A medida que el mundo comienza a recuperarse en los próximos meses, una cosa es segura. Los acontecimientos recientes afectarán la economía y los líderes en todas las funciones, incluida la seguridad de la información, deberán realizar recortes. El alcance de esos recortes aún está por verse, pero dependerá de su industria y del panorama macroeconómico general dentro de unos meses. Como líder, ya debería estar pensando en cómo continuará obteniendo resultados con menos presupuesto y un equipo más pequeño. 

Algunos de ustedes levantarán las manos con frustración. Su equipo ya está al límite, y usted ya no tiene suficiente presupuesto. Otros abrazarán el CISO basado en datos persona y use esto como una oportunidad para reevaluar la economía y la eficiencia de su programa de seguridad de la información, centrándose en maximizando el retorno de sus inversiones en infosec. 

La clave del éxito en esta nueva realidad es cambiar a un basado en el riesgo estrategia de priorización. Los CISO de hoy reconocen que no pueden reducir el riesgo a cero, pero pueden reducirlo tanto como sea posible al enfocarse en eliminar primero los mayores riesgos. 

Incluso el primer paso, conocer su entorno, sus activos y su criticidad, y el riesgo para cada uno de ellos, puede ser un desafío. Dado el tamaño y la dinámica de la superficie de ataque empresarial, este no es un desafío fácil. Puede estar lidiando con decenas de millones a miles de millones de señales relevantes de seguridad que deben tenerse en cuenta para calcular el riesgo. 

Exitoso Las estrategias de infosec comienzan con el inventario de activos, un inventario preciso y actualizado de los activos de hardware y software conectados a su red. El enfoque aquí debería estar en aprovechar las herramientas que mantienen un inventario continuo en tiempo real, no solo categorizando, sino también calculando la importancia crítica del negocio. Dado que el riesgo es un factor de la probabilidad y el impacto de una violación, es necesario comprender la importancia crítica del negocio al calcular el impacto.

Desde allí, el cálculo del riesgo se completa solo después de calcular la probabilidad de incumplimiento de cada activo y posible vector de ataque. La probabilidad incorpora varias variables: vulnerabilidades, exposición, amenazas y controles de mitigación. 

El resultado final de este análisis de riesgos es una imagen clara de lo que genera el mayor riesgo para su organización. A partir de ahí, se vuelve simple priorizar los esfuerzos de su equipo en los principales factores de riesgo, asegurando que tenga la máxima reducción de riesgo posible a pesar de un equipo más pequeño y un presupuesto más pequeño. Esta es la ÚNICA forma en que podrá continuar cumpliendo o superando sus objetivos a la luz de la cruda realidad económica actual.