La mayor preocupación de los CISO

Desde adquisiciones hasta cumplimiento de normativa de GDPR, entrevistamos a un grupo de CISO y líderes en seguridad de TI para averiguar qué es lo que le quita el sueño a usted y a sus compañeros.

miércoles, 15 de abril de 2020

Cuando un grupo de CISO debatió sobre lo que más les preocupaba, algunas de las mayores inquietudes giraban en torno a adquisiciones, el equilibrio de los «conocimientos necesarios» de su equipo ejecutivo, la optimización del objetivo en las iniciativas críticas, el GDPR y el ransomware, entre otros.

No faltan artículos de opinión aconsejando a los CISO sobre lo que debería preocuparles, a menudo, escritos por revistas y redactores de internet. Y es que, a pesar de que los problemas más debatidos como la falta de personal o la mitigación del riesgo forman parte de la más alta prioridad de cada desafío de los líderes en seguridad de TI, resulta alentador escuchar directamente de sus semejantes sobre estos problemas que pasan desapercibidos o no se mencionan. Bill Malik, Vicepresidente de estrategias de seguridad de Trend Micro y Auditor Certificado de Sistemas de Información (CISA, por sus siglas en inglés), se sentó junto a una docena de líderes en seguridad de TI para debatir sobre lo que les roba tiempo con el fin de arrojar algo de luz sobre lo que más preocupa a los CISO.

El ritmo elevado de adquisiciones
Dado que el entorno empresarial está en constante cambio, muchos CISO se ven forzados a enfrentarse a este desafío a la misma vez que se enfrentan a los cambios en ciberseguridad, provocando que un tercio de los entrevistados hagan referencia al ritmo elevado de adquisiciones como una fuente significativa de riesgo. Esto puede ser debido a que, con frecuencia, los recursos de seguridad de la información se agotan antes, durante y tras la adquisición. Incluso antes de la compra, el equipo de InfoSec debe comprobar la integridad de la infraestructura de TI del entorno objetivo. Generalmente esto es una ardua tarea realizada, habitualmente, bajo estrictas fechas de entrega y vinculadas a los términos de un acuerdo de confidencialidad. Muchos entrevistados presenciaron una adquisición cada seis semanas en los últimos dos años, dejando poco margen de error y requiriendo que los líderes en seguridad de TI garanticen infatigablemente que todos los miembros del equipo se mantuvieran en la misma línea y practicaran una comunicación abierta.

El continuo desafío del objetivo
A pesar de que se da por hecho la tarea de hacer coincidir los conocimientos necesarios del equipo ejecutivo con los deseos de gestión por mejorar el objetivo del equipo acerca de iniciativas críticas, los entrevistados proporcionaron interesantes perspectivas sobre esta materia. La presión externa procedente de la junta directiva, a menudo, puede provocar la microgestión del equipo de seguridad de TI, incluso de los CISO más discretos. Este foco incongruente puede distraer la Junta y la Gerencia de sus principales misiones, provocando la frustración de aquellos que realizan el trabajo. Malik recuerda a los CISO la importancia de la comunicación en el equipo, sugiriendo la adopción de un newsletter. «Este documento informa sobre el estado de los proyectos en curso, notas sobre los más eficientes, evaluaciones de las vulnerabilidades recientemente descubiertas e indicadores sobre la mitigación efectiva del riesgo que el equipo directivo puede pasar a sus respectivas áreas operativas», dice Malik. «Cuando un miembro de la junta tiene una pregunta para el equipo, el CISO puede intervenir y publicar una respuesta mediante el newsletter».

La comunicación es la clave
Desde las adquisiciones y la gestión del equipo hasta las políticas de BYOD, el cumplimiento de normativa de GDPR y la inminente preocupación de los ataques BEC. Sobran motivos para mantener en vela a un CISO. Sin embargo, Malik aclara que la herramienta más importante para mitigar el riesgo es la mera comunicación. Una línea abierta de información ente los líderes en seguridad de TI y sus equipos, entre sus compañeros, así como en toda la industria de la ciberseguridad como conjunto, ayuda a que los CISO se centren en las últimas amenazas, tecnologías y conocimientos. Lea La mayor preocupación de los CISO en 2019 y haga clic en el siguiente enlace debajo del informe de Bill Malik para obtener más información sobre las amenazas e inquietudes a las que se enfrentan los CISO y sobre cómo puede hacerles frente. 

La mayor preocupación de los CISO en 2019

Desde adquisiciones hasta cumplimiento de normativa de GDPR, entrevistamos a un grupo de CISO y líderes en seguridad de TI para averiguar qué es lo que le quita el sueño a usted y a sus compañeros. 

La mayor preocupación de los CISO