A CISO is more than a technical engineer with a promotion. He is a communicator.
Summary
TLDREn este video, un CISO experimentado comparte valiosas lecciones sobre la gestión del riesgo en ciberseguridad. A través de una analogía con una caminata peligrosa, destaca cómo muchas empresas se enfocan solo en los beneficios de la tecnología sin considerar los riesgos. Critica la narrativa errónea de los ataques 'avanzados', demostrando que muchos incidentes podrían haberse evitado con buenas prácticas. El CISO resalta la importancia de una comunicación clara y efectiva con los ejecutivos para gestionar adecuadamente el riesgo, y ofrece un programa de certificación para acelerar el desarrollo profesional en este campo.
Takeaways
- 😀 Las empresas a menudo solo consideran los beneficios y la 'coolness' de la ciberseguridad, sin tener en cuenta los riesgos involucrados.
- 😀 Los CISOs de clase mundial comprenden que la seguridad nunca es 100% infalible, pero se puede gestionar el riesgo de manera efectiva.
- 😀 Es crucial que los CISOs comuniquen de manera clara y honesta los riesgos cibernéticos a los ejecutivos para que tomen decisiones informadas.
- 😀 Muchos ciberataques pueden prevenirse o detectarse con las herramientas y enfoques adecuados, y no siempre son tan avanzados como se nos hace creer.
- 😀 El enfoque de 'jugar al villano' y exagerar las amenazas avanzadas, como se hizo con el caso de SolarWinds, no es útil ni realista.
- 😀 Un ejemplo clave de la brecha de SolarWinds fue un error básico: un empleado interno configuró una cuenta administrativa con una contraseña fácil de adivinar.
- 😀 Los proveedores de seguridad a veces buscan desviar la culpa tras un incidente de seguridad, en lugar de aceptar sus fallos y mejorar.
- 😀 El hecho de que las compañías de seguros sigan prosperando demuestra que, con la gestión correcta del riesgo, se pueden minimizar las pérdidas incluso si ocurren incidentes.
- 😀 Los CISOs deben saber cómo contener y controlar el daño de una brecha, incluso si no pueden evitarla completamente.
- 😀 El proceso de gestión de riesgos debe ser continuo y realista, y los CISOs deben estar preparados para comunicar este enfoque a todos los niveles de la organización.
- 😀 La capacitación profesional, como la certificación CISO de 6 meses, puede acelerar el desarrollo de habilidades críticas en la gestión de riesgos y la seguridad empresarial.
Q & A
¿Cuál es el enfoque principal de un CISO de clase mundial?
-El enfoque principal de un CISO de clase mundial es comprender y gestionar los riesgos de seguridad de la organización. Un CISO no solo se enfoca en los beneficios de implementar ciertas tecnologías, sino también en evaluar los riesgos y comunicar de manera clara a los ejecutivos cómo gestionar y mitigar esos riesgos.
¿Por qué es importante que un CISO no solo mire el 'valor y beneficio' de las soluciones de seguridad?
-Es importante que un CISO no solo mire el 'valor y beneficio' porque eso puede llevar a una subestimación de los riesgos involucrados. Al igual que en la anécdota del montañismo, donde el amigo solo veía la emoción sin considerar los peligros, los CISOs deben tener una visión holística que considere tanto los beneficios como los riesgos.
¿Qué enseñanza se puede extraer de la historia de Eric y su amigo Steve al subir la montaña?
-La enseñanza clave es la importancia de evaluar los riesgos antes de tomar decisiones. El amigo de Eric solo pensaba en los aspectos emocionantes y de beneficio de escalar la montaña, pero al considerar los riesgos, decidió no continuar. De manera similar, en ciberseguridad, las empresas deben evaluar los riesgos de manera realista antes de implementar nuevas soluciones.
¿Qué papel juegan los vendedores de seguridad en la percepción pública de los ciberataques?
-Los vendedores de seguridad a menudo exageran la sofisticación de los ciberataques para crear una narrativa de ataques avanzados que no se pueden prevenir o detectar. Esto puede generar miedo y dar la impresión de que la ciberseguridad es un juego de suma cero, cuando en realidad muchos de estos ataques son prevenibles o detectables con medidas adecuadas.
¿Cómo reaccionaron los grandes proveedores de seguridad después del ataque a SolarWinds?
-Después del ataque a SolarWinds, muchos proveedores de seguridad intentaron crear una narrativa de que fue el ataque más avanzado jamás visto, sugiriendo que habría sido imposible prevenirlo. Sin embargo, más tarde se descubrió que la causa raíz del ataque fue una contraseña débil configurada por un pasante, lo que pone en duda la afirmación de que fue un ataque extremadamente avanzado.
¿Qué crítica hace Eric sobre la forma en que los proveedores de seguridad manejan los ataques cibernéticos?
-Eric critica a los proveedores de seguridad por no reconocer sus propios fallos y por promover una narrativa que exagera la sofisticación de los ataques. En lugar de admitir que pudieron haber hecho un mejor trabajo, prefieren vender la idea de que los ataques son tan avanzados que no hay nada que se pueda hacer para prevenirlos.
¿Cuál es la relación entre las aseguradoras y la gestión de riesgos en ciberseguridad?
-Eric argumenta que si la gestión de riesgos fuera un juego de suma cero, las compañías de seguros habrían quebrado hace mucho tiempo. El hecho de que las aseguradoras sigan siendo rentables y exitosas muestra que, si se gestionan los riesgos de manera correcta, es posible minimizar las pérdidas, incluso si no se puede eliminar completamente el riesgo.
¿Qué consejo ofrece Eric sobre la gestión de la comunicación con los ejecutivos?
-Eric aconseja que los CISOs de clase mundial sean comunicadores efectivos que hablen con honestidad sobre los riesgos cibernéticos. Deben ser capaces de explicar de manera clara y precisa los riesgos a los ejecutivos y ayudarles a tomar decisiones informadas sobre cómo mitigar esos riesgos.
¿Por qué Eric considera que la narrativa de que 'no se puede ganar en ciberseguridad' es peligrosa?
-Eric considera que esta narrativa es peligrosa porque fomenta una mentalidad de impotencia, donde las organizaciones sienten que, sin importar lo que hagan, los ataques cibernéticos son inevitables. Esto puede llevar a una falta de acción y a una mayor vulnerabilidad, cuando en realidad, si se gestionan los riesgos adecuadamente, se pueden prevenir o mitigar los daños.
¿Qué ofrece el programa de certificación de CISO de Eric para los profesionales de seguridad?
-El programa de certificación de CISO de Eric ofrece 40 horas de transferencia de conocimientos, seis meses de coaching y acceso a un grupo privado de compañeros. Los participantes afirman que el programa es una inversión valiosa que acelera su carrera y les permite alcanzar lo que normalmente llevaría años lograr en solo seis meses.
Outlines
Этот раздел доступен только подписчикам платных тарифов. Пожалуйста, перейдите на платный тариф для доступа.
Перейти на платный тарифMindmap
Этот раздел доступен только подписчикам платных тарифов. Пожалуйста, перейдите на платный тариф для доступа.
Перейти на платный тарифKeywords
Этот раздел доступен только подписчикам платных тарифов. Пожалуйста, перейдите на платный тариф для доступа.
Перейти на платный тарифHighlights
Этот раздел доступен только подписчикам платных тарифов. Пожалуйста, перейдите на платный тариф для доступа.
Перейти на платный тарифTranscripts
Этот раздел доступен только подписчикам платных тарифов. Пожалуйста, перейдите на платный тариф для доступа.
Перейти на платный тариф
5.0 / 5 (0 votes)
