Responsibilities of a Brand new CISO

Dr Eric Cole

29 Dec 202232:10

Summary

TLDREl video ofrece una guía clave para los nuevos CISO en sus primeros 90 días en una organización. Se destaca la importancia de comprender profundamente el entorno empresarial y de seguridad antes de implementar cambios, evitando las modificaciones drásticas iniciales. Se recomienda establecer una comunicación fluida con los ejecutivos y la junta, crear una cultura de colaboración, y pedir lo que se necesita para ejecutar la función con éxito. Además, se enfatiza la importancia de ser estratégico, escuchar y adaptarse a la empresa para definir el rol del CISO de manera efectiva.

Takeaways

😀 No apresures a hacer cambios sin entender la organización. Tómate el tiempo para conocer cómo opera la empresa antes de proponer modificaciones.
😀 La ciberseguridad es un tema estratégico de negocio, no solo técnico. Un CISO exitoso debe comprender cómo la seguridad impacta en los riesgos y la salud financiera de la empresa.
😀 Establece expectativas claras desde el principio. Solicita reuniones regulares con el CEO y otros ejecutivos clave para asegurarte de estar alineado con la alta dirección.
😀 No reemplaces tecnología o sistemas sin una razón sólida. Evalúa si realmente hay una brecha en la seguridad que no pueda solucionarse con lo que ya está implementado.
😀 Fomenta una cultura de apertura y comunicación. Da espacio a tu equipo para expresar sus ideas y preocupaciones, y asegúrate de que se sientan escuchados.
😀 Si eres el primer CISO de la empresa, tendrás la oportunidad de definir el rol. Asegúrate de establecer claramente lo que esperas para evitar confusión más adelante.
😀 Si reemplazas a un CISO anterior, prepárate para la resistencia. Los equipos pueden estar acostumbrados a un estilo diferente de liderazgo, y será necesario gestionar esa transición.
😀 Haz preguntas para comprender el entorno antes de intentar cambiar algo. Los nuevos CISOs deben estar siempre aprendiendo y adaptándose a la situación.
😀 No tengas miedo de pedir lo que necesitas. Un CISO debe ser claro y directo sobre sus expectativas y necesidades para ser efectivo en su rol.
😀 Si hay problemas con la comunicación o la conexión entre el negocio y la seguridad, propón soluciones específicas que puedan abordar esos desafíos y mejorar la relación.
😀 Establecer la cadencia de reuniones y las expectativas operativas desde el inicio es crucial para una transición exitosa y para evitar malentendidos a largo plazo.

Q & A

¿Por qué es importante que un nuevo CISO entienda el entorno existente antes de hacer cambios?
-Es crucial para evitar tomar decisiones apresuradas que puedan generar fricciones. Comprender cómo opera la organización, qué tecnologías están en uso y por qué se eligieron, ayuda a tomar decisiones informadas y alineadas con las necesidades reales del negocio.
¿Cuánto tiempo se recomienda que un CISO pase comprendiendo la organización antes de tomar decisiones?
-Se recomienda pasar al menos 45 días, o incluso más, aprendiendo sobre la organización y cómo funciona antes de hacer cambios importantes.
¿Cuál es la importancia de establecer una cadencia de reuniones con los ejecutivos de la empresa?
-Establecer una cadencia de reuniones permite crear una comunicación constante y fluida entre el CISO y los principales ejecutivos de la organización, lo que asegura que las expectativas estén alineadas y facilita la integración del CISO en la toma de decisiones estratégicas.
¿Qué enfoque debe tener un CISO al solicitar reuniones con los ejecutivos como el CEO, COO y CFO?
-El CISO debe ser claro y proactivo al solicitar estas reuniones, asegurándose de que se entiendan las expectativas de comunicación y colaboración. Pedir dos reuniones de 30 minutos cada mes puede ser una estrategia eficaz para establecer una relación productiva desde el inicio.
¿Qué riesgos existen al hacer cambios rápidos en tecnologías o proyectos existentes?
-Hacer cambios rápidos puede ser disruptivo si no se entiende completamente el contexto en el que las tecnologías o proyectos actuales fueron implementados. Es importante evaluar si las soluciones existentes realmente representan un riesgo o si es posible mejorar la seguridad sin interrumpir el flujo de trabajo.
¿Qué debería hacer un CISO si está reemplazando a otro CISO que no cumplió con las expectativas?
-Si se reemplaza a un CISO anterior que no cumplió con las expectativas, el nuevo CISO debe abordar las deficiencias de manera profesional, identificando áreas de mejora y proponiendo soluciones que aborden los problemas de comunicación y alineación entre seguridad y el resto del negocio.
¿Por qué es importante para un CISO hacer muchas preguntas durante sus primeros días?
-Hacer preguntas es clave para comprender la cultura organizacional, los problemas existentes y los desafíos que enfrentan otros departamentos. Esto permite al CISO tomar decisiones fundamentadas y no asumir que conoce todas las respuestas desde el principio.
¿Cómo debe un CISO gestionar la resistencia a sus propuestas de cambio?
-El CISO debe estar preparado para enfrentar resistencia. Una estrategia efectiva es preguntar si el CISO anterior fue verdaderamente eficaz y señalar las áreas problemáticas para proponer soluciones específicas que mejoren la situación.
¿Qué características debe tener un CISO para ser efectivo en su rol?
-Un CISO debe ser un líder que entiende la importancia de la comunicación, la cultura organizacional y la toma de decisiones estratégicas. Debe ser proactivo, escuchar a los demás y liderar con claridad, estableciendo expectativas claras desde el inicio.
¿Cómo puede un CISO establecer la confianza dentro de su equipo?
-Para establecer la confianza, el CISO debe ser claro con sus expectativas, fomentar un ambiente de comunicación abierta y asegurarse de que los miembros del equipo se sientan cómodos expresando sus opiniones. Un equipo confiado es más efectivo y cooperativo.