Líderes en ciberseguridad: inviertan en su gente


El entrenamiento, especialmente el entrenamiento cruzado, es increíblemente poderoso cuando los miembros del equipo pueden experimentar, entrenar y trabajar juntos. También genera confianza.

Como ex CISO que habla con muchos funcionarios de la compañía, miembros de la junta y otros líderes de seguridad cibernética, te contaré lo que los mantiene despiertos por la noche. En realidad, esa es una de las frases que me vuelve más loco. Esto es lo que realmente les preocupa.

No es lo que piensas o lo que decimos cuando se te pide una respuesta oficial, no Panda pirata, Araña Momia o cualquier otro nombre de amenaza persistente avanzado y divertido o incluso cualquiera de los problemas más mundanos como parches o management de acceso que nos impiden avanzar realmente en la protección de nuestras empresas.

Su gente. Confiamos y confiamos en los miembros del equipo para que realmente realicen el trabajo de primera línea de protección de la empresa. A veces están identificando riesgos, instalando o parcheando sistemas, respondiendo a un incidente o, a menudo, muchos de los anteriores a la vez. Incluso en pequeñas empresas, las personas que implementan aplicaciones no manejan incidentes.

Al igual que cualquier ejecutivo de C-suite, los CISO se preocupan por atraer y retener talento, preparar a la fuerza laboral para los desafíos que enfrenta el negocio y crear una cultura que abrace la diversidad para impulsar la innovación. Esas tres cosas importan más que cualquier otra cosa.

Sin embargo, cuando lo miras un poco más de cerca, ahí es donde las cosas comienzan a enfocarse realmente y plantean las preguntas que inducen el insomnio:

  • ¿Los hemos preparado para estar preparados para la multitud de cosas con las que están lidiando?
  • ¿Confían el uno en el otro? ¿Confían en mí? ¿Confío en ellos?
  • ¿Cómo puedo ser parte de la solución para equiparlos mejor y ayudarlos a generar confianza como equipo?
  • ¿He invertido en ellos?

Veo muchas empresas que invierten en tecnología, AI esto o ML aquello, pero carecen de la foundation elementary de un equipo sólido. No han invertido en su gente. No lograron ganar y generar confianza. Creo que una de las mejores maneras de generar confianza es caminar una milla en los zapatos de otra persona, experimentar su día a día y recibir capacitación sobre cómo ayudarlos.

A menudo pienso en las cosas en un sentido realmente básico de entrada y salida. La capacitación, y especialmente la capacitación cruzada, es increíblemente poderosa cuando los miembros del equipo pueden experimentar, capacitarse y trabajar junto con los miembros del equipo en los que son proveedores ascendentes o consumidores descendentes. Por ejemplo, en uno de mis equipos de SOC, construí y capacité a mis analistas de SOC para entregar exactamente lo que la purple y los propietarios de command de punto final necesitan para cada libro de jugadas de contención de incidentes. El dividendo fue una reducción del 40% en MTR (tiempo medio para responder).

No solo está creando un equipo más robusto y equilibrado, sino que está creando un equipo capaz de anticipar lo que la otra persona pueda necesitar. Estás ampliando su campo de experiencia y ayudando a fomentar las relaciones para que puedan ayudarse mutuamente.

Al invertir en capacitación y específicamente en capacitación cruzada, está infundiendo el ADN de su organización con uno de los multiplicadores de fuerza más poderosos que existen.

Las organizaciones continuarán cambiando y ajustándose a las tecnologías emergentes y las demandas del mercado. Una de las mejores cosas que podemos hacer como líderes es capacitar continuamente a nuestro personalized para que cuando sea necesario cambiar estén listos.

Aquí hay cinco pasos para que las empresas tomen:

  • Encuentre el entorno de capacitación adecuado para un programa de capacitación continua y práctica y comprométase con él. Esto es esencial a menos que desee despedir personas, tener una puerta giratoria para el talento o tener personas sentadas en sus manos durante un incidente.
  • Deje de perder tiempo y dinero enviando a las personas a una costosa capacitación en línea y en el aula que solo contribuye a la visión equivocada de que la capacitación es algo que debe programarse.
  • Evalúa con quién y con qué tienes que trabajar. Haga que cada miembro del equipo comprehensive evaluaciones para descubrir sus habilidades duras y blandas. Puede hacerlo con evaluaciones de entrenamiento individuales o para un equipo en un rango cibernético en línea y aprender aún más sobre cómo se desempeña su equipo bajo el estrés de un ataque. Aquí es donde aprende dónde están las brechas, no solo en habilidades sino en comunicaciones y colaboración.
  • Desarrolle un programa de entrenamiento cruzado. Para la escasez de personalized, los jugadores más confiables del equipo pueden entrenar para convertirse en expertos en la materia para respaldar al individual existente. Ampliar la capacitación a los desarrolladores de aplicaciones website, DevOps, especialistas en redes y TI ayudará a proporcionar las reservas y refuerzos que necesita cuando surgen problemas.
  • Dado que es probable que el trabajo desde casa esté aquí para quedarse, tiene sentido cruzar la seguridad de la pink u otro personal de TI cuyas cargas de trabajo pueden haber disminuido y apuntarlos hacia la creación de seguridad de punto last, la administración de sistemas VPN y el manejo de la configuración de cifrado y la búsqueda de amenazas.

Sí, la tecnología es genial. Sin la gente, sin embargo, se pierde la marca. Sin un equipo bien equilibrado y entrenado, generalmente no alcanza su potencial y, a veces, falla por completo.

Una vez tomé el management de un equipo que nunca había recibido apoyo administrativo para capacitación profesional. Poco después de estar a bordo, hicimos un importante giro en nuestra pila de tecnología. El equipo no pudo soportar la nueva tecnología porque tenían décadas de retraso en el pensamiento de seguridad. No period una cuestión de edad fue una cosa de preparación. Fue una cosa de entrenamiento. Tuvimos que tomar algunas decisiones difíciles y la gente dejó la empresa porque la gerencia les falló. Esa fue una de las realizaciones más profundas para mí.

Al invertir en las personas, en el momento adecuado, con la capacitación adecuada, podría ayudarlos a prepararse para un futuro en el que no podría protegerlos como su líder. Es por eso que me apasiona tanto ahora.

Contenido relacionado:

Regístrese ahora para el Black Hat United states totalmente digital de este año, programado para el 1 y 6 de agosto, y obtenga más información sobre el evento en el sitio world wide web de Black Hat. Haga clic para obtener detalles sobre información de la conferencia y para registrarse.

Anthony Johnson es socio gerente de Delve Hazard, una firma de consultoría tecnológica especializada en brindar metodologías y enfoques de próxima generación para la seguridad cibernética y los problemas de gestión de riesgos. Con más de 20 años de experiencia en ciberseguridad y C-suite … Ver biografía completa

Lectura recomendada:

Más suggestions





Enlace a la noticia original