Llegamos a ustedes gracias a:



Reportajes y análisis

Hablando sobre los riesgos al directorio

Comunicar riesgos

[15/05/2015] Los CISOs han estado escuchando desde hace algún tiempo que necesitan aprender a "hablar mejor el lenguaje de los negocios". Es una manera de ganarse el respeto y de evitar ser visto principalmente como un chivo expiatorio.

Para los que se preguntan cómo hacer eso, Chris Wysopal, cofundador y director de tecnología de Veracode, les responde.

Ese fue el enfoque de la presentación de Wysopal titulado "Perspectiva de un CISO al hablar con el directorio acerca de ciberseguridad", en el pasado RSA 2015 en San Francisco.

El primer paso, dijo, es aprender a pensar como un líder de negocios en lugar de "alguien que maneja tecnología de back-office".

Reconoció que, ha sido recién hace tres o cuatro años que ese era la función primaria de un CISO. "Pero ese papel está cambiando en formas que tocan su visibilidad con el directorio, añadió. "Ahora los CISO son líderes de negocios que supervisan líneas de negocios que despliegan aplicaciones SaaS. Tienen que lidiar con áreas legales, de cumplimiento, de relaciones públicas, entre otras.

Mientras tanto, "el espacio de amenazas también está cambiando", agregó. "Hay cosas fuera de su control, como los proveedores de la cadena de suministro y de servicios. El uso de la tecnología hace crecer el negocio, pero también amplifica los riesgos".

Además, señaló, los directorios son finalmente más conscientes de esos riesgos. Así, mientras que las demandas y presiones sobre los CISOs han aumentado, también lo han hecho las oportunidades.

"La preparación y respuesta contra vulnerabilidades son temas candentes, comentó. "Así que las cosas como la visibilidad, preparación y el plan de relaciones públicas son definitivamente cosas de las que los directorios están interesados escuchar.

Y para asegurarse de que escuchen, Wysopal ofreció consejería específica, comenzando por mantener todo breve, dado que la realidad es que un CISO probablemente tenga solo 15 minutos para un discurso. Y ese discurso no puede estar lleno de cuadros, gráficos y charla técnica -la clase de coas que desorbita los ojos a los no técnicos. "Esta es gente inteligente, pero no es técnica, señaló. "Así que piense como si le hablara a su mamá.

  • Su breve lista de habilidades de comunicación para CISO incluye:
  • No utilice acrónimos como DDoS. Diga las palabras, no las letras.
  • Use imágenes, no texto
  • Utilice números, especialmente dólares, como pérdidas por violaciones de datos públicos, para que los miembros del directorio pueden medir los riesgos contra los costos.
  • Use analogías.
  • Muestre cómo funciona el entrenamiento. "Se puede medir la eficacia de la formación en estafas bancarias", señaló.
  • Pida a los miembros del directorio lo que quieren lograr de con su programa de seguridad.
  • Remarque que no existe una organización libre de brechas de seguridad.
  • Haga hincapié en que la seguridad cibernética tiene que llegar a toda la compañía: TI, área legal, líneas de negocios y relaciones públicas deben estar involucradas.
  • La ciberseguridad necesita ser pensada como estrategia a largo plazo de supervivencia de la marca.

Wysopal dijo que los CISO también tienen que comunicar el nivel de riesgo en términos que los miembros del directorio lo puedan entender. Eso significa hablar de brechas en industrias similares y la forma en que ocurrieron.

También significa que explique quién está ahí para atacar a su empresa en particular y por qué. ¿Qué es lo que buscan conseguir?

"Para los minoristas, es bastante claro", dijo. No es ninguna sorpresa que quieran información de las tarjetas de crédito. En el cuidado de la salud, quieren la PII (información de identificación personal). "Así que las amenazas modelan su negocio. ¿Qué podría monetizar un atacante?

Por último, señaló que el CISO debe "comunicar los cinco principales riesgos para su empresa y los indicadores que señalan el nivel de exposición de la organización a los mismos. Deben identificar si los indicadores de riesgo están en tendencia hacia arriba, hacia abajo o permanecer planos. "Y ellos deben explicar cómo la compañía está gestionando los riesgos y mantenerlos dentro de límites aceptables".

Taylor Armerding, CSO (EE.UU.)