Hablando con la Junta sobre Ciberseguridad



Un director financiero comparte cinco estrategias ganadoras para una conversación efectiva a nivel de junta sobre el riesgo de dimensionamiento correcto.

A medida que las empresas dependen cada vez más de la tecnología para todos los aspectos de las operaciones, los ejecutivos técnicos como los CIO y los CISO se han encontrado en un centro de operaciones completamente nuevo: la sala de juntas. Este movimiento desde el centro de operaciones de seguridad puede presentar un desafío importante. Los miembros de la junta a menudo no están bien versados ​​en tecnología o mejores prácticas de seguridad, y mucho menos en la jerga. Al mismo tiempo, los CISO a menudo carecen de la experiencia comercial para hablar en términos que la junta pueda entender, por defecto a discusiones técnicas que la junta no puede analizar.

Este colapso en la comunicación puede tener un efecto en cascada. Los miembros de la junta podrían no entender completamente los riesgos de seguridad que plantea una determinada iniciativa. O, con el creciente número de infracciones de seguridad costosas y vergonzosas, podrían poner demasiado énfasis en la precaución y mitigar el riesgo a expensas de implementar importantes avances técnicos.

Como ejecutivo de mucho tiempo en la industria de la tecnología, he pasado mi parte justa de tiempo en salas de juntas. Sé cómo las juntas ven el riesgo y cómo comunicarlo de manera efectiva. A continuación se presentan cinco estrategias principales de CISO para una conversación efectiva a nivel de junta sobre el riesgo de dimensionamiento correcto.

Estrategia 1: Gestionar el «Issue del miedo»
Las infracciones que acaparan los titulares pueden atraer mucha atención de las partes interesadas de la empresa y los miembros de la junta que desean evitar encontrarse en circunstancias similares. Pero no todas las infracciones son iguales. Algunas infracciones, como las debidas a servicios en la nube mal configurados o ataques de ransomware, son increíblemente comunes. Otros, como los relacionados con la malversación de los empleados del proveedor de servicios, atraen mucha atención pero son muy raros.

Para los CISO, administrar el element miedo es el primer paso hacia interacciones exitosas con la junta. Es importante estar preparado para abordar las preocupaciones sobre los vectores de ataque poco comunes y al mismo tiempo poner en perspectiva esos riesgos. Al mismo tiempo, mantener a la junta y a las partes interesadas del negocio centradas en los riesgos más altos y los escenarios de ataque más probables ayuda a garantizar que los recursos de seguridad se destinen a controlar lo que se puede controlar.

Estrategia 2: Liderar con resiliencia
Hablando de regulate, decirle a la junta que la organización es 100% segura está configurando al equipo de seguridad para que falle, y configurando el CISO para un nuevo acrónimo: Career Is Quickly About. Es por eso que, además de poner el riesgo en perspectiva, los CISO deben prepararse para hablar sobre la capacidad de recuperación: cómo se recuperará la organización en caso de incumplimiento, qué medidas existen para reaccionar rápidamente y cómo el equipo de seguridad puede investigar de manera efectiva y use ese conocimiento para avanzar de una manera más segura e inteligente.

Estrategia 3: Intellect the Gap
Los CISO deben estar preparados para comunicar su postura de seguridad en términos de las brechas clave en los programas de seguridad empresarial y su modelo de cobertura. Para este propósito, aprovechar los marcos de seguridad puede ser efectivo. Si bien las partes interesadas de la empresa pueden no comprender los matices técnicos de los marcos como CIS Controls, MITER ATT & CK y NIST, estos marcos proporcionan una forma programática, lógica y estandarizada para evaluar la integridad de un programa de seguridad frente a los puntos de referencia de la industria.

Al usar estos marcos, los CISO pueden proporcionar una descripción contextual de las tecnologías que tienen implementadas (como firewall de próxima generación, SIEM y protección de punto last), así como las tecnologías que planean implementar para cerrar brechas en su arquitectura (como la nube acceso a agentes de seguridad y detección y respuesta de red).

Estrategia 4: centrarse en Negocio Riesgos y recompensas
Uno de los factores de éxito más críticos para los CISO en una configuración de junta es asignar las prioridades del equipo de seguridad a los objetivos comerciales centrales. Si bien el equipo de seguridad podría considerar tener cero certificados SSL caducados como un logro importante, la junta probablemente no comprende las implicaciones comerciales de este esfuerzo. Para los CISO, presentar esta información en el contexto de los objetivos comerciales puede marcar la diferencia. En el caso de los certificados SSL, eso significa hablar sobre las implicaciones para la confianza del consumidor, la confiabilidad del servicio, la clasificación de los motores de búsqueda y la participación y conversión del sitio website. Enmarcado de esta manera, el mantenimiento de certificados SSL es un impulsor de importantes resultados comerciales.

Si bien los certificados SSL son solo un ejemplo, si los CISO informan a la junta a través de los objetivos principales de la organización y cómo los están apoyando, la conversación será mucho más productiva.

Estrategia 5: construir una hoja de ruta para «Sí»
Incluso cuando los presupuestos empresariales se vierten en iniciativas de seguridad, a nivel de la junta directiva la seguridad se considera a menudo como un mal necesario y, a veces, un impedimento absoluto para las operaciones comerciales. Casi todos tienen una historia sobre cómo algún requisito de seguridad «draconiano» les impedía usar una tecnología que los ayudara a desempeñarse mejor en su trabajo. Este punto de dolor dio lugar a una categoría completa conocida como «Shadow IT», en sí misma un gran dolor de cabeza de seguridad.

Para la junta, estas anécdotas pueden hacer que los miembros sientan que la seguridad es diametralmente opuesta a la innovación. Es por esto que es crítico que los CISO vengan preparados con una hoja de ruta para llegar al «sí». Si los CISO, junto con los CIO, pueden demostrar una comprensión clara de los requisitos y objetivos del negocio, y hablar sobre las medidas de seguridad que deben implementarse para lograrlos, se reformula la conversación. cuando no Si.

Contenido relacionado:

Bill Ruckelshaus es un ejecutivo experimentado de una empresa pública con una pasión por las empresas impulsadas por la tecnología, que van desde firmas pre-IPO respaldadas por VC, hasta empresas rentables con $ 500 millones en ingresos anuales. Monthly bill es un ejecutivo práctico con experiencia en estrategia, … Ver biografía completa

Más suggestions





Enlace a la noticia primary