.

Miller considera que creer que un programa de seguridad cibernética, si se hace lo suficientemente bien, puede evitar todas las infracciones de datos no es realista.

“Nuestros equipos necesitan que les demos un ejemplo que puedan traducir en sus vidas reales, en sus operaciones cotidianas como analistas de amenazas de seguridad”, dice.

Para ayudar a los líderes de seguridad y profesionales a lograr este objetivo, Miller sugiere un enfoque de tres fases que él llama misión, modelo y medicina.

Misión

La misión, la más difícil de las tres, exige que los CISO establezcan un camino claro para cada actividad importante que sea necesaria para mejorar sus programas de seguridad cibernética. El primer paso para hacer esto es “poseer la narración”.

“No permita que las personas que lo rodean definan cuál es su práctica de ciberseguridad”, asegura.

Asimismo, dice que es importante que los CISO tengan una comprensión profunda de los objetivos comerciales de la compañía, de su cadena de suministro y de sus equipos financieros. Ello, para que puedan crear una “misión” que proteja el negocio, que es la principal responsabilidad del CISO.

En segundo lugar, el experto dice que es necesario que los profesionales de seguridad cibernética formen equipos.

“Su equipo no solo está formado por las personas que le informan, su equipo son todas las personas de la organización que interactúan con datos e información. Usted tiene que salir y obsesionarse con reclutar a esas personas para esa misión”, agrega.

Sin embargo, estas misiones extendidas del equipo deben ser discretas y no demasiado largas, de lo contrario la gente se desconectará. Según Miller, por eso es igual de importante crear informes para evaluar si se cumplieron los objetivos de la misión o no.

“Esto ayudará a que los programas de ciberseguridad funcionen como cualquier otra unidad de negocio que adopte prácticas de administración modernas. Piense en esto como un DevOps, Agile o Lean Six Sigma de cómo ejecuta sus programas de seguridad”, destaca.

Modelo y medicina

Miller explica esta fase del modelo como la creación de un conjunto de enfoques que definan cómo hacer algo y, luego, comunicar esos estándares a la empresa. Ello ayudará a la seguridad a no ser vista como un obstáculo para el resto de la organización.

Por ejemplo, si un equipo de desarrollo de Agile está implementando una nueva tecnología que tiene una conexión con el mundo exterior, el programa de ciberseguridad debe ofrecerle al equipo un conjunto de “modelos de referencia” para elegir, explicando que, al adherirse a uno de estos modelos por adelantado, será mucho más fácil obtener la aprobación por parte del equipo de seguridad para su implementación”, dice.

La medicina es la más fácil de las tres. Según Miller, esto se refiere a las partes de la infraestructura y el programa de seguridad de una organización que solo necesitan ser arreglados.

“Es ese servidor que sigue funcionando con una versión obsoleta de Windows o de LINUX. Para ello necesita abrocharse el cinturón y crear un plan para resolverlo”, destaca.

El futuro

Miller consider que la ciberseguridad ya no es una disciplina discreta dentro de la organización, sino que está en todas partes. Así es como los CISO necesitan pensar acerca de sus programas de seguridad cibernética, a medida que construyen sus equipos.

“Todavía debemos tener personas que usen ese sombrero (de seguridad), pero necesitamos más analistas de datos, necesitamos más personas que estén dispuestas a cruzar y estrechar la mano de alguien y decir: hola, trabajo en ciberseguridad y estoy aquí para ayudar a que su proyecto sea más exitoso”, indica.

En esa línea, la capacidad —y la voluntad— de hacer de la ciberseguridad una disciplina para toda la empresa comienza en la cima. Miller asegura que los líderes de seguridad cibernética deben ser proactivos para cambiar la forma en que colaboran y comunican sobre ciberseguridad, tanto con sus equipos como a los encargados del negocio.

Miller está convencido de que la próxima generación de profesionales de ciberseguridad será la industria más inclusiva, diversa y colaborativa jamás vista.

“Finalmente, creo que los CISO cambiarán la forma en que se miden a sí mismos y la forma en que se miden externamente: no en si detienen una violación de datos sino en la fortaleza de su programa (de ciberseguridad). Se medirán en resiliencia versus reacción”, puntualiza.

Netmedia es mucha más que noticias. suscríbase y reciba lo mejor

Te recomendamos

CISO: es hora de ver el mundo de otra manera