WHY SHOULD CISOS EMBRACE ALL DATA BREACHES?

Dr Eric Cole

2 Feb 202331:36

Summary

TLDREste video se centra en las realidades de la ciberseguridad, destacando la importancia de que los CISOs y los líderes de seguridad sean honestos sobre la inevitabilidad de las brechas. En lugar de prometer una seguridad perfecta, se debe aceptar que los incidentes ocurrirán y preparar a las organizaciones para detectarlos y mitigarlos eficazmente. El enfoque está en tener conversaciones claras con los ejecutivos, ajustando expectativas según los recursos disponibles, y reconociendo que la seguridad cibernética no es una tarea sencilla ni libre de riesgos, sino un proceso continuo de adaptación y respuesta.

Takeaways

😀 Los CISOs deben aceptar la inevitabilidad de las brechas de seguridad y ser realistas sobre lo que pueden lograr con los recursos disponibles.
😀 Las promesas de seguridad 'cero brechas' son irreales y crean estrés innecesario, tanto para los equipos de seguridad como para los ejecutivos.
😀 Es importante tener conversaciones abiertas y honestas con los ejecutivos sobre los riesgos de ciberseguridad y lo que realmente se puede hacer con el presupuesto disponible.
😀 La analogía de 'seguridad de nivel Bugatti con un presupuesto de Honda' ilustra el desacuerdo entre las expectativas y los recursos reales para la ciberseguridad.
😀 El enfoque de los CISOs debe ser sobre la detección de brechas y la mitigación de daños, no sobre evitar por completo los ataques.
😀 Los ejecutivos prefieren que los CISOs les digan la verdad sobre la seguridad cibernética, incluso si significa admitir que se producirán brechas.
😀 La seguridad cibernética es un juego de detección, no de prevención. Es más importante saber detectar y mitigar las brechas que prevenirlas por completo.
😀 No se debe prometer un nivel de seguridad inalcanzable, ya que esto crea falsas expectativas y da lugar a frustraciones cuando no se cumplen.
😀 Las organizaciones deberían asumir un número acordado de brechas, basándose en el presupuesto actual para seguridad, y trabajar para reducir el impacto de esas brechas.
😀 Si un CISO es despedido por decir la verdad sobre las brechas, entonces probablemente no esté en la organización correcta, ya que las brechas son inevitables y no se pueden prevenir al 100%.

Q & A

¿Por qué es un error prometer una seguridad de 'cero brechas' sin recursos adecuados?
-Es un error porque la promesa de 'cero brechas' no es realista ni alcanzable con un presupuesto limitado. Si no se asignan los recursos necesarios, las expectativas se desalinean con la realidad, creando presión innecesaria y estrés para los equipos de seguridad.
¿Qué significa la frase 'seguridad Bugatti con un presupuesto de Honda'?
-La frase compara la expectativa de una seguridad de primer nivel (un Bugatti) con un presupuesto muy limitado (un Honda). En otras palabras, intenta ilustrar que no se puede obtener lo mejor de la seguridad si el dinero disponible no es suficiente.
¿Por qué los CISOs suelen sobreprometer y no pedir recursos suficientes?
-Los CISOs a menudo sobreprometen debido a la presión de cumplir con las expectativas de los ejecutivos. Sin embargo, no siempre solicitan los recursos necesarios porque temen que se perciban como incompetentes o que se les retire el apoyo.
¿Por qué es importante que los CISOs sean honestos con los ejecutivos sobre las brechas de seguridad?
-Es crucial que los CISOs sean honestos porque los ejecutivos deben comprender la verdadera naturaleza de los riesgos. Decirles la verdad sobre el número de brechas esperadas y el impacto potencial les permite tomar decisiones informadas sobre cómo gestionar y financiar la seguridad.
¿Cuál es la diferencia entre la expectativa de 'cero brechas' y la realidad de 'algunas brechas'?
-La expectativa de 'cero brechas' no es práctica ni razonable. Las brechas de seguridad son inevitables, por lo que la verdadera estrategia debe incluir la posibilidad de que ocurran brechas, gestionando su impacto y minimizándolas, en lugar de aspirar a una seguridad perfecta.
¿Cómo puede un CISO comunicar adecuadamente la tolerancia a las brechas a los ejecutivos?
-Un CISO debe ser claro y directo, diciendo algo como: 'Con el presupuesto actual, podemos esperar hasta X brechas al año, lo que podría costar Y millones. Si superamos esa cifra, debemos reconsiderar el enfoque y los recursos'. Es fundamental establecer una conversación basada en la realidad.
¿Qué pasaría si un CISO es despedido después de ser honesto sobre las brechas de seguridad?
-Si un CISO es despedido por ser honesto sobre la inevitabilidad de las brechas, eso podría indicar que la cultura de la empresa no está lista para enfrentar la realidad. Sin embargo, el despido sería solo una posposición de lo inevitable, ya que las brechas ocurrirán de todos modos.
¿Qué deben hacer los ejecutivos si los CISOs les dicen la verdad sobre las brechas?
-Los ejecutivos deben estar preparados para tomar decisiones basadas en la información real. Si los CISOs proporcionan datos claros sobre las brechas esperadas y sus costos, los ejecutivos pueden decidir si es necesario aumentar el presupuesto de seguridad o cambiar la estrategia.
¿Por qué los CISOs deberían 'abrazar la brecha' en lugar de temerla?
-Los CISOs deben 'abrazar la brecha' porque esto les permite gestionar la seguridad de manera más efectiva. En lugar de ocultar las brechas, deben centrarse en cómo prevenirlas, detectarlas a tiempo y reducir su impacto, manteniendo expectativas realistas.
¿Qué mensaje final transmite Eric Cole sobre la gestión de la seguridad y las brechas?
-Eric Cole transmite que la seguridad perfecta no es posible, y que los CISOs deben ser transparentes sobre las brechas inevitables. Abrazar la realidad y gestionar las brechas de manera efectiva es esencial para tener un programa de seguridad exitoso. La honestidad y la transparencia con los ejecutivos son clave para tomar decisiones informadas.