What 90-day targets should a CISO have in the organization?

Dr Eric Cole
13 Oct 202232:31

Summary

TLDREl video ofrece estrategias clave para los CISOs, enfocándose en la alineación con los ejecutivos y la gestión ágil del riesgo. El experto sugiere utilizar una evaluación de riesgos trimestral simplificada, que consta de tres columnas: activos críticos, amenazas principales y vulnerabilidades. Con esta metodología, se puede enfocar al equipo en los cinco mayores riesgos y vulnerabilidades, asegurando que las prioridades de seguridad estén alineadas con los objetivos empresariales. La clave está en la priorización, la colaboración interdepartamental y el enfoque en metas claras y alcanzables para cada trimestre.

Takeaways

  • 😀 Alineación ejecutiva es crucial: Es necesario que los esfuerzos de ciberseguridad estén alineados con los objetivos empresariales para evitar conflictos y malgasto de recursos.
  • 😀 El 'diagrama de pastel' es una herramienta efectiva para mostrar la distribución de esfuerzos en confidencialidad, integridad y disponibilidad en función de las prioridades empresariales.
  • 😀 Los riesgos cambian constantemente: Realizar evaluaciones de riesgos a largo plazo (de 1 a 2 años) puede volverse obsoleto rápidamente. Es mejor hacer evaluaciones de riesgos periódicas.
  • 😀 Mini evaluación de riesgos: En lugar de evaluaciones largas, se recomienda hacer una mini evaluación de riesgos de forma trimestral, lo que facilita un enfoque más ágil y actualizado.
  • 😀 Prioriza los activos críticos: Identificar las 5 procesos o activos más críticos de la empresa es esencial para determinar dónde enfocar los esfuerzos de ciberseguridad.
  • 😀 La seguridad debe estar alineada con las amenazas: El equipo de ciberseguridad debe identificar las amenazas más probables para los activos críticos sin debatir sobre las prioridades del negocio.
  • 😀 Colaboración con el equipo de TI: Es necesario que el equipo de TI participe en la evaluación de las vulnerabilidades, ya que son los encargados de la configuración y gestión de los sistemas.
  • 😀 El proceso de evaluación es ágil: La mini evaluación de riesgos debe completarse en 1 o 2 días si se tiene el equipo adecuado y el enfoque correcto.
  • 😀 Actualización trimestral: La lista de vulnerabilidades debe actualizarse cada trimestre, lo que permite un enfoque continuo de mejora sin sobrecargar al equipo con tareas interminables.
  • 😀 Objetivos trimestrales claros: Después de realizar la evaluación, se deben establecer objetivos trimestrales claros para abordar las vulnerabilidades identificadas, asegurando el progreso continuo.
  • 😀 Validación continua: El proceso implica una revisión constante de las prioridades y una actualización de las vulnerabilidades, manteniendo el enfoque en los aspectos más críticos sin desviarse del objetivo principal.

Q & A

  • ¿Cuál es el objetivo principal del CISO en este video?

    -El CISO en este video explica cómo alinear los esfuerzos de ciberseguridad con las prioridades estratégicas de la empresa, asegurándose de que los recursos y esfuerzos estén enfocados en las áreas críticas, utilizando herramientas como el análisis de riesgos y gráficos de prioridades.

  • ¿Por qué es importante tener una alineación entre el enfoque de ciberseguridad y las prioridades de los ejecutivos?

    -Es crucial tener esta alineación para evitar la fricción y los problemas derivados de un gasto o enfoque mal dirigido en ciberseguridad. La falta de alineación puede resultar en malgaste de recursos o en la atención de áreas que no son de prioridad para el negocio.

  • ¿Cómo debe ser estructurada la distribución del presupuesto en ciberseguridad según el CISO?

    -El CISO sugiere utilizar un gráfico en forma de pastel que divida el enfoque en tres áreas clave: confidencialidad, integridad y disponibilidad. La asignación de recursos debe reflejar la importancia relativa de estas áreas según lo acordado por los ejecutivos.

  • ¿Qué es un 'mini risk assessment' y por qué es preferido sobre una evaluación de riesgos a gran escala?

    -Un 'mini risk assessment' es un ejercicio rápido y enfocado que toma entre uno o dos días, en contraste con una evaluación de riesgos a gran escala que puede durar años y volverse obsoleta. El mini análisis permite hacer ajustes rápidos y mantenerse alineado con los riesgos actuales.

  • ¿Cómo se lleva a cabo un 'mini risk assessment' según el CISO?

    -El proceso implica crear un documento de tres columnas: 1) Los cinco procesos de negocio más críticos para la organización, 2) Las cinco amenazas con mayor probabilidad de causar daño a esos activos, y 3) Las vulnerabilidades existentes que permitirían que esas amenazas tengan un gran impacto.

  • ¿Quiénes deben estar involucrados en el 'mini risk assessment' y por qué?

    -Los ejecutivos deben estar involucrados en la primera columna para identificar los procesos de negocio críticos. El equipo de ciberseguridad participa en la segunda columna para identificar las amenazas, mientras que el equipo de TI está encargado de la tercera columna, que identifica las vulnerabilidades del sistema.

  • ¿Cuánto tiempo debería dedicar una organización a este 'mini risk assessment' cada trimestre?

    -El CISO menciona que, si se tiene el equipo adecuado y el enfoque correcto, este ejercicio debería tomar entre uno o dos días por trimestre, lo que lo convierte en un proceso rápido y eficiente para mantener el enfoque en las prioridades.

  • ¿Qué tipo de resultados debería esperar una organización después de realizar un 'mini risk assessment'?

    -Al final del 'mini risk assessment', la organización debería tener un conjunto claro de vulnerabilidades prioritarias que deben ser abordadas en los próximos 90 días, proporcionando metas claras y alcanzables para el siguiente trimestre.

  • ¿Por qué el CISO desaconseja realizar evaluaciones de riesgos extensas y largas?

    -El CISO argumenta que las evaluaciones de riesgos extensas, que pueden tomar uno o dos años, a menudo se vuelven inexactas debido a la rapidez con la que cambian las amenazas y el entorno de TI. Prefiere un enfoque más ágil y continuo con mini evaluaciones trimestrales.

  • ¿Cuál es la importancia de la disciplina al trabajar con el equipo de ciberseguridad en el 'mini risk assessment'?

    -Es importante mantener la disciplina para evitar que el equipo de ciberseguridad debata sobre los procesos de negocio críticos, ya que su tarea es identificar las amenazas y vulnerabilidades, no modificar las prioridades del negocio definidas por los ejecutivos.

Outlines

plate

Dieser Bereich ist nur für Premium-Benutzer verfügbar. Bitte führen Sie ein Upgrade durch, um auf diesen Abschnitt zuzugreifen.

Upgrade durchführen

Mindmap

plate

Dieser Bereich ist nur für Premium-Benutzer verfügbar. Bitte führen Sie ein Upgrade durch, um auf diesen Abschnitt zuzugreifen.

Upgrade durchführen

Keywords

plate

Dieser Bereich ist nur für Premium-Benutzer verfügbar. Bitte führen Sie ein Upgrade durch, um auf diesen Abschnitt zuzugreifen.

Upgrade durchführen

Highlights

plate

Dieser Bereich ist nur für Premium-Benutzer verfügbar. Bitte führen Sie ein Upgrade durch, um auf diesen Abschnitt zuzugreifen.

Upgrade durchführen

Transcripts

plate

Dieser Bereich ist nur für Premium-Benutzer verfügbar. Bitte führen Sie ein Upgrade durch, um auf diesen Abschnitt zuzugreifen.

Upgrade durchführen

Weitere ähnliche Videos ansehen

Understanding the difference between CISOs and world class security engineers

Cyber is a Business Problem

What makes a good CISO? (Chief Information Security Officer) | Life of a CISO Episode 2

The CISO Checklist

How to Prevent Cyber Attacks in 2021 (3 Ninja Tricks for CISO's)

The Cost of Ransomware

Rate This

5.0 / 5 (0 votes)

Summary
Outlines
Mindmap
Keywords
Highlights
Transcripts
Ähnliche Tags
CiberseguridadEvaluación de riesgosCIAPriorizaciónSeguridad ITEstrategia empresarialEvaluación ágilCISOProtección de datosGestión de riesgos
Benötigen Sie eine Zusammenfassung auf Englisch?