BLACK HAT ASIA 2022: cuando se trata de demostrar el valor de la ciberseguridad para una empresa, uno de los mayores desafíos es comunicar el ROI al C-suite. La percepción arraigada de la seguridad como un obstáculo para la productividad y otras áreas hace que sea muy difícil para los ingenieros de seguridad y la administración no técnica estar en sintonía.

Durante un discurso de apertura en Black Hat Asia esta semana, George Do, CISO de Gojek y GoTo Financial y ex ciberprofesional de la NASA, abordó el problema de cómo fomentar que la seguridad sea vista como una parte valiosa del negocio para todos los departamentos, no sólo la oficina del CISO. Comienza, dijo, con la cuantificación efectiva de esa seguridad.

«Todas sus inversiones en seguridad, todas sus contrataciones, todos sus proyectos, toda la sangre, el sudor y las lágrimas que el personal de seguridad pone en las trincheras, ¿algo de eso importa? ¿Es significativo?» preguntó durante la presentación, titulada, «Traslado de la aguja de seguridad de las trincheras de seguridad a la sala de juntas.» «Tienes que ser capaz de responder a eso» y mostrar por qué.

Desglose de comunicaciones
Los equipos de seguridad a menudo tienen una batalla cuesta arriba internamente debido a la falta de comunicación entre los departamentos. Tomemos, por ejemplo, la idea errónea común entre los trabajadores promedio de que la seguridad existe para hacer la vida de todos más difícil. Do se refirió a ella como la «seguridad de la torre de marfil», donde el aparato de seguridad parece estar alejado de todos los demás y propenso a entregar una letanía de «no».

«Muchas de nuestras organizaciones ven al equipo de seguridad como un obstáculo técnico», dijo Do. «Somos CIS-NO, ¿verdad? Piensan que a veces hacemos las cosas en el vacío, que no entendemos el impacto del negocio o al menos entendemos, ya sabes, los puntos débiles que está teniendo el negocio. Hay desconfianza en el equipo de seguridad.»

Agregó: «Cuantos más procesos y más puertas configuramos, ralentizamos el negocio y agregamos fricción. A menudo, no le damos tanta importancia a nuestra selección de cómo vamos a diseñar algo».

Existe otra trampa de comunicación entre el CISO, el CIO y el CTO. A menudo, todos son arrastrados a la sala de juntas sin estar en la misma página, lo que puede crear la posibilidad de relaciones adversas o competitivas. Pero es de vital importancia que los CISO reconozcan a los otros líderes relacionados con la tecnología como socios y partes interesadas, dijo Do.

«No le corresponde al CISO decir: ‘Hola, CIO y CTO, estas son todas las cosas malas que están sucediendo en su organización. Deben arreglarlo'», explicó. «La mejor idea es asociarnos en una presentación para presentarla a la junta, de modo que cualquier problema que llamemos, haya un plan de ataque y podamos comunicar cómo nos va contra ese plan de ataque».

Otra estrategia importante es recordar a los miembros de la junta que tienen el pellejo en el juego.

«Los miembros de la junta tienen lo que llaman deber fiduciario, lo que significa que si la organización es pirateada o comprometida y se descubre que los miembros de la junta no se estaban enfocando en esa área de riesgo para la organización, pueden ser considerados responsables», dijo Do.

Animó a los miembros de la audiencia a considerar los gastos generales con cada adición o programa de seguridad.

«Cada logotipo que agregue a su programa de seguridad agregará un poco de deuda técnica», explicó. «Hay que considerar el costo de establecer nuevos procesos, las horas-hombre, el impacto en el negocio, [and] el costo del producto en sí”.

5 consejos clave para comunicar la eficacia de la seguridad
Do también presentó un plan de cinco puntas para comunicar la importancia de los programas de seguridad para toda la empresa y cómo cuantificar el ROI.

1. Conoce a tu audiencia: Al tratar de comunicar los resultados de seguridad, es importante usar un lenguaje que los miembros de la junta y los líderes empresariales puedan entender, señaló Do. Eso incluye el uso de reglas generales simples, como evitar la jerga y las siglas.

También es fundamental comprender que las diferentes partes interesadas tienen diferentes lentes. Los ingenieros de seguridad pueden considerar la cantidad de ataques bloqueados por el firewall como una medida del éxito, mientras que los gerentes y directores de seguridad de la información preferirían conocer los ataques exitosos y si los sistemas pudieron detectar y responder a esos ataques. Mientras tanto, los CISO estarían interesados ​​en averiguar qué se puede hacer para evitar más infracciones, mientras que el director ejecutivo y la junta directiva podrían estar más interesados ​​en saber si la organización perdió dinero, sufrió tiempo de inactividad o terminó con responsabilidad legal o daños a la marca y la reputación.

«Todas estas son preguntas muy diferentes, todas igualmente importantes», dijo Do.

2. No empieces con métricas: Puede parecer contradictorio, dijo Do, pero es importante comenzar con los objetivos comerciales al enmarcar la eficacia de la seguridad.

«Puede ser un hospital, una agencia gubernamental, una empresa comercial; sea lo que sea, tiene objetivos comerciales, así que comience con eso», aconsejó Do. «Así es como generamos ingresos. Esto es lo que le estamos brindando a la industria. ¿Cuáles son los riesgos cibernéticos para ese negocio, ya sea que esté o no en la nube, su base de usuarios, su base de clientes? Comprender esto le informará cuáles deberían ser las métricas».

3. Sé cuantitativo: Una vez que se definen las métricas, se debe alinear la hoja de ruta de seguridad de una organización. Eso significa que la inversión en todos los proyectos, los productos, la mano de obra, los procesos, etc., debe estar al servicio del cumplimiento de esas métricas.

«Las métricas deben ser información pública, para que todos los equipos de la empresa sepan cuáles son sus objetivos y que se hayan aprobado. Esto no es algo que la seguridad esté cocinando en la cocina en un silo», señaló Do.

Es importante medir lo que significa el éxito en números, no en anécdotas o declaraciones cualitativas, agregó Do: «Hay que poder medirlo y repetirlo».

4. Recuerda que la seguridad es un trabajo en equipo: Do señaló que, con demasiada frecuencia, los equipos de seguridad adoptan una actitud de nosotros contra el mundo, pero en realidad todos tienen propiedad en los procesos de seguridad y deben comunicarse como tales, con responsabilidades y roles claros para la seguridad en cada departamento.

«Incluso áreas como el equipo de adquisiciones pueden necesitar poseer alguna parte de los procesos de seguridad, por ejemplo», dijo Do. «Literalmente, se necesita un pueblo para asegurar una organización, no solo un equipo de seguridad. Y al reconocer eso, puede evitar la confusión sobre quién es responsable, quién es responsable, a quién se consulta y a quién se informa. Es de vital importancia porque establece las expectativas por adelantado. con las partes interesadas sobre quién posee qué».

5. Empareje el empoderamiento con la rendición de cuentas: Una vez que se han determinado los roles de seguridad y está claro quién es responsable de qué, es importante empoderar también a esas personas.

«Empoderado significa, ¿tengo la autoridad para lograr mi objetivo de, por ejemplo, parchear, por ejemplo? ¿Tengo el presupuesto? ¿Tengo los procesos implementados? ¿Tengo la gente para lograr lo que soy responsable? » Hazlo explicado.

Para concluir, Do advirtió a los equipos de seguridad que se den cuenta de que implementar estas mejores prácticas será un viaje con muchos obstáculos, pero que es importante perseverar.

«Siempre, sin excepción, todos nosotros nos enfrentamos a algún nivel de desafíos en este paradigma, lo que significa la medición de la seguridad, y cómo comunicamos a nuestro directorio nuestro liderazgo, nuestros propietarios, nuestros accionistas, que estamos moviendo la aguja con seguridad ?» él dijo.

Do agregó: «Algunas organizaciones pueden convertirse en un centavo; pueden pasar a este modelo rápidamente», dijo. «Otros tardarán un año o más debido a la burocracia, la política, los procesos, lo que sea. Pero diría que no dejes que eso te impida avanzar hacia este modelo».

Author

Write A Comment