CISOs, dénle a su programa y equipo de ciberseguridad un sentido de propósito
'Vence al enemigo que puedes ver... luego prepárate para el próximo enfrentamiento'. Phillip Miller, de Brooks Brothers, ofrece a los CISO nuevos modos de pensar sobre un programa de seguridad cibernética.
CISOs, es hora de ver el mundo de otra manera: el enfoque de mitigación de riesgos comprobado para la ciberseguridad aún es necesario, pero no es suficiente. Y su predilección por tratar de resolver lo imposible, bueno, eso está equivocado. Ese fue más o menos el mensaje de Phillip Miller, CISO y jefe de infraestructura del gigante de ropa Brooks Brothers, con sede en Nueva York.
"Debemos entender el apetito por el riesgo de nuestras organizaciones, pero gestionar los riesgos no puede ser lo único que hacemos", dijo Miller en su discurso de apertura en el Argyle CISO Leadership Forum en Nueva York.
Argumentó que los CISO deben adoptar un enfoque más basado en la misión para proteger a sus empresas. A menudo caen en la trampa de tratar de arreglar todo, en lugar de centrarse en arreglar las cosas que marcarán la diferencia, dijo Miller. Esta es la razón por la cual las iniciativas de seguridad cibernética como la administración de identidades y los proyectos de autenticación multifactorial, por nombrar solo dos, a menudo se prolongan durante años, indicó.
"Céntrense en vencer al enemigo que pueden ver, sin preocuparse por el que no puede ver, y luego prepárese para el próximo enfrentamiento", aconsejó.
Pero la opinión de que un programa de seguridad cibernética, si se hace lo suficientemente bien, puede evitar todas las infracciones de datos es poco realista, según Miller. "Nuestros equipos necesitan que demos un ejemplo que puedan traducir en sus vidas reales, en sus operaciones cotidianas como analistas de amenazas de seguridad".
Para ayudar a los líderes de seguridad y profesionales a lograr este objetivo, Miller sugirió un enfoque de tres fases que él llama misión, modelo y medicina.
Misión
La misión, la más difícil de las tres, exige que los CISO establezcan un camino claro para cada actividad importante que sea necesaria para mejorar sus programas de seguridad cibernética.
El primer paso para hacer esto es ser dueño de la narrativa, dijo. "No permita que las personas que lo rodean definan cuál es su práctica de ciberseguridad".
Por supuesto, es importante que los CISO tengan una comprensión profunda de los objetivos y metas de negocios de su compañía, su cadena de suministro y sus equipos financieros, dijo Miller, para que puedan crear una misión que proteja el negocio, que es la principal responsabilidad del CISO.
En segundo lugar, los profesionales de seguridad cibernética necesitan formar equipos, dijo. "Su equipo no es solo las personas que le reportan; su equipo son todos dentro de la organización quienes toca datos e información, y debe salir y estar obsesionado con reclutar a esas personas para esa misión".
Pero estas misiones del equipo extendido deben ser discretas y no excesivamente largas; de lo contrario, la gente se desconectará, dijo. Es igualmente importante crear informes para evaluar si se cumplieron los objetivos delineados de la misión.
"Y luego alimentamos con eso la próxima misión que asumimos", dijo Miller, y agregó que esto ayudará a que los programas de ciberseguridad funcionen como "cualquier otra unidad de negocio que adopte prácticas de gestión modernas. Piense en esto como DevOps, o ágil, o Lean Six Sigma de cómo ejecuta sus programas de seguridad".
Modelo y medicina
Miller explicó la fase del modelo como la creación de un conjunto de comportamientos o enfoques que definen cómo hacer algo, y luego comunicar esos estándares a la empresa. Esto ayudará a evitar que la organización de seguridad sea vista como una barricada.
Por ejemplo, si un equipo de desarrollo ágil está implementando una nueva tecnología que tiene una conexión con el mundo exterior, el programa de seguridad cibernética debe ofrecer al equipo ágil un conjunto de "modelos de referencia" para elegir, explicando que, al adherirse a uno de estos modelos por adelantado, la implementación tendrá más fácil obtener la aprobación del equipo de seguridad. "[En Brooks Brothers,] hemos estado trabajando en la creación de estos modelos de referencia", dijo.
La medicina es la más fácil de las tres, según Miller. Esto se refiere a las partes de la infraestructura y del programa de seguridad de una organización que solo necesitan ser arreglados, dijo. Es ese servidor que está allí, que está funcionando con una versión obsoleta de Windows o de Linux, y "necesita abrocharse el cinturón y crear un plan para resolverlo".
Hacia adelante
La ciberseguridad ya no es una disciplina discreta dentro de la organización, dijo Miller. Está en todas partes, y así es como los CISO necesitan pensar sobre sus programas de seguridad cibernética a medida que construyen sus equipos.
"Todavía necesitamos personas que usen ese sombrero de [seguridad], pero necesitamos más analistas de datos... necesitamos más personas que estén dispuestas a cruzar y estrechar la mano de alguien y decir: ‘Hola, trabajo en ciberseguridad, y estoy aquí para ayudarlo a que su proyecto sea más exitoso’".
La capacidad –y la voluntad– de hacer de la ciberseguridad una disciplina para toda la empresa comienza en la cima, dijo Miller. Los líderes de seguridad cibernética deben ser proactivos para cambiar la forma en que colaboran y se comunican sobre ciberseguridad, tanto con sus equipos como con el negocio.
De hecho, Miller está convencido de que la próxima generación de profesionales de ciberseguridad será la industria más inclusiva, diversa y colaborativa jamás vista. Estos nuevos participantes en el campo no querrán estar aislados dentro de la organización, dijo. Y los CISO estarán mejor para eso.
"Finalmente, creo que los CISO cambiarán la forma en que se miden a sí mismos y la forma en que se miden externamente, no en si detienen una violación de datos, sino en la fortaleza de su programa [de ciberseguridad]. Ellos serán medidos por la resiliencia versus la reacción".