How to understand QUANTITATIVE and QUALITATIVE analysis in Cybersecurity
Summary
TLDREn este video, Eric Cole ofrece una visión profunda sobre cómo los CISOs pueden priorizar los riesgos de seguridad, comunicarse efectivamente con la alta dirección y obtener el presupuesto necesario para proteger la organización. Destaca la importancia de presentar un análisis claro y cuantitativo de los riesgos, en lugar de centrarse solo en el cumplimiento de marcos de trabajo. Además, subraya cómo una comunicación concisa y priorizar las amenazas más críticas puede generar confianza y obtener apoyo continuo de los ejecutivos, ayudando a fortalecer la seguridad de la empresa.
Takeaways
- 😀 Los marcos de seguridad como NIST y CIS son útiles, pero los CISOs deben crear marcos personalizados que se ajusten a los riesgos específicos de su organización.
- 😀 La evaluación de riesgos debe equilibrar los enfoques cualitativo y cuantitativo, con el análisis cualitativo para una evaluación rápida y el cuantitativo para los riesgos más críticos.
- 😀 Los CISOs deben realizar pruebas de seguridad continuas para identificar vulnerabilidades antes de que sean explotadas, especialmente en entornos dinámicos como DevOps.
- 😀 La comunicación con los ejecutivos debe ser clara y centrada en el impacto financiero de los riesgos, no en jerga técnica. Los ejecutivos desean ver el costo de no actuar y el costo de mitigar un riesgo.
- 😀 Un CISO debe presentar sus evaluaciones de riesgos en un formato simple, con solo 5 diapositivas, destacando los riesgos clave, la probabilidad de ocurrencia, el costo si se materializa y los costos para mitigar.
- 😀 Los CISOs deben priorizar y mostrar una hoja de ruta clara a los ejecutivos, abordando primero los tres riesgos más importantes y destacando que hay más riesgos para abordar en el futuro.
- 😀 Pedir un presupuesto excesivo sin proporcionar contexto o justificación a menudo lleva a la desconfianza de los ejecutivos. Los CISOs deben ser transparentes sobre las prioridades de seguridad y los costos involucrados.
- 😀 Los CISOs exitosos hablan el 'lenguaje' de los ejecutivos: se centran en el costo de los riesgos y la seguridad en términos financieros, no técnicos.
- 😀 Los CISOs deben evitar sobrecargar a los ejecutivos con diapositivas largas o detalles técnicos complejos. En lugar de eso, deben usar gráficos simples y directos.
- 😀 Cuando un CISO presenta sus riesgos a los ejecutivos, debe asegurarse de que los ejecutivos puedan entender rápidamente el impacto y el valor de cada inversión en seguridad, asegurando que se alineen con las prioridades del negocio.
Q & A
¿Por qué la mayoría de los CISOs obtienen el presupuesto sin proporcionar análisis o datos detallados?
-Los CISOs suelen obtener el presupuesto solicitando una única herramienta o solución, como un sistema de gestión de información de seguridad, sin presentar un análisis completo o un plan detallado. Los ejecutivos tienden a aprobar estos presupuestos de forma inmediata porque saben que la seguridad es una prioridad, pero no están informados sobre el panorama completo de las necesidades de seguridad.
¿Cuál es el problema de pedir un único elemento de seguridad sin mostrar más riesgos?
-El problema es que los ejecutivos pueden asumir que al aprobar esa única solución, como el sistema de gestión de seguridad, la organización estará completamente segura, lo cual no es el caso. Esta falta de contexto puede llevar a la frustración cuando se hacen más solicitudes de presupuesto en el futuro.
¿Cómo cambia la percepción de los ejecutivos cuando un CISO solicita más presupuesto en el futuro?
-Cuando un CISO solicita más presupuesto en el futuro, como por ejemplo $600,000 para una solución de prevención de pérdida de datos (DLP), los ejecutivos pueden sentirse frustrados y escépticos, ya que podrían pensar que fueron engañados al haberles dicho que la primera inversión cubriría todas las necesidades de seguridad.
¿Qué estrategia propone el experto para que los CISOs obtengan el presupuesto necesario para seguridad?
-El experto sugiere que los CISOs presenten un plan con varios riesgos críticos, no solo uno. Al mostrar una lista de 9 elementos importantes pero enfocarse solo en las 3 principales prioridades, demuestran que hay más riesgos a abordar, lo que crea transparencia y permite a los ejecutivos ver una visión más completa de la situación.
¿Cuál es el principal lenguaje que los ejecutivos, especialmente los CEOs, entienden cuando un CISO presenta una solicitud de presupuesto?
-El lenguaje principal que los ejecutivos entienden es el del dinero. Quieren saber el riesgo de cada problema, la probabilidad de que ocurra, el costo si ocurre y el costo para corregirlo. Los CISOs deben ser capaces de presentar estos datos de forma clara y sencilla para que los ejecutivos puedan tomar decisiones informadas.
¿Por qué es importante que los CISOs limiten el número de diapositivas en sus presentaciones a los ejecutivos?
-Limitar las diapositivas es crucial porque los ejecutivos no tienen tiempo ni paciencia para presentaciones largas. Si un CISO presenta más de cinco diapositivas, los ejecutivos probablemente se distraigan y pierdan interés, lo que disminuye el impacto de la presentación.
¿Qué debe hacer un CISO si durante una presentación los ejecutivos comienzan a mirar sus teléfonos móviles?
-Si los ejecutivos comienzan a mirar sus teléfonos durante la presentación, el CISO debe interrumpir inmediatamente la presentación. Esto es una señal clara de que la audiencia no está interesada ni valorando lo que se está diciendo.
¿Cómo puede un CISO demostrar que entiende tanto la seguridad como las necesidades del negocio?
-Un CISO puede demostrar su comprensión del negocio priorizando los riesgos más importantes y explicando por qué es necesario abordar primero los elementos clave. Al hacerlo, muestra que entiende las limitaciones de presupuesto y recursos, y que está tomando decisiones estratégicas para proteger la organización de manera eficiente.
¿Qué consideran los ejecutivos como un defecto en la forma en que muchos CISOs manejan la seguridad?
-Los ejecutivos se frustran cuando los CISOs no entienden cómo balancear la seguridad con las prioridades comerciales. Muchos CISOs tienden a gastar todo el presupuesto disponible en soluciones de seguridad sin priorizar correctamente, lo que genera preocupación entre los ejecutivos por el gasto desmedido.
¿Cuál es el mayor beneficio de presentar un plan de seguridad con varias opciones de riesgos y soluciones?
-El mayor beneficio es que los ejecutivos pueden ver una imagen completa de los riesgos que enfrenta la organización. Al presentar una lista con varios riesgos y sugerir soluciones prioritarias, el CISO demuestra transparencia y la capacidad de tomar decisiones informadas y estratégicas, lo que genera confianza entre los ejecutivos.
Outlines
This section is available to paid users only. Please upgrade to access this part.
Upgrade NowMindmap
This section is available to paid users only. Please upgrade to access this part.
Upgrade NowKeywords
This section is available to paid users only. Please upgrade to access this part.
Upgrade NowHighlights
This section is available to paid users only. Please upgrade to access this part.
Upgrade NowTranscripts
This section is available to paid users only. Please upgrade to access this part.
Upgrade NowBrowse More Related Video
Are You Running Like a Gazelle or a Lion?
What it REALLY means to be a Chief Information Security Officer | What is a CISO?
Why I Wrote Cyber Crisis | Protecting Your Business from Real Threats in the Virtual World
How do you define cybersecurity?
Make the boat go faster: The Olympic team strategy that you can apply to your life
Focus On The Problem NOT The Solution
5.0 / 5 (0 votes)
