El papel del CISO en la organización y los desafíos de seguridad y cumplimiento normativo

El rol del Chief Information Security Officer (CISO) se ha vuelto más desafiante en comparación con el pasado debido a los constantes cambios no solo desde una perspectiva legislativa, sino también desde una perspectiva de amenazas. Ben Smith, Chief Technology Officer de NetWitness, habló sobre los obstáculos a los que se enfrentan aquellos en el rol de CISO en la actualidad y sobre lo que se puede hacer para mejorar la seguridad de las organizaciones a la vez que se cumple con las nuevas regulaciones de informes establecidas por ley.

"El [CISO] es un término amplio, y en las organizaciones más pequeñas, ese rol tiende a estar muy enfocado en tecnología, lo cual es un buen lugar para empezar", dijo Smith. "Gran parte del trabajo diario de un CISO gira en torno a la tecnología, ya sea defensiva u ofensiva en algunos casos. Uno de los grandes desafíos que creo que muchos CISO enfrentan hoy en día es dónde debería ubicarse ese rol en las organizaciones".

VER: Google Chrome: Consejos de seguridad y de interfaz de usuario que debes conocer (Newsmatic Premium)

Índice de Contenido
  1. El lugar del CISO en el organigrama de la organización
  2. Afrontando los informes y las preocupaciones de seguridad

El lugar del CISO en el organigrama de la organización

Smith dice que en estructuras más tradicionales, aquellos en roles de CISO se ubican por debajo del Chief Information Officer, pero las empresas más innovadoras han comenzado a colocar a su jefe de seguridad de la información directamente bajo el Chief Executive Officer. Esto permite tener una mayor influencia a la hora de tomar decisiones de impacto.

"Cuando me uní a [NetWitness], tenía un alto porcentaje, tal vez más del 50%, de conversaciones con CISO que ni siquiera podían acudir ante el directorio", dijo Smith. "Avancemos rápidamente 12 años y eso realmente no es un problema en estos días. De hecho, si eres un CISO y no tienes acceso al directorio, eso debería ser una gran señal de alerta no solo para ti y tu organización, sino también para tu carrera. En 2022, un CISO debería tener acceso al directorio. El directorio debería estar preguntando al CEO acerca del CISO y cuál es su función".

Smith agrega que aún hay margen de mejora en el acceso que se brinda a aquellos dentro del rol de CISO, es decir, integrar los requisitos empresariales y técnicos necesarios para mantener la seguridad de las empresas, al mismo tiempo que se permite que el oficial de información tenga la cantidad adecuada de participación en la toma de decisiones.

Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivel

"La desconexión es que, aunque el CISO, tal como se define clásicamente, tiende a ser una persona enfocada en tecnología en la organización, el CISO es un ejecutivo al final del día", dice. "Hay una dicotomía o una división, por así decirlo, entre los requisitos empresariales que el CISO debe aportar y los requisitos técnicos o aptitudes que la misma persona debe tener".

Afrontando los informes y las preocupaciones de seguridad

A medida que los ataques de ransomware continúan aumentando, Smith dice que los trabajadores en este rol deben estar conscientes tanto desde el punto de vista de la seguridad como del cumplimiento de la nueva legislación establecida. La estrategia para que los CISO protejan mejor a la organización de las amenazas externas y cumplan con los requisitos de informe de ransomware recientemente establecidos como ley deben estar en la parte superior de las listas de prioridades de estos trabajadores.

Desde el punto de vista normativo, se ha cuestionado la viabilidad de los plazos de informe establecidos en la Ley para el Fortalecimiento de la Ciberseguridad Estadounidense. Esto requiere que las organizaciones de infraestructura crítica informen a la Cybersecurity and Infrastructure Security Agency (CISA) en un plazo de 72 horas después de un ciberataque importante. Además, las organizaciones que realicen pagos por ransomware deberán informar de un incidente a la CISA en un plazo de 24 horas.

"Cuando las empresas hablan de viabilidad, eso es una palabra clave para decir: Tenemos un proceso para evaluar esta información antes de hacerla pública y 24 o 72 horas no encajan en nuestro proceso", dijo Smith. "Veinticuatro horas es un plazo incómodo para tratar de juntar todo eso. Pero creo que muchas organizaciones pensaron, cuando salió el Reglamento General de Protección de Datos, y había algunos requisitos rápidos de notificación, muchas organizaciones sacudieron la cabeza y dijeron: 'esto va a ser realmente difícil', pero encontraron la manera. Creo que si lo analizamos de manera racional, si te ha afectado un ransomware y decides pagarlo, ¿cuántos pasos más necesitas para notificar al gobierno después de eso? Realmente puedes hacerlos al mismo tiempo".

VER: Violación de contraseñas: por qué la cultura popular y las contraseñas no se mezclan (PDF gratuito) (Newsmatic)

Smith dice que aunque la nueva ley de ciberseguridad requerirá que los departamentos de TI tengan una comunicación abierta con el gobierno sobre ataques y pagos de ransomware, los CISO también deberían establecer vínculos con las aseguradoras de las organizaciones en caso de una violación de seguridad.

Cómo proteger tu computadora de los virus: métodos y consejos

"Creo que un ejecutivo debe pensar en el hecho de que habrá una carga no solo reglamentaria, sino también legal. Eso solo se va a volver más pesado a partir de ahora", dijo Smith. "Algunas organizaciones han comenzado esa conversación de manera muy productiva porque las aseguradoras de ciberseguridad también se preocupan por eso. Un buen CISO, en mi opinión, es alguien que ya ha tenido una conversación con la compañía que ofrece la póliza de seguro cibernético. Esa es una línea de contacto y conectividad muy importante que ya debes tener en su lugar para que, cuando el ransomware ataque, sepas exactamente con quién hablar para obtener sus próximos pasos recomendados".

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a El papel del CISO en la organización y los desafíos de seguridad y cumplimiento normativo , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.