Redefiniendo cómo es el éxito de CISO



La clave de esta nueva definición es el principio de que los programas de seguridad están diseñados para minimizar el riesgo empresarial, no para lograr un 100% de ausencia de riesgo.

Un estudio reciente del Company Strategy Group encontró que el promedio La permanencia del CISO es de dos a cuatro años.. Parece que hay una amplia variedad de factores que contribuyen a por qué muchos profesionales de la seguridad duran menos de 1.000 días en el puesto, entre ellos el hecho de que el puesto y las expectativas son diferentes de una empresa a otra. Muchas organizaciones se enfrentan a una estrategia de riesgo y seguridad en constante evolución, que puede cambiar las competencias clave necesarias para el éxito. Durante más de una década en la industria de la seguridad, descubrí que esta área gris conduce a mucha ambigüedad en torno a cómo se ve el éxito en el puesto de CISO y, a menudo, causa malentendidos, falsas expectativas y agotamiento debido no solo a los desafíos de seguridad, sino también a la falta de claridad organizacional y expectativas también.

La publicidad sobre las principales violaciones de datos y los requisitos de cumplimiento, junto con las discusiones en curso sobre la privacidad y los derechos de los datos, han abierto los ojos del C-suite y los directorios, destacando la naturaleza crítica del rol del CISO. Muchos ejecutivos y juntas directivas ven la inversión en ciberseguridad como una prima de seguro destinada a evitar violaciones de datos y, a menudo, reaccionan mucho a los titulares sobre las últimas vulnerabilidades de marca o filtraciones de la comunidad de inteligencia. Esto lleva a ejecutivos y juntas directivas a pedirle al CISO que se asegure de estar protegido contra estas infracciones altamente publicitadas, que representan menos del 1% de las amenazas cibernéticas comunes, mientras que no aprecian los esfuerzos y las inversiones necesarias para abordar los escenarios de ciberataque más probables que enfrentan las empresas. .

Esta falta de claridad ha dado lugar a percepciones erróneas e inconsistencias en torno al papel del CISO. Las descripciones de los puestos de CISO varían mucho en la industria, dependiendo del tamaño de la empresa, la naturaleza del negocio, ya sea de propiedad privada o que cotice en bolsa, and so on. No debería sorprender que la claridad del papel de un CISO exitoso siga siendo uno de los más importantes. misterios corporativos. En algunos casos, los CISO son dueños de todo, desde el riesgo empresarial, el cumplimiento y la producción de servicios hasta la implementación, todo mientras tienen que hacerlo con un private y un presupuesto generalmente insuficientes, por extraordinarias que sean las expectativas comerciales.

No es realista esperar que los CISO sean semidioses omnipotentes de la ciberseguridad. Se debe esperar que ayuden a dar forma a las prioridades de inversión en seguridad de sus empresas alineándose con los objetivos definidos por la empresa, pero dentro de lo razonable, dados los recursos de apoyo organizacional y los presupuestos operativos. La realidad es que los programas de seguridad correctamente definidos, dotados de recursos y ejecutados están diseñados para minimizar el riesgo empresarial, no para lograr un 100% de ausencia de riesgo. Además de la responsabilidad de administrar la seguridad y el cumplimiento corporativos, muchos CISO también desempeñan un papel en el desarrollo comercial, la adquisición de clientes, la retención de clientes, el desarrollo de empleados y la retención de empleados.

El desarrollo organizacional para la conciencia de seguridad y el desarrollo profesional es un aspecto importante y subestimado de ser un CISO. Los CISO ejercen tanta presión sobre la retención y el desarrollo del talento como otros líderes empresariales. Las habilidades de ciberseguridad tienen una gran demanda, por lo que es importante que los líderes de seguridad trabajen en estrecha colaboración con su gente para garantizar el desarrollo del talento, lo que mejora la retención de talento. En organizaciones que ya tienen recursos y presupuestos limitados, la pérdida de su talento en seguridad hace que lograr los objetivos comerciales definidos sea aún más difícil y gravoso para el CISO.

¿Es realista que el CISO de hoy en día equilibre las grandes demandas impuestas al puesto? Aquellos a menudo vienen sin una alineación clara con los ejecutivos y las juntas sobre el riesgo, la falta de recursos y presupuesto suficientes y presiones comerciales adicionales que van más allá de la mitigación de riesgos. Aquí, en mi opinión, se encuentran los principales factores que contribuyen al agotamiento del CISO.

Al ultimate del día, es importante que la comunidad de seguridad y los líderes empresariales trabajen juntos para dar forma activamente y garantizar el éxito en el puesto de CISO. Esto comienza cuando la empresa invierte el tiempo en comprender los requisitos de seguridad y luego acuerda la tolerancia al riesgo comercial. Una vez que se determine la tolerancia al riesgo, es basic proporcionar recursos y financiar el programa de seguridad, teniendo en cuenta las presiones auxiliares sobre el rol de CISO. El objetivo no es solo reducir el riesgo comercial, sino hacerlo al tiempo que se elimina el riesgo de agotamiento del CISO, un puesto ejecutivo que se está volviendo cada vez más difícil de contratar y retener.

Como presidente y director ejecutivo de Menace Stack, Brian es un apasionado de la creación de empresas de tecnología disruptiva, impulsadas por la innovación y los equipos de alto rendimiento. Brian, un experimentado ejecutivo de tecnología con más de dos décadas de experiencia, se unió a Danger Stack en 2015 desde Industrial … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia original