Es probable que la mayoría de nosotros estemos de acuerdo en que si queremos continuar evolucionando para ser lo mejor de nosotros mismos, necesitamos algún tipo de conflicto o desafío. Si queremos ser más fuertes, levantamos más pesas o agregamos más repeticiones. Si queremos mejorar la función cerebral, resolvemos acertijos o aprendemos nuevas habilidades. Podemos reestructurar nuestras dietas o diversificar nuestros regímenes de ejercicio, pero, en cualquier caso, dicha actividad casi siempre requiere un cambio de comportamiento, un compromiso de disciplina y una flexibilidad de enfoque para lograr resultados óptimos.
Y, sin embargo, como profesionales de la seguridad, muchos de nosotros descartamos este tipo de capacitación cuando cruzamos las puertas en el trabajo. Nos quedamos en un lugar conocido y cómodo. Ignoramos la independencia y la creatividad de nuestro propio pensamiento y, casi como por defecto, nos transformamos en hombres y mujeres, de acuerdo con nuestros equipos de gestión y nuestros consejos sobre las formas correctas de manejar los riesgos y las amenazas cibernéticas.
Irónicamente, para gran parte del resto de la organización, nos transformamos en lo que llamo el Departamento de No, un grupo de ejecutivos bien intencionados pero reacios al riesgo que desarrollan políticas complejas que restringen los comportamientos de los empleados en un intento equivocado de reducir los niveles de riesgo. Nuestros enfoques de acompañamiento, ya sea positivo o negativo y si nos damos cuenta o no, revelan sesgos inherentes y comportamientos predispuestos que pueden parecer benignos en sí mismos pero que conllevan nuevas vulnerabilidades (y, por lo tanto, nuevos riesgos) en el lugar de trabajo .
La verdad es que el trabajo de un CISO tiene un conflicto inherente. Nos esforzamos por lograr un equilibrio entre cosas como el costo y la calidad o la seguridad y la facilidad de uso, sabiendo que básicamente estamos haciendo compensaciones, reduciendo una parte de la ecuación para darle más peso a la otra, y esas compensaciones generalmente nos muestran dónde sesgo mentiras. El sesgo resultante de nuestros antecedentes, capacitación o lo que sea nos hace inclinarnos hacia ciertas suposiciones y contribuye a nuestra posible percepción errónea del riesgo y una mayor vulnerabilidad no intencional. No es un camino que nos permita hacer nuestro mejor trabajo.
La responsabilidad organizacional fragmentada es otro conflicto inherente. Un departamento puede ser responsable de la certificación FedRAMP, otro para los estándares SOC y otros para la privacidad, la seguridad de la información y el cumplimiento. Por lo tanto, las responsabilidades de riesgo y management pueden estar aisladas tanto en la toma de decisiones como en los resultados. Cuando cada departamento requiere sus propias auditorías, controles, políticas y prioridades, separar el sesgo y trabajar hacia un marco común se vuelve cada vez más desafiante, lo que nos hace más fácil permanecer dentro de nuestros respectivos equipos y nuevamente, quizás involuntariamente, debilitar nuestras organizaciones trabajando en propósitos cruzados.
Todos vemos el riesgo a nuestra manera, como la luz que brilla a través de un prisma. Dependiendo de los ángulos que usemos, vemos diferentes refracciones y reflejos de luz. El color y la intensidad de la luz cambian a medida que atraviesa el prisma en un espectro de colores dispersos o mezclados. Nuestra evaluación del riesgo y los controles que utilizamos para mitigar las vulnerabilidades son igualmente diversos: diversidad que es saludable si se reconoce y gestiona, pero divisiva e innecesariamente conflictiva si no. El resultado last deja brechas entre las organizaciones que deberían trabajar juntas para optimizar el espectro del riesgo de la información.
El desacuerdo no es deslealtad
Para llegar allí se requiere el mismo compromiso con la disciplina y la flexibilidad de enfoque que aportamos a otras áreas de nuestras vidas. Requiere que hagamos preguntas de alto contraste que fomenten conversaciones constructivas y garanticen que estamos abiertos a explorar todas las posibilidades disponibles. Con demasiada frecuencia, especialmente a medida que ascendemos en las filas de una organización, nos censuramos y estamos de acuerdo con nuestros CEO y nuestros directorios porque no queremos ser percibidos como desleales.
Pero la lealtad a menudo es simplemente otra forma de sesgo. A pesar de lo que nos han enseñado a creer, el desacuerdo no equivale a la deslealtad. De hecho, creo que lo contrario es cierto: el desacuerdo puede ser la forma más alta de lealtad, aunque esa lealtad puede ser hacia nuestros clientes o accionistas o incluso a la sociedad en standard, si no a nuestros equipos gerenciales.
No podemos ser tan flexibles que perdamos de vista nuestro deber de proteger las cosas correctas en los momentos correctos y en el orden correcto. Tampoco podemos ser tan rígidos que nuestros intentos de desafiar un statu quo dañino creen formas de pensamiento igualmente osificadas y restrictivas. En otras palabras, demasiado «sí» es peligroso, demasiado «no» es peligroso, pero el conflicto constructivo es esencial para garantizar que las opiniones contrastantes prosperen y los problemas realmente serios se encuentran con los mejores enfoques para resolverlos con éxito.
Sabemos que no podemos eliminar el riesgo por completo, pero podemos tomar buenas decisiones y esforzarnos continuamente hacia la optimización mediante:
1. Garantizar la seguridad cibernética de la gente primero – ya sean empleados, clientes, contratistas, socios o accionistas
2. Comprensión y salvaguardar los datos relevante y necesario para mantener a las personas seguras
3. Implementar un marco holístico de gobernanza global que proteja el salud a largo plazo del negocio colocando controles que resuelvan el conjunto y no la suma de sus partes
La independencia y la objetividad son clave para nuestro éxito y credibilidad. Como CISO y profesionales del riesgo, necesitamos cultivar el temple necesario para hacer lo correcto en lugar de permitir que ocurran malas decisiones en nuestro reloj porque queremos parecer leales.
El conflicto está bien. La tensión está bien. Visto a través de la lente correcta y manejado hacia resultados positivos, la tensión y el conflicto permiten que las concepts opuestas florezcan y se discutan, evalúen y descarten a su vez, lo que aumenta la posibilidad de que las decisiones que tomemos finalmente brinden la mejor protección basic para nuestras organizaciones.
Puede ser trivial en estos tiempos decir «si ves algo, di algo», pero de hecho eso es precisamente lo que deberíamos estar haciendo. Si no podemos ir a nuestros equipos de gestión, debemos ir a nuestras juntas. Pero no podemos tener miedo de mantenernos firmes, incluso si eso significa poner en riesgo nuestros propios trabajos para salvar nuestras organizaciones. Le debemos a los grupos más grandes que dependen de nosotros (clientes, accionistas, comunidades) que sigamos siendo objetivos y fomentemos un diálogo que nos libere de la tiranía del «sí» o el «no» y nos permita seguir preguntando «cómo».
Contenido relacionado:
Echa un vistazo a The Edge, la nueva sección de Dark Examining para obtener características, datos de amenazas y perspectivas en profundidad. La historia principal de hoy: «8 preguntas de copia de seguridad y recuperación que debe hacerse».
Malcolm Harkins es el jefe de seguridad y oficial de confianza de Cymatic. Es responsable de permitir el crecimiento empresarial a través de infraestructura, sistemas y procesos comerciales confiables, incluidos todos los aspectos de riesgo y seguridad de la información, así como la política de seguridad y privacidad. … Ver biografía completa
Más tips
