Why I Wrote Cyber Crisis | Protecting Your Business from Real Threats in the Virtual World

Dr Eric Cole
20 May 202127:37

Summary

TLDREn este video, Dr. Eric Cole destaca la importancia de que los líderes de ciberseguridad adopten un enfoque estratégico para proteger a las empresas. En lugar de centrarse solo en aspectos técnicos, insta a los CISOs y ejecutivos a comunicar los riesgos cibernéticos en términos de impacto empresarial, como costo y probabilidad. Cole también enfatiza que las soluciones simples, como mantener un inventario de activos y asegurar las conexiones externas, son fundamentales para mitigar los ataques. Además, destaca cómo presentar decisiones de inversión en ciberseguridad en términos claros y cuantificables puede asegurar el apoyo de los ejecutivos y proteger a las organizaciones.

Takeaways

  • 😀 La misión de Dr. Eric Cole es hacer de ciberespacio un lugar seguro, y su enfoque es educar sobre la importancia de la ciberseguridad y la conciencia organizacional.
  • 😀 La falta de comunicación entre los equipos técnicos de ciberseguridad y los ejecutivos es una de las razones principales por las cuales las organizaciones siguen siendo vulnerables a ciberataques.
  • 😀 Las brechas de seguridad más grandes suelen ocurrir debido a sistemas expuestos a Internet que no están correctamente parcheados y datos sensibles sin cifrar.
  • 😀 Para reducir las brechas de seguridad, las organizaciones deben cumplir con dos reglas clave: tener un inventario de sistemas accesibles desde Internet y asegurarse de que esos sistemas estén completamente parcheados y no contengan datos críticos.
  • 😀 La necesidad de más CISOs con mentalidad estratégica es fundamental, ya que muchos CISOs siguen siendo demasiado técnicos y no comunican eficazmente los riesgos en términos comerciales.
  • 😀 Los ejecutivos deben comprender la ciberseguridad en términos de negocios, no solo desde el punto de vista técnico. Los libros y recursos accesibles para ejecutivos son esenciales para mejorar este entendimiento.
  • 😀 Dr. Cole escribió el libro *Cyber Crisis* para ayudar a los ejecutivos a comprender la ciberseguridad en un lenguaje sencillo y comprensible, con ejemplos reales y datos precisos.
  • 😀 Los CISOs deben presentar opciones claras a los ejecutivos con base en datos comerciales: qué sucederá si no hacen nada (riesgo alto) y cuánto costará invertir en soluciones (riesgo reducido).
  • 😀 Presentar soluciones a los ejecutivos de forma concisa, con un solo slide que compare las opciones en términos de costos y probabilidades, es una forma efectiva de obtener su aprobación.
  • 😀 El enfoque de ciberseguridad debe ser un habilitador del negocio, no una carga. La ciberseguridad debe proteger la organización sin afectar negativamente las operaciones del día a día.
  • 😀 La capacitación en concienciación de los usuarios es importante, pero no es suficiente por sí sola. Es necesario implementar soluciones de filtrado y seguridad a nivel de puerta de enlace y endpoint para proteger contra ataques de phishing y ransomware.

Q & A

  • ¿Por qué los ejecutivos suelen no entender la importancia de la ciberseguridad?

    -Los ejecutivos a menudo no comprenden completamente los detalles técnicos de la ciberseguridad, lo que les lleva a no tomar decisiones adecuadas. Los CISOs deben traducir estos problemas a términos empresariales para que los líderes comprendan el impacto en los resultados financieros y el riesgo que enfrentan.

  • ¿Qué dos reglas clave deben seguir todas las organizaciones para prevenir infracciones cibernéticas?

    -Las dos reglas clave son: 1) Todos los sistemas visibles desde internet deben estar completamente actualizados. 2) Los sistemas expuestos no deben contener información crítica o sensible. Estas medidas básicas reducen significativamente los riesgos de ataques.

  • ¿Cómo debe un CISO presentar la ciberseguridad a los ejecutivos?

    -Un CISO debe presentar la ciberseguridad de forma sencilla y centrada en los negocios. Usar una diapositiva que muestre los costos potenciales de una infracción frente a la inversión en medidas preventivas, resaltando el impacto económico, es mucho más efectivo que entrar en detalles técnicos.

  • ¿Por qué es importante la perspectiva estratégica para los CISOs?

    -Los CISOs deben adoptar una mentalidad estratégica para poder comunicar el valor de las inversiones en seguridad de manera que los ejecutivos comprendan el riesgo y el retorno de la inversión. Esto asegura que las decisiones de ciberseguridad se alineen con los objetivos empresariales y no solo con las necesidades técnicas.

  • ¿Qué ocurrió cuando un CISO cambió su enfoque de presentación a los ejecutivos?

    -Al cambiar de un enfoque técnico a uno más centrado en los costos y los riesgos, el CISO consiguió aprobar un presupuesto de 700,000 dólares en 24 horas. Esto demuestra que, cuando los ejecutivos comprenden el impacto económico de las decisiones, están más dispuestos a invertir en ciberseguridad.

  • ¿Cuál es el error más común que cometen los CISOs al presentar sus necesidades a los ejecutivos?

    -El error más común es centrarse demasiado en los aspectos técnicos y no comunicar el riesgo en términos financieros y de negocio. Esto lleva a que los ejecutivos no perciban la necesidad urgente de la inversión en ciberseguridad.

  • ¿Qué rol juegan las estadísticas y datos en la toma de decisiones de ciberseguridad?

    -Los datos y las estadísticas son cruciales porque proporcionan una base objetiva para mostrar a los ejecutivos los riesgos reales. Presentar la probabilidad de un ataque y los costos potenciales ayuda a los líderes empresariales a tomar decisiones informadas sobre las inversiones en seguridad.

  • ¿Cómo cambia la dinámica de la ciberseguridad con la popularización de los dispositivos personales?

    -Con la proliferación de dispositivos personales como teléfonos móviles, las políticas de permitir el uso personal en dispositivos de trabajo ya no son válidas. Los empleados ahora tienen sus propios dispositivos para gestionar correos electrónicos personales y otras actividades, lo que reduce la necesidad de usar equipos de trabajo para fines no laborales.

  • ¿Por qué es importante considerar la experiencia del usuario al implementar medidas de ciberseguridad?

    -Aunque las soluciones de ciberseguridad puedan causar algunas molestias menores en la experiencia del usuario, es crucial equilibrar la seguridad con la operatividad. Invertir en medidas que reducen el riesgo de grandes pérdidas económicas justifica cualquier inconveniente menor.

  • ¿Qué ejemplos se dieron sobre cómo las organizaciones pueden prevenir ataques de phishing y ransomware?

    -Se sugirió la implementación de soluciones de filtrado en las puertas de enlace y en los puntos finales de la red. Aunque estas soluciones no son perfectas, pueden reducir significativamente el riesgo de ataques, incluso si causan una pequeña molestia a los usuarios.

Outlines

plate

This section is available to paid users only. Please upgrade to access this part.

Upgrade Now

Mindmap

plate

This section is available to paid users only. Please upgrade to access this part.

Upgrade Now

Keywords

plate

This section is available to paid users only. Please upgrade to access this part.

Upgrade Now

Highlights

plate

This section is available to paid users only. Please upgrade to access this part.

Upgrade Now

Transcripts

plate

This section is available to paid users only. Please upgrade to access this part.

Upgrade Now

Browse More Related Video

How to Develop The World Class Mindset of a World Class CISO

How to understand QUANTITATIVE and QUALITATIVE analysis in Cybersecurity

Making Executives Understand You

Why is your organization's security failing?

Why you need to be a translator

What Questions Should CISOs Ask?

Rate This

5.0 / 5 (0 votes)

Summary
Outlines
Mindmap
Keywords
Highlights
Transcripts
Related Tags
CiberseguridadCISOEstrategia empresarialGestión de riesgosDecisiones ejecutivasPhishingRansomwareEntrenamiento cibernéticoCrisis cibernéticaTransformación digitalPresentación efectiva
Do you need a summary in English?