¿Facilitadores de éxito o asesinos silenciosos?



Estos cinco habilitadores de éxito ayudarán a los CISO a informar, medir y demostrar el ROI al C-suite.

Los CISO de hoy tienen el desafío de informar, medir y demostrar el retorno de la inversión al C-suite y al directorio. Los CISO deben abordar estos facilitadores de éxito, porque si no lo hacen, se convierten en asesinos silenciosos. La falta de capacidad para informar, medir y demostrar el ROI ha impedido que los CISO mantengan una relación sólida y duradera con el C-suite.

El siguiente es un ciclo de alto nivel de cinco habilitadores de éxito. El primero, si se configura con éxito, habilita el segundo y hacia adelante, y el último refuerza al primero.

1) Objetivos de seguridad que no resuenan con el C-Suite y la placa
A menudo escuchamos: «La seguridad es un viaje, no un destino». Ese es un problema serious para los ejecutivos de negocios porque están impulsados ​​por los resultados. Tienen un deber fiduciario con los accionistas para obtener el mayor valor de una inversión. Si los CISO no han establecido objetivos de seguridad que resuenen con los ejecutivos, no hay un destino para mostrar. De esta forma, la seguridad se convierte en un viaje sin destino. Desafortunadamente, para los CISO eso es a menudo un viaje hacia el descontento de C-suite y hacia una nueva organización.

Los CISO deben alinear sus objetivos de resistencia cibernética con las joyas de la corona empresarial. Estos son los activos empresariales más importantes que tienen importancia ejecutiva y de nivel directivo y son claramente críticos para el éxito empresarial. De esta manera, queda claro el valor que puede proporcionar la seguridad y no necesita ser respaldado con un argumento de impacto probabilístico regulatorio y complejo.

2) Una estrategia que no vincula claramente la altura, la profundidad y la amplitud de la resistencia cibernética
La mayoría de las estrategias de seguridad establecen débilmente la altura, la profundidad y el ancho de lo que podríamos llamar el «muro de resiliencia cibernética». Esta es una simplificación excesiva en términos de seguridad, pero una manera fácil de conectarse con el liderazgo empresarial para acordar conceptos clave para enmarcar las expectativas de control de impacto y los costos de seguridad.

La sofisticación de amenazas cubre un espectro completo de capacidades, desde accidental hasta estado-nación. En proporción, la sofisticación necesaria para contrarrestarlos varía, al igual que los costos. Los controles y los grupos de command pueden calibrar los costos para defenderse en varios niveles. Y el CISO debería ser capaz de lanzar niveles de costos de ciberresiliencia. Llamemos a esto la altura del muro de resiliencia cibernética.

No todos los controles de seguridad actúan de la misma manera. Algunos controles predicen para ayudar a priorizar las defensas, evitar detener / desviar ataques, detectar para alertar a los respondedores, responder para manejar ataques e impactos y recuperación para aprender, recuperar y mitigar. Llamemos a esto la profundidad del muro.

El ancho del muro de resiliencia cibernética es el alcance y la cobertura. Los controles a menudo no tienen una comprensión firme del alcance (por ejemplo, ¿sé dónde están todos los datos importantes?) Y rara vez alcanzan una cobertura completa del alcance conocido.

Estas tres dimensiones influyen directamente en el approach de negocios.

3) Un approach de negocios que no proporciona a C-Suite opciones claras de apetito de riesgo
Usted compra «seguridad» para proteger contra el impacto. Puede hacerlo evitando la infracción que provoca el impacto, o manejando la infracción de manera que el impacto no cruce una línea de cantidad «inaceptable». Los CISO están mal armados hoy para justificar enérgicamente la cantidad de control de impacto que los presupuestos específicos pueden comprar. Y eso es muy frustrante para los ejecutivos. Debido a que no existe una fuerte correlación entre la inversión en seguridad y el handle del impacto, es fácil para los ejecutivos reducir los presupuestos o reducir el presupuesto, y no sentir repercusiones. Es por eso que el «apetito de riesgo» ha sido tan difícil de alcanzar.

4) KPI, métricas e informes inconsistentes de SecOps
Debido a que la mayoría de los líderes de manage y los marcos de seguridad se centran en gran medida en el aspecto técnico de los controles de seguridad, no lo ejecutan de manera efectiva como un negocio.

En consecuencia, los controles de seguridad no se miden a un conjunto básico de KPI que predicen con precisión los resultados de rendimiento. Los KPI de regulate de seguridad a menudo se eligen y miden de manera inconsistente, y eso lleva a controles mal calibrados, ineficaces e ineficientes, que a menudo establecen una falsa sensación de seguridad, ofrecen resultados débiles de resistencia cibernética y queman mucho efectivo.

5) Incapacidad para mostrar resultados que importan de una manera convincente
Una de las mejores y más claras formas de mostrar resultados es un conjunto bien estructurado de ejercicios de equipo rojo.

Los equipos rojos pueden ser particularmente valiosos porque pueden emular de manera variable sofisticaciones y tácticas de amenaza, pueden ser multimodales (es decir, cibernéticos, físicos, sociales) y ser acelerados.

Más importante aún, deben apuntar a objetivos de seguridad estratégicos (con la capacidad de actuar de forma variable y evaluar el rendimiento de SecOps), evaluar de manera sólida las prioridades estratégicas y demostrar el rendimiento de SecOps, hasta el control y los niveles de recursos específicos. De esta manera, los equipos rojos pueden ser el timón objetivo del programa de seguridad.

El efecto Rodney Dangerfield
Si los CISO no abordan estos facilitadores de éxito, tendrán dificultades para impulsarse a una posición de influencia apropiada o para mantener su posición. Entonces experimentarán poca percepción y tracción, y la frustración de los ejecutivos. Es posible que no reciban la financiación o los recursos que necesitan, o los ejecutivos no se convencerán de que están entregando resultados satisfactorios.

Contenido relacionado:

Douglas Ferguson, un profesional de seguridad de más de 20 años, es el fundador y CTO de Pharos Stability. Pharos se especializa en alinear los objetivos y la estrategia de seguridad con el negocio y un apetito de riesgo calibrado, asegurando un program de negocios integrado y optimizado … Ver biografía completa

Más suggestions





Enlace a la noticia original