Perspectivas de la sala de juntas sobre ciberseguridad: lo que …



Debido a que los miembros de la junta prestan mucha atención a la seguridad, los líderes de seguridad deben poder responder y aliviar sus preocupaciones con los datos.

Regularmente tengo conversaciones con líderes y expertos en ciberseguridad en una variedad de industrias. Más recientemente, he hablado con miembros de la junta de varias empresas líderes en el mercado en mi pódcast sobre sus opiniones sobre la ciberseguridad.

Estas conversaciones, resumidas a continuación, demuestran que los miembros de la junta prestan mucha atención a los programas de seguridad de sus organizaciones: su enfoque y efectividad y el impacto en la postura de riesgo. Además, ha aumentado la influencia de los miembros de la junta en la dirección del programa de seguridad de una empresa.

Como resultado, los líderes de TI deben informar con regularidad que la tecnología de seguridad, las personas y los procesos están optimizados para proteger y defender a la organización, de modo que cuando se produzca una infracción o un ataque, tenga un impacto mínimo en la marca y en los resultados. Más adelante, ofrezco consejos sobre la mejor manera de medir, probar e informar las métricas de rendimiento de seguridad a la junta y al liderazgo empresarial.

Perspectivas de la junta
«La ciberseguridad es sin lugar a dudas una prioridad de la junta. Para hacer su trabajo, las juntas deben comprender variables como la postura de riesgo, las amenazas relevantes y la eficacia de los controles de seguridad. También necesitan saber cuáles deben ser las respuestas correctas al tiempo que comprenden que la ciberseguridad cambia constantemente. Es fundamental contar con medidas oportunas sobre qué tan bien están funcionando sus controles de ciberseguridad y qué tan bien responden a las últimas amenazas «.
Julie Cullivan, miembro de la junta de varias empresas de atención médica, tecnología y ciberseguridad y ex ejecutiva de Forescout, FireEye, McAfee y otras

«Si bien no es necesario que todos los miembros de la junta sean expertos en ciberseguridad, sí deben poder interpretar las métricas de riesgo con respecto a la ciberseguridad, tal como lo hacen cuando comprenden las ventas, las operaciones y las finanzas. Solo cuando se comprenden los riesgos se pueden Las juntas brindan la supervisión y el gobierno más apropiados. Los líderes de ciberseguridad que tienen más éxito en sus trabajos y en la interacción con la junta son altamente técnicos. Pero también son verdaderos ejecutivos corporativos. Deben tener o desarrollar habilidades comerciales «.
Art Coviello, ex presidente y director ejecutivo de RSA, y miembro de la junta de una empresa de servicios financieros y varias empresas de tecnología

«Las juntas directivas y la alta dirección están reconociendo que el &#39application con un servicio &#39es el futuro de la ciberseguridad. Las plataformas lideradas por tecnología aumentadas por expertos en seguridad y operaciones brindan valor a través de servicios productivos. Esto puede ser utilizar software package con un servicio a través de una combinación de equipos rojos, validación de seguridad, análisis de eventos e inteligencia de amenazas donde necesito conocer continuamente el estado de mis controles desde múltiples ángulos forenses y en tiempo genuine, dónde están mis brechas, y cómo solucionarlos cuando se validan con la inteligencia de amenazas más oportuna y relevante «.
Jay Leek, socio gerente y cofundador de ClearSky Security, miembro de la junta de múltiples empresas de tecnología y ciberseguridad, y ex CISO de Blackstone

«Prácticamente todas las marcas se basan en algún nivel de confianza. Como tal, los miembros de la junta deben hacer preguntas sobre cómo se aprovecha la ciberseguridad para proteger la propuesta de valor de la marca en un momento determinado y se mide a lo largo del tiempo. La ciberseguridad para su entorno multinube debe ser una conversación a nivel de junta ahora. Si espera dos años más para comenzar a tener esta conversación, llegará demasiado tarde a la fiesta y será menos competitivo «.
Kara Nortman, socia gerente de Upfront Ventures y miembro de la junta de varias empresas de tecnología y ciberseguridad

«Cuando veo que las juntas directivas, los ejecutivos, los auditores y los equipos de seguridad logran con éxito una buena higiene de la gobernanza, parte de ese éxito suele ser el resultado de que los líderes de ciberseguridad reciben educación sobre los fundamentos de la gestión de riesgos empresariales. Para algunas empresas, la ciberseguridad se ha vuelto esencial la estrategia y la propuesta de valor de la empresa. En estos casos, las juntas directivas son muy diligentes en comprender la eficacia de los controles de seguridad, los procesos y las personas en un momento determinado y las tendencias en el tiempo «.
Matt Bigge, socio de Crosslink Funds y miembro de la junta con tecnología múltiple y empresas de ciberseguridad

Tres pasos para informar a los ejecutivos
Los CISO y los líderes de TI deben informar, en términos comerciales cuantificables, el valor que ofrece el programa de seguridad de la organización basándose en pruebas continuas, optimización y prueba de efectividad. A continuación, describí tres pasos que los CISO deben seguir para lograr esto e informar en términos que la junta y el C-suite entiendan.

1. Deje que la inteligencia lidere el camino
La inteligencia sobre las amenazas más relevantes de la organización y las tácticas utilizadas brinda orientación sobre qué controles se necesitan. Al evaluar a los proveedores de información sobre amenazas, las áreas clave en las que centrarse incluyen:

  • ¿Recibirá una combinación de tipos de inteligencia, incluida la inteligencia synthetic, los servicios administrados y la inteligencia del adversario?
  • ¿El proveedor integra las fuentes de información sobre amenazas en su entorno de TI real?
  • ¿Confía en la experiencia del equipo, la amplitud de los datos y la capacidad de automatización y personalización de los datos?

2. Validar con prueba de efectividad
El valor de la validación de la seguridad se está entendiendo más, sin embargo, los líderes de seguridad a menudo no están seguros de cuál es la mejor manera de implementar y realizar la validación para obtener resultados significativos. Los cinco componentes clave de un programa de validación de seguridad impactante incluyen:

  • Priorice qué probar en función de la información sobre amenazas.
  • Probar y medir el desempeño de los controles de seguridad.
  • Optimice los controles en función de las pruebas de rendimiento.
  • Racionalizar el programa para llenar los vacíos y eliminar la duplicación de controles.
  • Monitorear continuamente el medio ambiente Mantenga el proceso en marcha para que los cambios en TI se tengan en cuenta en las pruebas y mediciones continuas.

3. Informe con confianza

  • Según el proceso de validación de cinco pasos, puede compartir pruebas cuantitativas de que el programa de seguridad está funcionando y protege la postura de riesgo de la empresa.
  • También tiene la tranquilidad de que cualquier fluctuación de rendimiento se marcará y se solucionará automáticamente.
  • La presentación de informes en términos comerciales brinda a las partes interesadas clave la garantía de que necesitan comunicar una postura de seguridad sólida a sus electores.

Estos pasos pueden ayudar a los CISO a agilizar las operaciones y concentrar los recursos donde tendrán la mayor probabilidad de éxito, al tiempo que identifican áreas donde se pueden necesitar más gastos o se pueden recortar costos sin afectar el riesgo. En última instancia, los líderes de seguridad pueden asegurar a la alta dirección y al directorio, con evidencia cuantificable, que la higiene cibernética de la empresa es sólida y que su posición en el mercado está protegida.

Brian Contos es un ejecutivo experimentado, asesor de la junta y emprendedor en serie con más de 25 años en la industria de la ciberseguridad. Después de comenzar en ciberseguridad con la Agencia de Sistemas de Información de Defensa (DISA) y más tarde Bell Labs, comenzó el proceso de construcción … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia primary