Lessons Learned From Being a CISO

Dr Eric Cole

20 Jun 202431:13

Summary

TLDREn este video, el ponente discute la importancia de equilibrar la ciberseguridad con las prioridades empresariales desde la perspectiva de un Director de Seguridad de la Información (CISO). Enfatiza que la ciberseguridad no debe impedir el crecimiento y la rentabilidad del negocio, sino apoyarlo mediante una gestión de riesgos adecuada. Además, destaca la necesidad de tomar decisiones basadas en el contexto y de aprender de la retroalimentación, convirtiéndola en algo valioso y accionable. Finalmente, señala que la ciberseguridad debe ser una prioridad para los ejecutivos, y si no lo es, el CISO debe ajustarse para lograr que se reconozca como tal.

Takeaways

😀 La seguridad cibernética no debe verse como un obstáculo, sino como una herramienta para habilitar el crecimiento del negocio.
😀 Los líderes de seguridad deben comprender que la rentabilidad y el crecimiento de la empresa son más importantes que la seguridad en sí misma.
😀 Las decisiones de seguridad cibernética deben basarse en el valor o beneficio que se obtiene y el riesgo o exposición que conllevan.
😀 Los CISOs deben tener una mentalidad flexible, entendiendo que no siempre hay respuestas binarias, sino que las decisiones dependen de las circunstancias.
😀 A veces es necesario tomar riesgos significativos si la supervivencia del negocio está en juego, pero la clave está en evaluar el valor del beneficio frente al riesgo.
😀 Si la empresa está a punto de cerrar, un riesgo calculado puede ser necesario si el beneficio potencial es significativo, como ganar 10 millones de dólares.
😀 La seguridad cibernética debe considerar el contexto: un negocio exitoso puede evitar riesgos elevados, pero uno en apuros podría optar por ellos.
😀 El aprendizaje constante y la aceptación de la crítica constructiva son esenciales para el crecimiento y la mejora continua en el rol de CISO.
😀 La crítica debe ser procesada de manera constructiva, buscando siempre que sea accionable y específica para mejorar en el futuro.
😀 Si los ejecutivos no consideran la ciberseguridad como una prioridad, tal vez el problema esté en cómo se presenta o se comunica la importancia de la seguridad.
😀 Los CISOs deben ser conscientes de la importancia de adaptarse y aprender del entorno empresarial y no solo del ámbito técnico de la seguridad.

Q & A

¿Cuál es la prioridad principal de un CISO según el discurso?
-La prioridad principal de un CISO es el crecimiento del negocio. La ciberseguridad debe ser vista como una herramienta para apoyar ese crecimiento, y no como un conjunto de reglas rígidas que limiten las ganancias o la rentabilidad de la empresa.
¿Cómo debe un CISO tomar decisiones sobre ciberseguridad?
-Las decisiones sobre ciberseguridad deben basarse en el manejo de riesgos, no en un enfoque binario de sí o no. El CISO debe evaluar el valor o beneficio de una acción frente al riesgo o exposición que conlleva.
¿Qué dos preguntas clave debe hacer un CISO antes de tomar decisiones sobre seguridad?
-Las dos preguntas clave son: 1) ¿Cuál es el beneficio o valor de hacer esto? 2) ¿Cuál es el riesgo o la exposición de hacerlo?
¿Qué debe hacer un CISO si se encuentra en una situación de riesgo con un alto beneficio potencial?
-Si la empresa está en riesgo de cerrar y existe una oportunidad arriesgada de generar grandes beneficios, el CISO puede considerar tomar ese riesgo si el beneficio supera las posibles consecuencias negativas, ya que la empresa podría cerrar de todas formas.
¿Cómo debe un CISO manejar las críticas de los ejecutivos?
-El CISO debe estar abierto a las críticas y buscar hacerlas accionables. Si un ejecutivo le dice que su información no fue útil, el CISO debe preguntar por qué no fue valiosa y cómo podría mejorar la situación en el futuro.
¿Qué enfoque debe adoptar un CISO cuando recibe críticas que no son claras o no tienen valor accionable?
-Cuando recibe críticas que no son accionables, el CISO debe pedir más detalles para entender cómo mejorar. La crítica debe convertirse en algo que se pueda aplicar de manera concreta.
¿Qué importancia tiene la ciberseguridad dentro de una organización?
-La ciberseguridad es una de las prioridades más importantes dentro de una organización, ya que protege los activos de la empresa, pero también debe ser alineada con las metas comerciales, como el crecimiento y la rentabilidad.
¿Cómo debe un CISO presentar la ciberseguridad a los ejecutivos?
-El CISO debe asegurarse de que los ejecutivos comprendan que la ciberseguridad es esencial para el éxito a largo plazo de la organización. Si los ejecutivos no la ven como una prioridad, puede ser necesario cambiar la forma en que el CISO presenta la información.
¿Por qué un CISO no debería aplicar siempre reglas estrictas que descarten cualquier riesgo?
-Las decisiones de ciberseguridad no siempre deben ser rígidas. El CISO debe tener en cuenta que, en algunos casos, tomar un riesgo calculado puede ser necesario para la supervivencia del negocio si el beneficio es lo suficientemente grande.
¿Qué actitud debe tener un CISO ante el aprendizaje y la mejora continua?
-El CISO debe estar dispuesto a aprender y aceptar retroalimentación. La crítica debe ser vista como una oportunidad de mejorar y crecer, y siempre debe buscar cómo hacer que esa retroalimentación sea útil y aplicable.