3 Steps To Become A CISO (Chief Information Security Officer)

Dr Eric Cole
12 Nov 202030:13

Summary

TLDREn este episodio de *Life of a CISO*, el Dr. Eric Cole destaca tres factores clave para ser un CISO exitoso: 1) El CISO debe tener la misma autoridad que el CIO, evitando ser subordinado al área de TI; 2) Se deben establecer métricas claras de seguridad, como los ataques intentados, para medir el éxito; 3) Las unidades de negocio deben tener KPIs de seguridad que aseguren la responsabilidad compartida en la protección cibernética. El Dr. Cole enfatiza que solo implementando estos principios, un CISO puede garantizar la seguridad organizacional y mantener su puesto a largo plazo.

Takeaways

  • 😀 El CISO debe tener el mismo nivel de autoridad que el CIO para garantizar que la seguridad no sea ignorada en favor de la disponibilidad del sistema.
  • 😀 La seguridad no debe estar enterrada bajo el departamento de TI. El CISO debe ser una figura de alto nivel que reporte directamente a la junta o al CEO.
  • 😀 Los ataques cibernéticos deben ser medidos por un nuevo indicador: los 'intentos de ataque'. Esto ofrece una métrica positiva para evaluar el desempeño de la seguridad.
  • 😀 La mayoría de las métricas de seguridad actuales se enfocan en lo negativo, como vulnerabilidades no corregidas. Esto no es útil para mejorar proactivamente la seguridad.
  • 😀 Los KPIs (Indicadores Clave de Desempeño) de seguridad deben implementarse para cada unidad de negocio, asignando responsabilidad en lugar de solo autoridad.
  • 😀 Los departamentos de negocios deben ser responsables de seguir las políticas de seguridad y no simplemente delegar esta responsabilidad al CISO o al equipo de TI.
  • 😀 Los CISO deben educar al CEO y a los ejecutivos de la empresa sobre la importancia de tener una estrategia de seguridad alineada con los intereses comerciales.
  • 😀 El principal desafío de hoy en ciberseguridad es que los departamentos de negocio ignoran las políticas de seguridad mientras maximizan las ganancias sin consecuencias.
  • 😀 Una manera efectiva de responsabilizar a las unidades de negocio es vincular sus bonos a métricas de seguridad, como el éxito de las campañas de phishing.
  • 😀 La falta de responsabilidad de las unidades de negocio con la seguridad puede llevar a incidentes graves, como los ataques de ransomware, que pueden paralizar toda la empresa.
  • 😀 Para ser un CISO exitoso, es fundamental implementar una estructura de seguridad que sea comprensible y fácil de seguir, incluso si inicialmente los líderes de las unidades de negocio se resisten.

Q & A

  • ¿Por qué es importante que el CISO esté al mismo nivel que el CIO dentro de la organización?

    -Es crucial que el CISO esté al mismo nivel que el CIO porque el CISO es responsable de la confidencialidad, integridad y disponibilidad de los datos, mientras que el CIO se enfoca en la disponibilidad de los sistemas. Ambos roles deben tener igual autoridad para que sus prioridades no se vean comprometidas y para evitar que las decisiones de seguridad se vean subordinadas a las decisiones de TI.

  • ¿Qué se entiende por los 'cinco nueves de seguridad' (five nines of security)?

    -Los 'cinco nueves' de seguridad se refieren a la métrica que mide los intentos de ataque bloqueados. Mientras que en TI, los cinco nueves se refieren a la disponibilidad del sistema (99.999% de uptime), en seguridad, se refiere a cuántos intentos de ataque se han prevenido. Es un indicador más adecuado que la cantidad de brechas, porque la seguridad no debe verse solo como una tarea de prevenir incidentes, sino de gestionarlos adecuadamente.

  • ¿Por qué es un problema que los VPs de departamentos tengan autoridad sobre la seguridad pero no responsabilidad?

    -El problema es que los VPs pueden ignorar las políticas de seguridad sin consecuencias, lo que pone en riesgo a toda la organización. Mientras que ellos disfrutan de la autoridad y los beneficios económicos, los CISOs son los que asumen la responsabilidad y las consecuencias cuando ocurren incidentes. Esto crea un desequilibrio que dificulta la protección efectiva de la empresa.

  • ¿Qué ocurrió en el caso del cliente mencionado en el que se ignoraron las políticas de seguridad?

    -En este caso, un departamento que generaba grandes ganancias ignoraba las políticas de seguridad y permitió que sus empleados hicieran clic en archivos adjuntos maliciosos. A pesar de las advertencias del CISO, los líderes del departamento ignoraron los riesgos hasta que un empleado hizo clic en un archivo adjunto y se desató un ataque de ransomware que paralizó la empresa.

  • ¿Por qué el CISO fue despedido a pesar de haber advertido sobre los riesgos?

    -El CISO fue despedido porque la organización seguía una mentalidad errónea de que si ocurría un incidente, la culpa recaía únicamente sobre el CISO, incluso cuando las políticas no se aplicaban adecuadamente en los niveles inferiores. Esto muestra una desconexión entre la responsabilidad del CISO y la autoridad dentro de la organización.

  • ¿Qué se debe hacer para corregir el paradigma roto que existe en muchas organizaciones respecto a la seguridad?

    -Se debe garantizar que los responsables de los departamentos tengan tanto la autoridad como la responsabilidad en materia de seguridad. Esto se logra implementando KPIs de seguridad para todas las unidades de negocio, donde se les evalúe y se les haga responsables de su desempeño en cuanto a seguridad.

  • ¿Qué son los KPIs de seguridad y cómo ayudan a las unidades de negocio a mejorar la seguridad?

    -Los KPIs de seguridad son indicadores clave de rendimiento que permiten medir el nivel de cumplimiento de las políticas de seguridad en las unidades de negocio. Por ejemplo, el desempeño en campañas de phishing puede ser un KPI donde se recompensa a las unidades por mantener bajos los porcentajes de empleados que caen en los ataques de phishing. Esto incentiva la responsabilidad directa de cada unidad en la protección de la seguridad.

  • ¿Por qué los VPs de departamentos inicialmente luchan contra la implementación de KPIs de seguridad?

    -Los VPs luchan contra la implementación de estos KPIs porque les quita el control sobre la seguridad, ya que tendrían que asumir responsabilidad por los comportamientos de sus empleados. Además, estaban acostumbrados a un sistema en el que podían ignorar las políticas de seguridad sin consecuencias, lo que les resultaba ventajoso.

  • ¿Cómo se puede demostrar el valor de la seguridad dentro de una organización?

    -Se puede demostrar el valor de la seguridad mediante métricas claras como los intentos de ataque bloqueados o el rendimiento de las unidades de negocio en campañas de phishing. Estas métricas visibilizan los esfuerzos de seguridad y ayudan a justificar la inversión en medidas preventivas, mostrando que las amenazas están siendo gestionadas eficazmente.

  • ¿Cuál es el propósito de introducir campañas de phishing como KPIs dentro de una organización?

    -El propósito es medir y mejorar la concienciación sobre seguridad entre los empleados. Al hacer que las unidades de negocio sean responsables de los resultados de las campañas de phishing, se fomenta la adherencia a las políticas de seguridad. Si una unidad tiene buenos resultados (por ejemplo, menos del 3% de empleados hacen clic en enlaces maliciosos), se les recompensa, lo que incentiva una cultura de responsabilidad y colaboración en la seguridad.

Outlines

plate

This section is available to paid users only. Please upgrade to access this part.

Upgrade Now

Mindmap

plate

This section is available to paid users only. Please upgrade to access this part.

Upgrade Now

Keywords

plate

This section is available to paid users only. Please upgrade to access this part.

Upgrade Now

Highlights

plate

This section is available to paid users only. Please upgrade to access this part.

Upgrade Now

Transcripts

plate

This section is available to paid users only. Please upgrade to access this part.

Upgrade Now

Browse More Related Video

How to Prepare for a CISO Interview | CISO Interview Questions

Cybersecurity Engineer VS. CISO | The Questions You Must Ask Yourself To Be An Effective CISO

How to Develop a Growth Mindset | Life of a CISO

How to become a World Class CISO (Chief Information Security Officer) | Life of a CISO Episode 1

CISO V.S CEO: Why CISOs Need to Have a Seat at the Executive Table

Mental Exercises to Make You a World-Class CISO

Rate This

5.0 / 5 (0 votes)

Summary
Outlines
Mindmap
Keywords
Highlights
Transcripts
Related Tags
CISOCiberseguridadKPIs de seguridadMétricas de seguridadResponsabilidad corporativaSeguridad informáticaProtección de datosGestión de riesgosLiderazgo empresarialRansomwareCultura organizacional
Do you need a summary in English?