Cómo impulsar la participación ejecutiva en inversiones de seguridad



Vincular los presupuestos de seguridad con los resultados de la protección contra violaciones ayuda a los ejecutivos a equilibrar el gasto con el riesgo y gana a los CISO un mayor respeto en la C-suite.

No es ningún secreto que existe una relación tenue entre la mayoría de los directores de seguridad de la información (CISO) y su suite ejecutiva y su junta. El CISO está atrapado entre una roca (causa) y un lugar duro (efecto).

Los programas de seguridad empresarial dirigidos por CISO están destinados a proteger contra violaciones de seguridad. Los ejecutivos tienen el deber de proteger una empresa de impactos inaceptables, pero rara vez (si es que alguna vez) se les presentan estrategias y planes de acción de seguridad cuantificables y basados ​​en datos que vinculen el management de los resultados de violaciones de seguridad específicas y los impactos asociados con presupuestos específicos.

Esto expone a los ejecutivos a rivales externos, incluidos inversores, aseguradoras, asesores legales opuestos, reguladores y clientes, con respecto a la exposición empresarial al riesgo cibernético. Pero estos no son los únicos retadores. Internamente, los CISO compiten por fondos limitados contra el resto del negocio en una guerra de costos de oportunidad, y luchan con funciones que brindan un retorno de la inversión mucho más obvio.

Establecimiento de expectativas de riesgo cibernético
Para manejar mejor estos desafíos, un strategy de seguridad debe establecer una expectativa del nivel de resultados de riesgo cibernético por presupuesto dado. Esto no solo establecería expectativas para un gasto determinado, sino que si una empresa recortara o aumentaba el presupuesto, el CISO puede demostrar el cambio resultante en la exposición al riesgo cibernético.

El propósito de un programa de seguridad es tener cierto grado de confianza en la protección contra violaciones de seguridad. Es menos que los ejecutivos crean que la empresa debe protegerse de las infracciones mediante amenazas avanzadas (como los estados nacionales) más bien, no tienen información creíble para saber si amenazas menos sofisticadas, que son mucho más numerosas, pueden infringir y causar un impacto inaceptable. Un programa de seguridad debe poder asegurar un nivel de exposición al riesgo cibernético.

Justificación de la economía de la reducción de riesgos
En common, se espera que los líderes operativos (como los jefes de internet marketing, ventas, TI, etcetera.) justifiquen la oportunidad de desarrollar una capacidad en toda la empresa. Son buenos si pueden demostrar rendimiento, pero son geniales si muestran un rendimiento fuerte. Se trata de una economía empresarial básica de la que ningún liderazgo empresarial puede ni debe escapar.

Los CISO se han autoaislado de manera efectiva del negocio en términos de principios estratégicos que no se alinean bien con la doctrina ejecutiva. Históricamente, las estrategias de seguridad se han impulsado principalmente a través de cazadores de vulnerabilidades, detectores de amenazas, seguidores del marco y, más recientemente, calculadoras de riesgos. Estos han sido en gran parte miopes o demasiado abstractos para conectarlos con los ejecutivos.

Adopción de un enfoque de seguridad y economía
¿Pueden los CISO entrar en la period de la seguridad y la economía (a falta de un término mejor)? Todo en los negocios está en un command deslizante. Un management deslizante de costo as opposed to recompensa. Por lo general, la satisfacción de los ejecutivos aumenta si demuestra un mejor retorno de la inversión. Los resultados positivos suelen estar determinados por qué tan bien se establecen las expectativas desde el principio. ¿Cómo pueden los CISO lograr que los ejecutivos estén satisfechos con su trabajo si no establecen una expectativa de resultado? La mayoría de los CISO todavía están demasiado obsesionados con lo que hacen (o quieren hacer), en lugar de qué resultado del impacto de la infracción pueden controlar con una cantidad de presupuesto.

Si los CISO quieren establecer mejores expectativas con los ejecutivos, deben adoptar un enfoque económico de seguridad que responda a estas preguntas:

  1. ¿En qué estamos enfocando la protección? ¿Está esto justificado?
  2. ¿Qué niveles y tipos de protección podemos brindar y a qué costo?
  3. ¿Tenemos planes realistas para desarrollar niveles de protección?
  4. ¿Podemos gestionar y realizar un seguimiento de nuestro desarrollo y operaciones para garantizar la rentabilidad?
  5. ¿Pueden nuestros resultados ser verificados de forma independiente?

Al enmarcar la seguridad de esta manera, el apetito por el riesgo se vuelve claro de la manera más significativa, en función de la voluntad de equilibrar el gasto con los posibles resultados de riesgo. En este marco, el riesgo es inicial, al igual que las opciones relativas al gasto y la postura de seguridad. La ambigüedad en torno al gasto en seguridad se ha ido, y la decisión closing sobre las prioridades comerciales y el apetito por el riesgo es donde debería estar, con la suite ejecutiva.

Al comprar muchas cosas en la vida, se enfrenta a opciones de tamaño y calidad. Un programa de seguridad no es diferente. El tamaño es cuántos activos están bajo manage (protección) y la calidad es el nivel de esa protección (qué nivel de sofisticación de amenazas puede causar un impacto inaceptable frente a qué nivel es aceptable).

Al proporcionar planes ejecutivos con controles deslizantes que varían en tamaño y calidad, les brinda opciones. Estas opciones demuestran cuánto presupuesto se asignará para recibir varios niveles de protección o, a la inversa, de exposición al riesgo cibernético. Las opciones que no financian, el CISO no es responsable.

Un CISO que planifica y entrega así está en línea con otros líderes empresariales y puede ser visto como un líder en ese nivel. Si los CISO creen que no se les respeta lo suficiente o que no se les escucha, puede deberse a que no están presentando un análisis basado en riesgos / recompensas en línea con sus pares C-suite.

Es hora de que los CISO se reubiquen entre la espada y la pared para convertirse en los CISO modernos de seguridad y economía. Esto les dará un asiento en la mesa ejecutiva y de la junta directiva, no porque puedan ver problemas a nivel de placa, sino porque pueden ser rentables resolver problemas a nivel de la junta.

Douglas Ferguson, un profesional de la seguridad con más de 20 años, es el fundador y CTO de Pharos Protection. Pharos se especializa en alinear los objetivos y la estrategia de seguridad con el negocio y un apetito de riesgo calibrado, asegurando un program de negocios integrado y optimizado … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia authentic