What Questions Should CISOs Ask?

Dr Eric Cole

30 Sept 202124:28

Summary

TLDREn este episodio de *Life of CISO*, el Dr. Eric Cole destaca la importancia de que los CISOs piensen estratégicamente y comprendan cómo la ciberseguridad debe integrarse con los objetivos empresariales. A través de preguntas clave sobre los riesgos y la exposición a amenazas, los CISOs deben garantizar que la seguridad no solo proteja los datos, sino que también habilite el negocio. Cole subraya la necesidad de crear soluciones personalizadas, establecer guardrails y comunicar de manera efectiva con los ejecutivos, todo mientras se equilibra la seguridad con la funcionalidad empresarial.

Takeaways

😀 La ciberseguridad no es solo un desafío técnico, sino un problema estratégico de negocio. Un CISO de clase mundial debe entender el contexto empresarial y ver la seguridad como una habilitadora de negocios, no como un obstáculo.
😀 Los CISOs deben formular preguntas clave para entender la percepción de la ciberseguridad dentro de la organización, como: '¿Cómo ve su empresa la ciberseguridad?' y '¿Qué riesgos y exposiciones clave existen para el negocio?'
😀 La diferencia entre TI y ciberseguridad es clara: TI se enfoca en la tecnología y la operación diaria, mientras que la ciberseguridad es estratégica y requiere la participación de toda la organización.
😀 Cada individuo en la organización debe ser consciente de que la seguridad es responsabilidad de todos, no solo del equipo de TI o de seguridad.
😀 Un CISO debe comprender el modelo de negocio de la empresa para protegerla adecuadamente, sabiendo cómo genera dinero y cuáles son los procesos críticos de negocio que impulsan los ingresos.
😀 La ciberseguridad debe equilibrar el riesgo y la funcionalidad. No se trata de eliminar todos los riesgos, sino de reducirlos a niveles aceptables sin interrumpir las operaciones del negocio.
😀 La comunicación con los ejecutivos debe ser clara y en términos que comprendan. Los CISOs deben evitar el lenguaje técnico y presentar los riesgos de manera que los líderes empresariales puedan tomar decisiones informadas.
😀 Los CISOs deben priorizar las inversiones en seguridad basándose en una evaluación clara de los riesgos, no solo en la compra de tecnología. Presentar opciones con diferentes niveles de inversión y reducción de riesgos es crucial.
😀 Es fundamental tener guardrails de seguridad, como asegurarse de que los sistemas críticos estén actualizados y no accesibles desde internet sin la debida protección.
😀 La mentalidad correcta para los empleados es preguntar siempre dos cosas antes de tomar decisiones: '¿Cuál es el valor y beneficio?' y '¿Cuál es el riesgo y la exposición?' Esto ayuda a tomar decisiones informadas que no comprometan la seguridad del negocio.

Q & A

¿Por qué es importante que un CISO entienda el negocio de la organización?
-Un CISO debe entender el negocio para garantizar que la ciberseguridad no impacte negativamente en la capacidad de la organización para generar ingresos. La ciberseguridad debe ser un habilitador del negocio y no solo un problema técnico.
¿Cómo debería un CISO involucrar a toda la organización en la ciberseguridad?
-El CISO debe promover una cultura de ciberseguridad en la que todos los empleados piensen en términos de riesgos y beneficios al tomar decisiones. Esto implica educar a los empleados sobre la importancia de la seguridad y asegurarse de que sigan procedimientos seguros.
¿Cuál es la diferencia entre ciberseguridad y tecnología en términos de un CISO?
-La ciberseguridad es un problema estratégico relacionado con los negocios, mientras que la tecnología, aunque necesaria, es un problema más técnico. Los CISOs deben integrar la ciberseguridad en la estrategia empresarial global, no solo centrarse en los aspectos tecnológicos.
¿Por qué la ciberseguridad debe ser vista como un habilitador del negocio?
-La ciberseguridad debe permitir a la organización operar de manera segura sin que las medidas de seguridad afecten la funcionalidad o el rendimiento del negocio. Un enfoque adecuado ayuda a reducir riesgos sin limitar las capacidades operativas.
¿Qué deben hacer los empleados cuando se enfrentan a correos electrónicos o enlaces potencialmente maliciosos?
-Los empleados deben tener herramientas proporcionadas por el departamento de ciberseguridad para evaluar si deben abrir un correo electrónico o hacer clic en un enlace. Estas herramientas les ayudan a tomar decisiones informadas y reducir el riesgo de comprometer la seguridad.
¿Cómo un CISO puede ayudar a los ejecutivos a comprender los riesgos cibernéticos?
-Un CISO debe presentar los riesgos cibernéticos en términos comprensibles para los ejecutivos, utilizando datos claros y mostrando las opciones disponibles. Esto permite a los ejecutivos tomar decisiones informadas sobre cómo gestionar los riesgos.
¿Qué significa la 'ley de la seguridad' mencionada en el podcast?
-La 'ley de la seguridad' es que cada vez que se agrega funcionalidad a un sistema, se disminuye la seguridad. Esto significa que aumentar las capacidades operativas de un sistema también aumenta el riesgo de vulnerabilidades.
¿Por qué es esencial que los CISOs pidan más de lo que están solicitando en términos de recursos o acciones?
-Es importante presentar más opciones de las necesarias para demostrar que se están priorizando los riesgos de manera efectiva. Esto muestra que el CISO tiene en cuenta el negocio y está alineado con los objetivos organizacionales.
¿Cuál es la importancia de entender las tres principales amenazas a la seguridad de una organización?
-Comprender las tres amenazas principales, es decir, la divulgación, alteración o denegación de acceso a los datos críticos, permite a los CISOs evaluar los riesgos más significativos para la organización y tomar decisiones basadas en el impacto y la probabilidad de estos riesgos.
¿Qué debe hacer un CISO cuando una organización tiene múltiples riesgos cibernéticos?
-El CISO debe priorizar los riesgos según su probabilidad de ocurrir y su impacto en el negocio. Esto ayuda a asignar recursos de manera efectiva y a presentar opciones claras a los ejecutivos para mitigar los riesgos más críticos.