Hackearlo como CISO: consejos para el liderazgo en seguridad



Un líder de seguridad comparte consejos para adoptar una mentalidad de CISO, crear estrategias de gestión de riesgos y «vender información de seguridad» a TI y ejecutivos.

Los líderes de seguridad modernos se encuentran en la encrucijada entre negocios y tecnología, y venden la importancia de la seguridad a todos los niveles de una organización mientras los ayudan a mantener la eficiencia, crear una estrategia de gestión de riesgos y prepararse para la inevitabilidad de un ciberataque.

Esta thought de «vender seguridad de la información» es el área donde los líderes de seguridad luchan más, dijo Peter Keenan, CISO de una empresa de servicios financieros, en una charla DEF CON. A medida que los profesionales de la seguridad pasan de roles como analistas técnicos o ingenieros a puestos de liderazgo, aprenden el desafío de impulsar la seguridad a través de un negocio sin control sobre el desempeño de los empleados.

La seguridad de la información en su esencia es «influencia sin autoridad», dijo, y es más complicado que convencer a los ejecutivos de que inviertan en nuevas tecnologías. El liderazgo en seguridad puede sentirse como una gran cantidad de ventas de arriba hacia abajo, convenciendo a la junta y al director ejecutivo de que lo está haciendo bien, pero el liderazgo también significa transmitir la importancia de la seguridad a las personas en todos los niveles de la empresa.

«Si realmente quiere arreglar la seguridad en una organización, tiene que venderla de abajo hacia arriba», dijo Keenan. «Son las personas en el terreno, las personas a la altura de los ojos las que realmente están haciendo las cosas que te harán sentir más o menos seguro, y debes convencerlas de que esto es lo correcto y estos son los cambios que necesitan. hacer que sus procesos sean mejores «.

Esto requiere una estrategia diferente según con quién esté hablando el CISO. Piense en TI: puede pensar que todos los técnicos tienen una mentalidad related, dijo, pero vender seguridad a TI puede ser un desafío.

El objetivo de TI es hacer llegar información a la mayor cantidad de personas posible, de la manera más rápida y confiable posible. Sus preocupaciones son el costo, las características y el tiempo de actividad. La seguridad no está entre sus principales objetivos, es adyacente a sus objetivos, y la seguridad de la información tiene que convencer a TI de que la seguridad puede ser útil.

Como las personas responden mejor a una historia que a los datos, Keenan sugirió una prueba de penetración. Muestre a alguien caminando por el entorno Demuestre cómo podrían ser atacados. Esto podría ayudar a abordar el sesgo de optimismo o la tendencia que tienen las personas a creer que es menos probable que experimenten un evento negativo. Nadie piensa que serán los próximos en ser pirateados.

«Si demuestras claramente (que) son capaces de cometer errores, al principio se enojarán, pero en basic, si son profesionales, lo superarán y querrán que sea mejor», explicó. Los CISO no quieren llevar las preocupaciones de TI a la auditoría o la administración a menos que sea absolutamente necesario.

Vender seguridad a la junta es diferente. La mayoría de los miembros de la junta se centran ahora en la seguridad saben que es un riesgo y quieren que el CISO sepa que les importa. Una cosa clave para recordar aquí es que pocos de ellos tienen antecedentes técnicos o de ciberseguridad. En preparación para las reuniones de la junta, recomendó preparar respuestas para cuatro preguntas que es probable que hagan:

  • ¿Estamos comprometidos ahora mismo? Responda con una probabilidad alta, media o baja (sea humilde) y explique por qué piensa esto.
  • ¿Qué tan vulnerables somos para comprometernos? Explica detalles como quién podría atacarte, a qué podrían apuntar, cómo entrarían y qué has hecho para contrarrestar eso.
  • ¿Cómo abordamos de manera proactiva la próxima generación de amenazas a la seguridad? Aquí, explique el presupuesto, la influencia de la organización y el tamaño del equipo.
  • ¿Cuál es nuestro prepare si nos comprometemos? Revise el approach de comunicaciones de respuesta a incidentes y cibercrisis.

Negocios riesgosos: hablar el lenguaje de los ejecutivos
Un área donde los líderes de seguridad pueden encontrar un término medio y un diferenciador clave entre los únicos contribuyentes y los líderes en ciberseguridad es el riesgo.

«Los líderes empresariales lo entienden», dijo Keenan. «Es posible que no comprendan su dominio técnico específico y es posible que no comprendan qué es un enrutador o un conmutador, pero comprenden el lenguaje del riesgo».

Keenan describió varios términos que los líderes de seguridad deben comprender antes de entablar conversaciones sobre riesgos. La reducción de riesgos, o garantizar que los sistemas estén parcheados y los usuarios capacitados, es uno. Siempre existe la posibilidad de que un parche no funcione o que un usuario no se reinicie después de que se aplicó, pero el riesgo standard será menor. Habló de la aceptación del riesgo, un concepto con el que luchan los profesionales técnicos. Si hay un 10% de posibilidades de que un sitio internet sea pirateado, pero solo estará activo durante 30 días, la empresa puede decidir arriesgarse.

«Nos hace explotar la cabeza, pero absolutamente, esa es su decisión», agregó. El trabajo del CISO es identificar, cuantificar y reportar un riesgo es el trabajo del CEO aceptarlo.

Los líderes de seguridad deben comprender el apetito por el riesgo o la cantidad de riesgo que una empresa está dispuesta a asumir. Todo el mundo tiene un nivel de tolerancia diferente: los servicios financieros suelen ser más reacios al riesgo las empresas tecnológicas y las nuevas empresas son más favorables al riesgo y se arriesgan. No hay un valor numérico aquí, dijo, y la mayoría de la gente tendrá una definición diferente para él. Un CISO tendrá que charlar con mucha gente, conocer su apetito por el riesgo y comunicarlo a la alta dirección.

Debido a que todos tienen una visión diferente del riesgo, el CISO tiene que consolidar sus puntos de vista en un nivel de riesgo calculable, ya sea que alguien tenga un riesgo bajo, medio o alto. Ayuda a crear un léxico que pone a todos en la misma página y construye una comprensión común del riesgo si ocurre un incidente, tener este marco hará que todos estén al mismo nivel.

Una forma eficaz de mitigar el riesgo es formar un equipo que le ayude a gestionarlo. Keenan aconsejó a su audiencia que construyera un equipo diverso con una variedad de antecedentes y experiencias. «Cuantos más puntos de vista tenga sobre su equipo, mejor será», dijo. Para gestionar el riesgo de forma eficaz, el CISO y su equipo deben comprenderlo desde todos los ángulos.

Estas perspectivas pueden informar el perfil de riesgo cibernético de la empresa, que debe incluir la probabilidad de ser atacado, la frecuencia de los incidentes de seguridad, quién puede atacarlo y el impacto de un incidente potencial. Este perfil también debe incluir puntos de vista externos de pares y fuerzas del orden, y debe actualizarse con el tiempo a medida que se ajustan los procesos.

Las empresas están en una carrera con los ciberdelincuentes de hoy, enfatizó Keenan, y su estrategia debe planificar la inversión continua en capacitación y concientización sobre seguridad. La higiene de la seguridad debe ser una prioridad máxima para proteger la empresa, desde parchear vulnerabilidades críticas hasta garantizar copias de seguridad frecuentes y pruebas de phishing, para protegerse de posibles tipos de ataques. La gente habla mucho sobre amenazas persistentes avanzadas y amenazas sofisticadas, pero la mayoría no necesita preocuparse por ellas.

«Lo más possible es que seas propiedad de un equipo de ransomware mediocre», dijo.

Contenido relacionado:

Kelly Sheridan es la editora de particular de Dark Looking at, donde se enfoca en noticias y análisis de ciberseguridad. Ella es una periodista de tecnología empresarial que anteriormente reportó para InformationWeek, donde cubrió Microsoft, y Seguros y Tecnología, donde cubrió finanzas … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia first