How to Prevent Cyber Attacks in 2021 (3 Ninja Tricks for CISO's)

Dr Eric Cole
4 Feb 202131:35

Summary

TLDREl CISO (Chief Information Security Officer) debe ser estratégico al presentar los riesgos a la alta dirección y la junta directiva. A través de preguntas clave sobre el valor, beneficio, riesgo y exposición, el CISO puede alinear las decisiones de seguridad con los objetivos del negocio. Es esencial realizar evaluaciones de riesgos trimestrales para abordar las vulnerabilidades más críticas. Al presentar a la junta, se debe simplificar la información, enfocándose en los costos asociados con los riesgos y su mitigación. El enfoque debe ser priorizar, no tratar de solucionar todos los problemas de seguridad a la vez.

Takeaways

  • 😀 La gestión de riesgos de ciberseguridad debe ser clara y comunicada a la junta directiva para garantizar que los riesgos sean comprendidos y se tomen decisiones informadas.
  • 😀 Los CISOs deben asegurarse de que los ejecutivos acepten la responsabilidad por los riesgos, presentando cualquier decisión de alto riesgo a la junta para su conocimiento.
  • 😀 Cuando los ejecutivos aprueban excepciones en la postura de riesgos de la empresa, es necesario revisar y ajustar la postura de riesgos para evitar contradicciones.
  • 😀 La clave para gestionar el riesgo es realizar una evaluación estratégica de riesgos cada trimestre, identificando las amenazas y vulnerabilidades más críticas para la empresa.
  • 😀 Las evaluaciones de riesgos deben centrarse en los activos más críticos, como los datos esenciales y los procesos de negocio más importantes.
  • 😀 Priorizar las vulnerabilidades con el mayor impacto es esencial para mitigar los riesgos más críticos de manera eficiente.
  • 😀 Presentar riesgos a la junta en un formato claro de una sola página, con cuatro columnas clave: riesgo, probabilidad, costo si ocurre y costo para solucionarlo.
  • 😀 Al presentar riesgos, es importante mostrar una lista más amplia (por ejemplo, 12 riesgos) para demostrar que se tiene una visión completa, no solo una lista limitada de 4.
  • 😀 Al mostrar más riesgos, también se demuestra la capacidad del CISO para priorizar y gestionar los riesgos de manera efectiva, evitando que la junta piense que se puede arreglar todo con solo un presupuesto limitado.
  • 😀 Los CISOs deben ser estratégicos y centrarse en los riesgos que más impactan al negocio, no solo en los problemas técnicos, para garantizar que los recursos se utilicen correctamente.
  • 😀 Los CISOs deben hacer preguntas clave como: ¿Cuál es el valor y beneficio de mitigar este riesgo? y ¿Cuál es el riesgo y la exposición si no lo mitigamos?

Q & A

  • ¿Qué debe hacer un CISO cuando un ejecutivo decide aceptar un riesgo fuera de la tolerancia de la empresa?

    -El CISO debe presentar esa decisión ante la junta directiva, asegurándose de que todos estén al tanto de que se está transfiriendo el riesgo a la parte ejecutiva que lo ha aceptado. Aunque el ejecutivo tiene el derecho de tomar esa decisión, el CISO tiene la responsabilidad de informar a la junta.

  • ¿Por qué es importante presentar los riesgos a la junta en un formato simple y directo?

    -Es importante porque los ejecutivos no están interesados en detalles técnicos complejos. Se enfocan en el impacto financiero del riesgo. Un formato claro con columnas como el riesgo, la probabilidad de ocurrencia, el costo si ocurre y el costo para mitigar el riesgo permite tomar decisiones informadas rápidamente.

  • ¿Qué significa 'transferencia de riesgo' y cómo se maneja dentro de una empresa?

    -La transferencia de riesgo se refiere a cuando una parte de la empresa decide aceptar un riesgo que está fuera de la tolerancia de la organización. El CISO debe asegurarse de que la junta esté al tanto de estas decisiones, presentando los riesgos aceptados para que se comprendan y gestionen adecuadamente.

  • ¿Cómo debe un CISO realizar una evaluación de riesgos estratégica trimestral?

    -El CISO debe revisar y priorizar los datos y procesos comerciales críticos de la empresa, identificar las amenazas con mayor probabilidad de causar daños y evaluar las vulnerabilidades que impactan esos activos críticos. Este ejercicio se realiza cada trimestre para asegurarse de que se aborden las áreas de mayor riesgo.

  • ¿Qué elementos deben incluirse en la presentación trimestral de evaluación de riesgos?

    -La presentación debe incluir tres columnas: 1) Datos y procesos críticos, 2) Amenazas con mayor probabilidad de causar daños, y 3) Vulnerabilidades con mayor impacto en esos datos y procesos. Esto debe ser un enfoque de 5 o 6 elementos, priorizando los más importantes.

  • ¿Por qué se recomienda presentar más riesgos de los que se están proponiendo para solucionar?

    -Presentar más riesgos de los que se proponen para abordar ayuda a demostrar que el CISO entiende la magnitud del problema y la necesidad de priorización. Además, muestra que se están tomando en cuenta otros riesgos, lo que ayuda a evitar que los ejecutivos asuman que si se financian los propuestos, todos los riesgos estarán solucionados.

  • ¿Cuál es el principal enfoque de un CISO de clase mundial en la gestión de riesgos?

    -El CISO de clase mundial se enfoca en ser estratégico, asegurándose de hacer las preguntas correctas sobre el valor y el riesgo de las decisiones, priorizando lo que realmente importa para la organización y alineando las soluciones con los objetivos empresariales generales.

  • ¿Cómo debe un CISO manejar las críticas de los ejecutivos que prefieren el modelo antiguo de gestión de riesgos?

    -El CISO debe ser firme en su enfoque de gestión de riesgos, explicando que no es negociable no seguir la postura de riesgo de la organización. Si un ejecutivo insiste en una decisión arriesgada, el CISO debe asegurarse de que la junta esté informada, y si la postura de riesgo necesita ajustarse, debe proponer una modificación formal.

  • ¿Cuál es el propósito de hacer una 'evaluación de riesgos mini' cada trimestre?

    -La evaluación de riesgos mini cada trimestre permite al CISO revisar y ajustar las prioridades de la empresa en relación a los activos más críticos, las amenazas más probables y las vulnerabilidades más impactantes. Esto asegura que los esfuerzos de seguridad se mantengan alineados con los mayores riesgos para la empresa.

  • ¿Qué debe incluir una presentación de riesgos a la junta directiva?

    -Una presentación eficaz a la junta debe incluir una diapositiva con cuatro columnas: el riesgo, la probabilidad de que ocurra, el costo si ocurre y el costo para solucionarlo. Este formato simplificado asegura que los ejecutivos comprendan rápidamente el impacto financiero de cada riesgo y puedan tomar decisiones informadas.

Outlines

plate

This section is available to paid users only. Please upgrade to access this part.

Upgrade Now

Mindmap

plate

This section is available to paid users only. Please upgrade to access this part.

Upgrade Now

Keywords

plate

This section is available to paid users only. Please upgrade to access this part.

Upgrade Now

Highlights

plate

This section is available to paid users only. Please upgrade to access this part.

Upgrade Now

Transcripts

plate

This section is available to paid users only. Please upgrade to access this part.

Upgrade Now

Browse More Related Video

The Top Responsibilities of a Chief Information Security Officer | Life of a CISO

(Q&A) Chief Information Security Officer: Roles and Responsibilities

Why you need to be a translator

Top 10 Dos and Don'ts of Successful Chief Information Security Officers

How to Develop a Growth Mindset | Life of a CISO

If you want to be a World Class CISO, you need to have a seat at the table

Rate This

5.0 / 5 (0 votes)

Summary
Outlines
Mindmap
Keywords
Highlights
Transcripts
Related Tags
CISOgestión de riesgosestrategias de seguridadevaluación de riesgospresentación ejecutivaciberseguridadriesgos empresarialesbeneficios de seguridadtomadores de decisionesdirectiva corporativa
Do you need a summary in English?