6 cosas que todo CISO debe hacer los primeros 90 días en el trabajo

No hace mucho tiempo, el rol de director de seguridad de la información era un puesto puramente técnico diseñado para ayudar a una organización a superar los desafíos de ciberseguridad. Hoy, sin embargo, el rol de CISO ha evolucionado — crecer tanto en responsabilidad como en estatura dentro de una empresa. El CISO es ahora un miembro fundamental del equipo ejecutivo, responsable de vincular no solo la ciberseguridad, sino también la gestión general de riesgos, con la estrategia y las operaciones comerciales de la empresa.

El CISO moderno está involucrado en la toma de decisiones estratégicas, por ejemplo, asegurando que la empresa adopte de manera segura la transformación digital mientras asegura a la junta, los clientes y los inversores que las capacidades y defensas cibernéticas están activas y evolucionando con las amenazas actuales. Y son responsables de aprovechar las personas, los procesos y las tecnologías para permitir que su organización cumpla con sus objetivos comerciales generales de manera segura.

Dada esta evolución en las responsabilidades, los primeros 90 días en el trabajo de un CISO deberían verse muy diferentes hoy que hace varios años.

Los primeros 90 días

Si bien muchos CISO desean demostrar valor de inmediato participando con grandes ideas y proyectos desde el primer día, podrán tener un impacto mucho mayor a largo plazo si primero se toman el tiempo para comprender la misión, los valores y el negocio de la empresa. objetivos También necesitan ponerse al día sobre las actividades principales, los productos, los servicios, la investigación y el desarrollo, la propiedad intelectual y los planes de fusión y adquisición. Y deben comprender todos los problemas potenciales, las infracciones anteriores, las obligaciones regulatorias o externas y la deuda técnica existente.

Con esto en mente, aquí hay algunas recomendaciones sobre cuál debe ser el enfoque de un CISO durante sus primeros 90 días en el trabajo.

Obtenga una comprensión de la misión y la cultura más amplias de la organización

El primer día, comience a implementar una colección de técnicas de entrevista e interrogatorio con el objetivo de comprender el negocio, sus propósitos y sus prioridades. Entreviste a sus empleados, líderes empresariales de nivel medio y clientes para tener una idea de todas las partes interesadas clave, los puntos débiles iniciales y qué tan madura es la cultura de ciberseguridad dentro de la organización. Finalmente, interrogue amablemente a sus socios, proveedores y vendedores para determinar quién solo vende y quién es un asesor de confianza. Pasar por este proceso abrirá líneas de comunicación, descubrirá desafíos y ayudará a construir un plan de acción y una hoja de ruta de 90 días.

Identificar las joyas de la corona

Determine qué datos y sistemas sustentan la misión estratégica y las competencias básicas de la empresa, representan la propiedad intelectual, diferencian a la empresa de sus competidores o respaldan los principales segmentos de clientes o líneas de ingresos. Estas joyas de la corona son los activos digitales que tienen más probabilidades de ser el objetivo de los actores de amenazas y, por lo tanto, deben acelerar sus esfuerzos de higiene cibernética. Si el C-suite y la junta entienden estas áreas críticas, pueden decirle su apetito por el riesgo y usted puede implementar estrategias de seguridad en consecuencia.

Desarrolle un plan basado en el panorama comercial y de TI actual de la empresa

Una vez que se identifiquen y prioricen los activos, desarrolle un plan de gestión de riesgos por escrito con listas de verificación para los entregables, la estructura y la comunicación entre las partes interesadas clave internas y externas. En este último punto, el CISO siempre debe actuar como intermediario de información y como socio de todos los tomadores de decisiones clave de la organización. Una forma efectiva de hacer esto es establecer una comunicación formal e informal con estos roles, para que la organización pueda avanzar estratégicamente.

Domina lo básico

Se necesitan muchas tecnologías para asegurar la empresa moderna, pero hay algunas imprescindibles que deben implementarse de inmediato, si aún no lo han hecho. Estos son controles básicos, incluida la gestión de vulnerabilidades y las defensas antimalware para el endpoint, y controles no negociables, incluida la autenticación multifactor, el cifrado de datos confidenciales, la lista blanca de aplicaciones, el monitoreo de seguridad las 24 horas, los 7 días de la semana, el monitoreo de la integridad de los archivos, la administración de acceso privilegiado, la segmentación de la red. , prevención de pérdida de datos y una evaluación rigurosa y función de auditoría conectada con estrategias de parches y vulnerabilidades.

Implementar puntos de referencia

Demostrar el valor de los planes, procesos y tecnologías de seguridad al C-suite, los ejecutivos de la unidad de negocios y la junta directiva al implementar puntos de referencia y evaluaciones de madurez que muestran cómo la empresa se compara con los competidores, cómo las estrategias de seguridad se comparan con las mejores prácticas y marcos de trabajo de la industria, y cómo las iniciativas de seguridad permiten que la empresa tenga operaciones seguras.

Siempre trate la seguridad como un problema comercial

Los incidentes de seguridad pueden tener innumerables consecuencias para el negocio y, por el contrario, una seguridad sólida puede ayudar al negocio a tener éxito de manera segura. Por eso es tan importante que los equipos de TI y seguridad permanezcan siempre integrados con el lado comercial de la organización. Como parte de esto, asegure la comunicación y la colaboración continuas entre los líderes ejecutivos, la junta directiva y los líderes de seguridad. Cuando la gerencia comprenda los riesgos comerciales que plantean las amenazas de seguridad cibernética, será más probable que preste atención y participe en los esfuerzos de seguridad.

Al final de los primeros 90 días, un CISO debería poder responder preguntas como: ¿Qué tan bien protegida está la organización? ¿Cuál es la madurez de nuestra capacidad en comparación con los marcos estándar de la industria? ¿Cuáles son nuestras vulnerabilidades más críticas y escenarios de riesgo cibernético? ¿Qué datos son más importantes para la organización? ¿Qué riesgos de datos podrían tener el impacto negativo más significativo en la organización? ¿Y qué se necesita para mejorar la postura de seguridad de la organización? ¿Tenemos una hoja de ruta?

Si bien esto puede parecer mucho para llegar al fondo en un período de tres meses, seguir estos seis pasos preparará a su empresa para la seguridad y el éxito comercial a corto y largo plazo.

Inteligencia de datos generativa

6 cosas que todo CISO debe hacer los primeros 90 días en el trabajo

Los primeros 90 días

Obtenga una comprensión de la misión y la cultura más amplias de la organización

Identificar las joyas de la corona

Desarrolle un plan basado en el panorama comercial y de TI actual de la empresa

Domina lo básico

Implementar puntos de referencia

Siempre trate la seguridad como un problema comercial

Biden promete matar a Bill para retractarse de la política bancaria criptográfica de la SEC – Decrypt

El director ejecutivo de Binance expone a las autoridades nigerianas: exige la liberación inmediata del ejecutivo detenido

Información más reciente

La SEC quiere algo más que una 'palmada en la muñeca' contra Ripple – Decrypt

La SEC quiere algo más que una 'palmada en la muñeca' contra Ripple – Decrypt

Nigeria afirma que las acusaciones de soborno de Binance son un "chantaje"

La pelea de monedas Meme Shark Cat Solana termina sin batalla legal – Decrypt

Solicitud de ETF de Ether Futures de Grayscale retirada, motivo no revelado

La administración de Biden vetará la anulación de las controvertidas normas criptográficas de la SEC