How do CISOs measure success? (Part 1)

Dr Eric Cole
3 Nov 202233:50

Summary

TLDREste video analiza la evolución de los roles de TI y ciberseguridad en las empresas, destacando cómo la creciente importancia de la tecnología llevó a la creación del rol de CIO, que comenzó a tener visibilidad directa ante los ejecutivos. A lo largo del tiempo, la ciberseguridad fue tratada inicialmente como un subconjunto de TI, pero la creciente complejidad de los riesgos de seguridad requiere un enfoque más integral. El video enfatiza la importancia de otorgar visibilidad ejecutiva a los CISOs y la necesidad de desarrollar métricas claras para la seguridad, similar a las que se aplican en la gestión de TI.

Takeaways

  • 😀 La importancia de la figura del Director de Información (CIO) creció con la expansión de Internet, asegurando que la gestión de la información estuviera alineada a los más altos niveles ejecutivos.
  • 😀 El CIO ahora reporta directamente al CEO o al equipo ejecutivo para asegurar una alineación adecuada de la tecnología con los objetivos organizacionales.
  • 😀 Las métricas claras, como un tiempo de actividad del 99.99%, son fundamentales para el éxito de los CIO y la toma de decisiones dentro de las organizaciones.
  • 😀 La presentación del CIO ante la junta suele ser breve si las métricas se cumplen, pero si no se alcanzan, se deben explicar las razones y los planes de acción para mejorar.
  • 😀 El auge de la ciberseguridad no ocurrió hasta finales de los años 90 y principios de los 2000, impulsado por incidentes como el virus Melissa y Code Red.
  • 😀 A pesar de la creciente importancia de la ciberseguridad, muchas empresas aún tienen los equipos de seguridad bajo el área de TI, lo que limita su visibilidad y efectividad.
  • 😀 La ciberseguridad y la TI están estrechamente vinculadas, pero en las empresas más avanzadas, la seguridad es vista como la prioridad y la TI se considera un subconjunto de la seguridad.
  • 😀 La mayoría de las organizaciones aún tienen los equipos de ciberseguridad reportando al CIO, lo que hace que los CISOs tengan una visibilidad limitada ante los ejecutivos.
  • 😀 El conflicto de prioridades entre la disponibilidad (uptime) y la seguridad crea una disfunción en muchas organizaciones, donde el CIO podría priorizar la disponibilidad por encima de la protección de datos.
  • 😀 Es esencial que los CISOs tengan visibilidad a nivel ejecutivo para garantizar que la seguridad se trate como una prioridad crítica dentro de la organización.
  • 😀 Aunque muchos CISOs aún reportan a los CIOs, las empresas maduras y con conciencia de ciberseguridad están reconociendo la necesidad de que los CISOs estén directamente en el equipo ejecutivo.
  • 😀 El speaker utiliza una referencia a Batman para generar suspenso y mantener el interés, invitando a los oyentes a la próxima sesión para discutir más sobre métricas en seguridad.

Q & A

  • ¿Qué motivó la creación del cargo de CIO en las empresas?

    -El surgimiento de la web y el correo electrónico en la década de 1990 hizo evidente la necesidad de un ejecutivo encargado de la información. Las empresas comenzaron a reconocer la importancia de la tecnología y la información, lo que llevó a la creación del cargo de CIO, quien reportaría directamente a la alta dirección.

  • ¿Qué métrica clave se utiliza para evaluar el rendimiento de un CIO?

    -La métrica clave para evaluar a un CIO es la disponibilidad del sistema, específicamente el objetivo de alcanzar el 99.999% de tiempo de actividad (uptime). Esta métrica es clara, específica y medible, lo que facilita su seguimiento y evaluación.

  • ¿Cómo se gestionan las métricas de seguridad en las empresas en comparación con las de TI?

    -Mientras que las métricas de TI se enfocan en la disponibilidad y el tiempo de actividad, las métricas de seguridad no siempre están tan claramente definidas en muchas empresas. Las empresas más maduras han comenzado a reconocer que la seguridad debería ser una prioridad igual a la de TI y no solo una subcategoría de ella.

  • ¿Qué porcentaje de empresas aún tiene la seguridad bajo el departamento de TI?

    -Aproximadamente el 55% de las empresas aún tienen la seguridad subordinada al departamento de TI, lo que limita la visibilidad de los ejecutivos sobre los riesgos de seguridad. Solo el 40% de las empresas tienen seguridad e IT como áreas iguales, y menos del 5% tienen IT reportando a seguridad.

  • ¿Por qué el enfoque tradicional de tener la seguridad bajo TI es problemático?

    -El enfoque de tener la seguridad bajo TI puede generar conflictos de interés, ya que los CIOs están incentivados a enfocarse en métricas de disponibilidad (uptime) en lugar de en la gestión de riesgos de seguridad, lo que puede comprometer la eficacia de las políticas de seguridad a nivel ejecutivo.

  • ¿Qué debe hacer un CISO para tener visibilidad en el nivel ejecutivo?

    -El CISO debe asegurarse de tener visibilidad directa dentro del equipo ejecutivo, lo que implica tener un papel clave en la alta dirección y ser parte de las conversaciones estratégicas relacionadas con los riesgos de seguridad, no solo como una función operativa de soporte a TI.

  • ¿Qué significa que TI sea un subconjunto de la seguridad en las empresas maduras?

    -En las empresas maduras, se reconoce que la seguridad es la función principal que garantiza la confidencialidad, integridad y disponibilidad de los datos. Como tal, TI se ve como un subconjunto de la seguridad, ya que las prioridades de seguridad deben estar por encima de las métricas tradicionales de TI, como el tiempo de actividad.

  • ¿Qué ejemplos históricos ayudaron a que las empresas comenzaran a tomar en serio la ciberseguridad?

    -Los virus como 'I love you', 'Melissa', 'Code Red' y 'Nimda', que surgieron a finales de los 90 y principios de los 2000, fueron incidentes clave que despertaron la conciencia de las empresas sobre la importancia de tener una estrategia de ciberseguridad efectiva.

  • ¿Cuáles son los principales riesgos que un CISO debe gestionar?

    -El CISO debe gestionar los riesgos relacionados con la divulgación, alteración o denegación de acceso a datos críticos. Estos riesgos afectan a tres áreas fundamentales: la confidencialidad, la integridad y la disponibilidad de los datos de la empresa.

  • ¿Cuál es la visión a largo plazo para los CISOs según el ponente?

    -El ponente sugiere que los CISOs deben luchar por tener visibilidad dentro de la alta dirección, para poder influir en las decisiones estratégicas de seguridad. Además, deben estar enfocados en cambiar las estructuras organizativas para asegurar que la seguridad no sea vista como un soporte para TI, sino como una prioridad clave dentro de la empresa.

Outlines

plate

هذا القسم متوفر فقط للمشتركين. يرجى الترقية للوصول إلى هذه الميزة.

قم بالترقية الآن

Mindmap

plate

هذا القسم متوفر فقط للمشتركين. يرجى الترقية للوصول إلى هذه الميزة.

قم بالترقية الآن

Keywords

plate

هذا القسم متوفر فقط للمشتركين. يرجى الترقية للوصول إلى هذه الميزة.

قم بالترقية الآن

Highlights

plate

هذا القسم متوفر فقط للمشتركين. يرجى الترقية للوصول إلى هذه الميزة.

قم بالترقية الآن

Transcripts

plate

هذا القسم متوفر فقط للمشتركين. يرجى الترقية للوصول إلى هذه الميزة.

قم بالترقية الآن

تصفح المزيد من مقاطع الفيديو ذات الصلة

Qué hace un profesional de la Gestión de Servicios TI | Marlon Molina entrevista a Emilio Campin

WHY SHOULD CISOS EMBRACE ALL DATA BREACHES?

Introducción a la ciberseguridad

The Top Cybersecurity Trends and Predictions for 2021

From Trainer to Coach: Shifting Mindsets in Cybersecurity

Challenges and How to Overcome Them

Rate This

5.0 / 5 (0 votes)

Summary
Outlines
Mindmap
Keywords
Highlights
Transcripts
الوسوم ذات الصلة
CIOCiberseguridadVisibilidad ejecutivaRiesgosTecnología empresarialGestión de TISeguridad informáticaCISOInnovación tecnológicaTransformación digitalAlta dirección
هل تحتاج إلى تلخيص باللغة الإنجليزية؟