La junta directiva lo verá ahora - Plato Data Intelligence

Durante más de 15 años, la industria de la ciberseguridad ha estado hablando de comunicarse con el Consejo de Administración. Es una práctica común que los proveedores tengan libros electrónicos, seminarios web y presentaciones sobre cómo y qué deben presentar los directores de seguridad de la información (CISO) a sus directorios, cuando tienen la oportunidad.

Junto con la falta de oportunidades, los CISO pueden sentir ansiedad por presentar ante la junta porque son los únicos ejecutivos de nivel C sin una herramienta propia para medir el retorno de la inversión. Desde Salesforce hasta Workday y Marketo, los ejecutivos de C-suite tienen soluciones de plataforma que agregan, analizan e informan sobre cada aspecto de la operación. No existe tal solución para el CISO, lo que dificulta medir el ROI del programa de seguridad o demostrar el valor comercial.

La ironía es que, a pesar de todo el interés en presentarles, decir que la seguridad cibernética no es una competencia central de la junta es quedarse corto. Investigación de ciberseguridad de WSJ Pro investigó los antecedentes profesionales de todos los miembros de la junta del S&P 500 y descubrió que menos del 2 % “tenía experiencia profesional relevante en ciberseguridad en los últimos 10 años”.

No importa quién seas, es difícil tener un gran interés en algo que no entiendes. Es decir, hasta que estés motivado para aprender. Lo que tenemos frente a nosotros ahora es un gran despertar para las juntas y la ciberseguridad, cortesía de la Comisión de Bolsa y Valores (SEC).

Según la Harvard Business Review, “una norma propuesta por la SEC requerirá que las empresas divulguen sus capacidades de gobernanza de la seguridad cibernética, incluida la supervisión del riesgo cibernético por parte de la junta, una descripción del rol de la administración en la evaluación y gestión de los riesgos cibernéticos, la experiencia relevante de dicha administración y el rol de la administración en la implementación de los riesgos cibernéticos de la compañía. políticas, procedimientos y estrategias de ciberseguridad”.

Esperaría que más juntas busquen ejecutivos experimentados con experiencia en ciberseguridad, comenzando ahora mismo. Mientras tanto, ¿qué significa esto para los CISO?

Una gran oportunidad

Con un interés repentino en la seguridad cibernética, pero poco conocimiento de ella, lo que los miembros de la junta quieren saber y lo que necesitan saber puede ser bastante diferente. Por ejemplo, centrarse demasiado en el último ataque de los titulares o centrarse demasiado en el cumplimiento. Al igual que enseñar para el examen, lograr el cumplimiento puede ser un buen paso en la dirección correcta, pero no siempre es lo mismo que esforzarse por implementar las mejores medidas de seguridad posibles. Cuando lograr el cumplimiento se convierte en el objetivo de seguridad en lugar de minimizar el riesgo y proteger los activos más críticos, nos hemos perdido el punto.

Qué oportunidad para el CISO de crear una narrativa de "ciberseguridad como habilitador de negocios" para su organización. Su lugar en la sala de juntas ya está asegurado. En lugar de una actualización única ocasional, ahora forma parte de la conversación empresarial de forma continua. Esta es una oportunidad para colocar la seguridad cibernética en el contexto de las decisiones comerciales que la junta entiende. Olvídese de los acrónimos y la charla técnica sobre amenazas, vulnerabilidades y ataques. Sea fluido en el idioma de los negocios y hable sobre las consecuencias cibernéticas de las decisiones comerciales que se toman todos los días.

El uso de aplicaciones SaaS que hacen que los empleados sean más productivos en un entorno de trabajo híbrido también deja a la organización más expuesta al riesgo, ya que los datos comerciales críticos ahora están bajo el control de un tercero. Las asociaciones comerciales que impulsan la expansión geográfica, que lanzan nuevas aplicaciones al mercado lo más rápido posible para capturar una participación de mercado, o que adquieren para escalar el equipo de ingeniería, tienen tremendas consecuencias en la seguridad cibernética. Por ejemplo, cuando adquiere una empresa, también hereda su superficie de ataque. No es solo un nuevo grupo de empleados el que necesita acceso a los recursos de la empresa, sino todos sus contratistas, socios, proveedores, etc. Es una red digital extendida y enredada de activos e implicaciones conectados.

Los líderes de seguridad harían bien en hacer tangible la ciberseguridad en un contexto empresarial. Como cualquier otra parte del negocio, hay que tomar decisiones y hacer concesiones que considerar, todo relacionado con cuál es el nivel aceptable de riesgo al que la organización está dispuesta a exponerse.

Automatización y Evidencia

Ante los ojos de la SEC, la junta necesita pruebas de los activos de los que es responsable y cómo se supervisan y protegen de forma proactiva. En caso de incumplimiento, ¿cuándo se enteró la junta y con qué rapidez respondió y reveló el incidente?

Comienza sabiendo lo que está protegiendo y cómo lo está haciendo. El descubrimiento de activos críticos se convierte en una competencia central que sustenta los esfuerzos de visibilidad, clasificación y remediación en un programa moderno de ciberseguridad. El descubrimiento y la clasificación deben automatizarse para manejar el tamaño, el movimiento y el crecimiento de los datos y los activos conectados a la empresa a través de nubes híbridas, socios de SaaS y cadenas de suministro digitales. La protección comienza con una visibilidad completa de esta superficie de ataque en expansión, incluidas todas las dependencias, conexiones y vulnerabilidades en todos los activos de cara al público. A partir de ahí, puede priorizar las protecciones contra las amenazas más críticas para sus activos más valiosos.

El descubrimiento automatizado también puede identificar activos que están inactivos, sin usar e innecesarios. De esa manera, pueden ser desmantelados de manera efectiva para reducir riesgo cibernético y atacar la expansión superficial al mismo tiempo.

Conclusión

Ahora no es el momento de educar a la junta sobre la diferencia entre malware y ransomware. Se trata de pintar una imagen completa del panorama de amenazas y los riesgos y exposiciones específicos que enfrenta la organización. Los CISO deben hablar sobre el programa de seguridad general y las iniciativas estratégicas para habilitar el negocio mientras miden y reducen el riesgo.

Ayude a la junta a comprender dónde es vulnerable el negocio, dónde terminan los controles y dónde comienza la exposición. ¿Cuáles son las consecuencias y las opciones de protección? Al final del día, la ciberseguridad es un desafío comercial, como aumentar los márgenes y la participación de mercado. Prioridades estratégicas e inversiones alineadas a los objetivos de negocio. Suena tan simple.

Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
Platoblockchain. Inteligencia del Metaverso Web3. Conocimiento amplificado. Accede Aquí.
Fuente: https://www.darkreading.com/risk/the-board-of-directors-will-see-you-now

Inteligencia de datos generativa

La Junta Directiva te verá ahora

Una gran oportunidad

Automatización y Evidencia

Conclusión

Las principales redes Ethereum Layer-2 adoptan Avail DA para aumentar la eficiencia y la seguridad del rollup

A pesar de la volatilidad del mercado, el “BTC por acción” de MicroStrategy alcanza niveles casi récord

Información más reciente

Es probable que la SEC niegue los ETF al contado de Ethereum en mayo: Reuters

Por qué las Memecoins son malas para la industria de las criptomonedas, explica el CTO de a16z

La asociación global SKALE y Virtualness reimagina la participación de los fanáticos en los deportes, los creadores y las empresas utilizando el poder de Blockchain

La visión de Cleo Capital sobre Meta: alcista en IA, bajista en Metaverso

El impacto de la IA en el fraude digital y los delitos financieros

Oportunidad de asistir a talleres públicos sobre ciberseguridad » Blog CCC

Habla con nosotros!