¿Por qué su empresa necesita tanto un CIO y CISO?

Redacción

Entre sus tareas el CIO vela por la seguridad de la empresa, pero el CISO puede mirar más allá para evitar ataques y si los hay, sabrá que hacer mitigar el impacto.

 

IDG

 

No haga caso cuando le dicen que la seguridad que tiene es suficiente, sin embargo, debe ponerle la atención que merece, si no podría pasarle lo mismo que Target y Home Depot.

 

Estos incidentes fueron infracciones muy graves de seguridad que permitieron a los atacantes acceder a datos de pago sensibles durante un largo período de tiempo – un par de semanas en el caso de Target y de unos meses en el caso de Home Depot.

 

Los ciberdelincuentes se infiltraron en el más sensible de los sistemas de una empresa durante meses, y sólo las entidades externas (los bancos) convencieron a Home Depot de mirar sus sistemas para acabar con este robo.

 

Los CIO tienen tantos proyectos, problemas y planes en su trabajo que permiten deslizar sus responsabilidades para reforzar el perfil de seguridad de sus sistemas, monitorear la integridad de las redes y las máquinas. Por otra parte, un CIO no puede tener la experiencia técnica o educación continua necesaria para estar al tanto de las amenazas de seguridad y el carácter evolutivo del panorama en seguridad.

 

Slideshare: ¿Cuáles son las preocupaciones del CISO?

 

Por eso, no importa quién haga el reporte CISO, CIO o el COO, uno de ellos deberá encargarse únicamente de la seguridad y garantía de que los sistemas continúen a un ritmo eficiente. El CIO podría ser responsable de la parte comercial y de operaciones de TI, mientras que el CISO podía mirar más allá.

 

El CISO juega papel de igualdad, planificación de las piezas, aprobar y comunicar

 

En un mundo perfecto, cada empresa tendría un CISO, y este estaría encargado de los siguientes objetivos y repleta con las siguientes capacidades:

 

Incumplimiento responsabilidades de respuesta y planes de reacción. Como se mencionó, el ​​incumplimiento de Home Depot podría seguir activo si no fuera por la intervención de terceros. Desde el descubrimiento de la infracción, se tardó más de una semana para que Home Depot admitiera incluso oficialmente que había sido penetrado, y sólo en la segunda semana después del incumplimiento tuvo el plan para mitigar el problema.

 

Consultoría, aprobación o validación de los planes de inversión de TI existentes. El CIO puede tener planes ambiciosos para hacer un montón de cosas y continuar con una gran cantidad de proyectos, pero no puede considerar solamente las implicaciones de seguridad.

 

En algunas organizaciones no hay un plan que se centre en la seguridad,ni alguien en la organización con la suficiente experiencia para hacer una correcta evaluación de un del y su implicaciones.

 

¿Cuáles serán las prioridades de las empresas? El departamento de TI gana más terreno en la corporación

 

Idealmente, un CISO tendría la responsabilidad de evaluar rigurosamente los planes, los servicios destinados y sus usos. Tendría la capacidad y la autoridad para validar una propuesta desde el punto de vista de seguridad. Asimismo, tiene el derecho de solicitar revisiones para mitigar algunas de las deficiencias de seguridad que cualquier plan puede tener, incluso boicotear una propuesta cuando incluya un grave problema de seguridad.

 

La capacidad para comunicarse con las partes interesadas. La complejidad no reduce la cantidad de preguntas que el CISO obtendrá de los otros miembros de un equipo de liderazgo senior, la junta directiva y los terceros interesados.

 

Un CISO debe ser capaz de entender las profundas raíces de un problema de seguridad – ya sea una violación o una objeción a un plan de inversión actual – y luego comunicar la gravedad de la cuestión y las recomendaciones para mitigar ese problema.

Este artículo está clasificado como: , , , , ,

Comentarios

Para poder comentar debe iniciar su sesión:

INGRESAR