CIBERSEGURIDAD

El arriesgado futuro del CISO

0 72 5 minutos de lectura


Recientemente publicamos algunos artículos basados ​​en entrevistas con los nuevos miembros de la junta de (ISC) 2, donde uno de los puntos de discusión fue la redefinición del rol de director de seguridad de la información (CISO).

En el primer artículo, el nuevo presidente Wim Remes y el nuevo secretario Dave Lewis reconocieron que existe el peligro de que el CISO esté fuera de contacto o no pueda encajar en las habilidades que se encuentran en los extremos del espectro de seguridad.

En el segundo artículo, Lewis dijo que el puesto de CISO es el típico «carril de natación» para los profesionales de la seguridad y es «una posición muy difícil de tener y una posición muy central». Dijo: «Siendo realistas, lo que me encantaría ver es que ese puesto ya no es necesario en el futuro, ya que la seguridad está integrada en todos los puestos de una organización».

Entonces, ¿el futuro del CISO está realmente amenazado? ¿Pueden existir en un futuro? Pregunté a algunos de los que habían hecho y estaban haciendo el trabajo, y dónde vieron que ocurrían los cambios. Mark Brown, ex CISO de SAB Miller y ahora director de seguridad de la información en EY, dijo que sentía que la industria “tiene mucho por crecer aún por hacer”.

Dijo: “El rol de CISO se ha expandido y se ha vuelto mucho menos sobre bits y bytes técnicos, y mucho más sobre estrategia y pensamiento global. Ahora se requiere que el CISO desempeñe su papel junto con los colegas de la C-suite para ayudar a decidir cómo hace negocios la organización. Mejore la prevención de pérdidas y habrá ayudado de forma demostrable al director financiero y al director de operaciones. Mejore los procesos de investigación y gestión de incidentes y estará ayudando a los recursos humanos, legales, de auditoría, etc. «

El CISO Amar Singh, quien también es director del capítulo británico de ISACA, dijo que el rol del CISO ha sido principalmente y probablemente seguirá siendo el papel del héroe anónimo, o alguien “que se espera que sea el gurú de la tecnología y el ejecutivo que, solo cuando las circunstancias lo exigen, puede pararse frente al CEO o al directorio y explicar el motivo del incumplimiento de su organización ”.

Habló del concepto de «CISO híbrido”, Que puede ser comunicativo y articulado en términos de negocios, es técnicamente competente, políticamente astuto y se siente cómodo tanto con la gestión como con las habilidades técnicas.

Dijo: “Habiendo estado en este y roles similares y habiendo conocido a varios compañeros, parte del problema puede ser algo realmente simple. Puede ser que la ‘seguridad de la información’ le dé un contexto técnico al título de CISO, dejando así al CISO languideciendo en el ámbito de las TI. Lamentablemente, a la gente de TI no le gusta demasiado el inquisitivo y entrometido jack de todos los ases y el resultado. Un ejecutivo sin hogar que, en muchos casos, termina luchando por encontrar un hogar permanente.

“Un simple ajuste puede terminar haciendo un gran cambio. Sacar la Seguridad de la Información del CISO y reemplazarla con Riesgo (como en CRO) o Privacidad (como en CPO) puede otorgar al título la relevancia y la importancia que merece. Los títulos alternativos a considerar podrían incluir Director de gobernanza de la información. Ahora habrá quienes opinen que dicen ‘¿Qué hay en un título?’

“Aunque yo mismo no soy muy riguroso con los títulos, a veces contrarresto ese argumento preguntando la relevancia del título de CEO o CIO. En mi opinión, es un imperativo comercial describir con precisión las responsabilidades del puesto de CISO y si eso requiere un cambio de título sensato, que así sea ”.
Y
nbsp;
John Theobald, CISO de NTT Com Secure, dijo que la razón por la que el CISO interesa a tanta gente es porque nadie sabe realmente lo que implica. “Sabes lo que hace el CFO, pero el CISO en cada empresa es diferente. Puedes intentar hacer demasiado y te lanzan cosas con las que la mitad del tiempo no puedes lidiar y el éxito está en lidiar con eso ”, dijo.

Dijo que se ha convertido más en un rol de riesgo operativo y no importa qué riesgo sea, el CISO administrará el riesgo independientemente.

Remes dijo que vio al CISO convertirse en un profesional de riesgos que en un técnico, y Theobald dijo que un CISO considerará todo el negocio desde el punto de vista del riesgo, pero a menudo se selecciona un CISO cuando las cosas han salido mal y alguien es seleccionado internamente o de una consultoría para administrar y navegar por la salida.

Una investigación reciente de 451 Group encontró que el 53 por ciento de los equipos de seguridad emplean diez o menos profesionales de seguridad de la información a tiempo completo, mientras que en el 42 por ciento de las organizaciones donde la seguridad es una división separada, el 65 por ciento de esas divisiones informaron al jefe de tecnología de la información, normalmente un CIO. Theobald dijo que en su puesto anterior tenía 60 personas, ahora tiene 6-7 y está trabajando con empresas que tienen alrededor de 15 personas. “Pero el rol también cambia; algunos lo llaman CISO, algunos CSO, algunos jefes de seguridad de TI. Es un rol cambiante «.

Stephen Bonner, ex director general de Barclays Information Risk Management y ahora socio de KPMG, dijo que este es un mundo cambiante y un entorno competitivo, y la gente de la alta dirección no va a entender la seguridad. “No va a ser como entender contabilidad o leyes, no necesariamente tienen que ser profesionales en eso, pero aquellos que no lo entienden y no lo entienden y no manejan el riesgo, hay madurez en pensar sobre eso ”, dijo.

“Hay muchas personas para las que CISO era el destino y muchos están muy felices allí, pero muchos CISO que conozco han comenzado a expandir sus competencias para asumir otras partes. Ayudan a gestionar la gestión de suministros, la continuidad del negocio, la seguridad física y otros riesgos para convertirse en un profesional de riesgos. Los roles están creciendo porque las habilidades son muy relevantes para otras disciplinas «.

Le pregunté a Brown si el CISO está realmente muerto o se está regenerando. Dijo que vio una nueva generación de CISO, alguien que se siente cómodo en la confluencia de habilidades comerciales y técnicas.

“Al lograr esta confluencia de habilidades, como industria, podemos finalmente vender los beneficios de lo que hacemos a nuestras juntas. Además, a través de nuestra comprensión de la gestión de riesgos en lugar del cumplimiento basado en políticas, el CISO podría trascender aún más, para ser reconocido como un verdadero líder estratégico empresarial del futuro, operando ampliamente fuera de la zona de confort tradicional de TI ”, dijo.

Brown llamó a esto una visión, y si no podemos enfrentar el desafío, podemos perder el título ‘C’ y ser relegados nuevamente al puesto de gerente de seguridad de TI.

“Mi opinión personal es que el CISO probablemente tendrá dificultades para llegar hasta el puesto más alto. En cambio, veo la oportunidad para que el CISO haga la transición a un rol de CRO o COO más apropiado para su conjunto de habilidades «.

La palabra riesgo es cada vez más prominente cuando hablo con los CISO y los profesionales de seguridad, y parece que hacer la evaluación de riesgos es menos algo dicho y más hecho. ¿Está hecho? ¿Subirá el CRO? ¿O será otro trabajo para el CISO? Mientras tratamos de definir el papel del CISO, tal vez debamos considerar al evaluador de riesgos en esa lista de tareas y habilidades.

Publicaciones relacionadas

AP Moller-Maersk cuenta el costo del ciberataque, pero cambia a las ganancias

Los líderes empresariales reconocen las lagunas de conocimiento y la falta de recursos en medio de la creciente amenaza de un ciberataque.

Ataques anónimos a sitios web de dos aeropuertos japoneses

Empresas que dependen de la tecnología heredada para gestionar los riesgos de IoT

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar