3 pasos que los CISO pueden tomar para transmitir la estrategia para …



Responder estas preguntas ayudará a los CISO a definir un approach y llevar a la organización en una dirección positiva.

A medida que 2020 se acerca a su fin, se espera que los CISO y los equipos de seguridad informática preparen sesiones informativas para la junta directiva y la alta dirección sobre el estado de la postura de ciberseguridad de su organización, incluido un presupuesto integral de ciberseguridad para 2021. Esto no es poca cosa, ya que uno de los principales problemas que afectan a los CISO hoy en día es que hay poca visibilidad de la superficie de ataque de una empresa. De acuerdo a una Encuesta del Ponemon Institute, El 88% de las infracciones se deben a una mala higiene cibernética que sesga la perspectiva de la postura de seguridad de una empresa. En última instancia, esto significa que los profesionales de la seguridad siguen enfrentando el desafío de mantener una visibilidad completa sobre su compleja superficie de ataque y, al mismo tiempo, combatir el panorama de amenazas en evolución.

Además, las estadísticas recientes confirman que 16 mil millones de registros fueron expuestos en el primer semestre de 2020. Como tal, los CISO y los equipos de seguridad se ven abrumados por el desafío de mantener y optimizar la postura de seguridad, lo que puede ser un impedimento para desarrollar una perspectiva estratégica de ciberseguridad para la junta y la alta dirección. Dada esta falta de claridad en la superficie de ataque y la postura de seguridad, ¿cómo pueden los CISO presentar una visión unificada y estratégica para 2021?

Paso uno: comprender la postura de ciberseguridad de la organización
Con miles de millones de señales de seguridad en una superficie de ataque empresarial, los CISO deben comenzar por obtener una visibilidad continua y completa de los riesgos para su organización mediante el uso de inteligencia artificial (IA) y herramientas de aprendizaje profundo para dar sentido a esta gran cantidad de señales.

Dado que los miembros de la junta y otros altos ejecutivos rara vez son profesionales capacitados en ciberseguridad, los CISO se benefician mejor al cuantificar el riesgo cibernético en términos financieros que estos interesados ​​entiendan. Al comunicarse en el lenguaje de los negocios, en lugar de la tecnología, los CISO encontrarán una audiencia más receptiva que comprende mejor el programa de seguridad de la información y es más possible que brinde apoyo a las solicitudes del equipo de seguridad de la información.

Paso dos: crear una presentación para el tablero

Diapositiva No. 1: ¿Dónde estamos en el espectro del riesgo cibernético?
● Esta primera diapositiva puede ayudar al CISO a identificar dónde se encuentra su empresa en el espectro del riesgo cibernético a partir de los datos recopilados por los paneles de riesgo. Luego, puede cuantificar las puntuaciones de riesgo en términos financieros en función de los controles de seguridad actuales y describir el impacto comercial de una infracción.

Diapositiva No. 2: Cuantifique los riesgos cibernéticos en toda la empresa.
● Cada empresa está organizada de manera diferente, por lo que los CISO deben dividir las áreas de riesgo en estructuras preexistentes. Esto podría significar organizarse por unidad de negocio o tipo de activo. Independientemente, la strategy es comunicar las áreas de mayor riesgo del negocio que necesitan un enfoque adicional.

Diapositiva No. 3: Muestre el progreso con las tendencias de riesgo.
● En esta diapositiva, los CISO pueden ofrecer un resumen de alto nivel con visualizaciones que muestren cómo han cambiado los niveles de riesgo desde la última reunión de la junta. Los CISO también pueden señalar áreas específicas de riesgo que han disminuido o aumentado y respaldar esas conclusiones con datos.

Diapositiva No. 4: ¿Dónde queremos estar?
● Una conversación abierta con la junta sobre dónde debería estar la organización en el espectro del riesgo cibernético es clave. Las empresas tienen una superficie de ataque en constante expansión a medida que los datos crecen y la tecnología se acelera. Además, los empleados se están desplazando hacia el trabajo remoto, lo que trae consigo una nueva capa de preocupaciones de seguridad.

Diapositiva No. 5: ¿Cómo llegaremos allí? Diseñe un system.
● En esta última diapositiva, los CISO pueden presentar una lista priorizada de proyectos e implementaciones para el próximo trimestre y el impacto esperado en el riesgo basic en relación con el costo proyectado.

● Para responder «¿cómo llegaremos allí?» Efectivamente, los CISO necesitan conocer las áreas más vulnerables de su postura de seguridad. Luego, pueden presentar los grupos de mayor riesgo que deben abordarse, construyendo un caso comparando el costo de las mitigaciones con la probabilidad de una infracción y el impacto comercial de una infracción para cada área.

Paso tres: desarrollar un presupuesto para 2021
Los CISO reconocen que no pueden reducir el riesgo cibernético de su organización a cero. Aún así, pueden reducirlo tanto como sea posible enfocándose en eliminar primero los riesgos más importantes. Por lo tanto, al desarrollar un presupuesto, los CISO deben considerar un enfoque proactivo basado en el riesgo que se concentre en los mayores riesgos cibernéticos que enfrenta la empresa. Este enfoque basado en el riesgo permite al CISO cuantificar el riesgo en todas las áreas de debilidad cibernética y luego priorizar dónde se invierten mejor los esfuerzos. Esto asegura el máximo impacto de los presupuestos y equipos fijos.

El hecho es que el Instituto Nacional de Estándares y Tecnología informa que una infracción promedio puede costarle a una organización más de $ 4 millones – más costoso que el presupuesto standard para muchas organizaciones. Considere un escenario en el que un CISO invierte mucho en medidas proactivas, evitando con éxito una infracción importante, mientras que otro invierte principalmente en medidas reactivas y termina limpiando después de una infracción importante. El beneficio es que uno (el CISO proactivo) termina gastando 10 veces menos en general.

Como CISO, si se pone en el lugar de la junta directiva y comunica y cuantifica claramente el riesgo cibernético basic de su organización, su mensaje se recibe mejor y es más possible que obtenga el apoyo necesario para transformar la postura de ciberseguridad de su empresa.

Una base sólida para el éxito de las presentaciones de la junta
Si bien hay más conciencia entre los principales líderes y miembros de la junta con respecto a los enormes desafíos de la ciberseguridad, la visión de la ciberseguridad de un miembro de la junta se preocupa principalmente por la ciberseguridad como un conjunto de elementos de riesgo, cada uno con una cierta probabilidad de que suceda con algún impacto comercial.

Para presentar un approach y un presupuesto precisos, los CISO deben comprender el inventario de TI de la organización, incluida la importancia de los activos, otros elementos de riesgo y qué controles de compensación son efectivos. Una solución de IA puede ayudar a una organización a analizar las señales de datos en la superficie de ataque de forma continua y en tiempo true para cuantificar el riesgo, priorizar las tareas más importantes y definir un program y una visión para el futuro.

Como tal, responder estas preguntas con anticipación ayudará a los CISO a definir un approach y llevar a la organización en una dirección positiva.

El Dr. Vinay Sridhara tiene más de una década de experiencia en I + D en comunicaciones inalámbricas, seguridad y aprendizaje automático. Antes de unirse a Balbix, Vinay trabajó en Qualcomm Exploration durante más de nueve años, donde trabajó en redes inalámbricas, seguridad móvil y máquinas … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia initial