5 errores que pueden costarle su trabajo a un CISO

Sí, una gran violación de seguridad podría fácilmente costarle su trabajo a un CISO (director de seguridad de la información), pero unas pocas metidas de patas menos obvias podrían tener el mismo resultado.

CIO

Los CISO, como cualquier otro ejecutivo senior, enfrentan riesgos todos los días. Debido a que los líderes de ciberseguridad son responsables de salvaguardar algunos de los activos más valiosos de sus empresas, hay mucho en juego. Un CISO que se prepara inadecuadamente para cualquiera de esos riesgos o los maneja mal probablemente será despedido, como ha sido el caso en recientes incidentes de alto perfil.

Las siguientes son acciones, u omisiones, que indican claramente fallas que son causa de despido para un CISO.

1. Fracaso en la prevención de una violación de datos con daños significativos para la reputación o las finanzas

Como muestran las recientes violaciones a Equifax y Yahoo, las empresas pueden sufrir daños graves a sus reputaciones por dichos incidentes. Cuando una monumental violación de seguridad  conduce a pérdidas financieras y un alto nivel de publicidad negativa, es difícil que los CISO no caigan.

Es muy probable que una violación resulte en un despido si la empresa puede demostrar que el CISO no instaló los parches más recientes o no pudo actualizar el entorno de datos de la organización para lidiar con las amenazas más recientes instalando los firewalls apropiados en el centro de datos, en las oficinas, o en el perímetro de la red, de acuerdo con Laura DiDio, analista principal de Information Technology Intelligence Consulting (ITIC).

“A veces, despedir a un CISO en este caso es puro teatro; una compañía tiene que mostrar al público que están tomando medidas. En otras ocasiones, el CISO era realmente negligente y no estaba preparado. No tenía un plan sólido para responder y recuperarse de incidentes, un plan que hubiera limitado el impacto. Encontramos que con demasiada frecuencia se enfocan solamente en la protección”, dijo Sean Curran, director principal y líder nacional de la clínica de ciberseguridad de la firma de consultoría West Monroe Partners.

2.Asumir demasiada responsabilidad por el riesgo y no comunicar el riesgo a los demás

Los CISO que asumen toda la responsabilidad de la empresa en lo que respecta a las decisiones sobre el riesgo ponen en riesgo sus propios trabajos. En este caso, el CISO define lo que la empresa tolerará y lo que no tolerará desde un punto de vista de seguridad, riesgo y cumplimiento, en lugar de ser el facilitador de la comunicación.

“Demasiados profesionales de la seguridad piensan que soportan la carga de la organización y que el conocimiento ‘técnico’ está más allá de los negocios. Como resultado, no comunican el riesgo en absoluto, sofocando de esta manera la capacidad de la administración de decidir cuánto deben invertir para enfrentar el riesgo”,dijo Curran.

3.Fracasar en conseguir o mantener el cumplimiento

De acuerdo con la naturaleza de la empresa y de los datos que necesitan protección, los CISO deben demostrar la debida diligencia con respecto al cumplimiento y con el seguimiento de las leyes estatales y federales. “Deben existir sistemas de informes en los que el CISO pueda confirmar que todos los sistemas están correctamente actualizados y protegidos”, dice Robert Siciliano, experto en ciberseguridad de Hotspot Shield.

Muchas empresas deben cumplir con las obligaciones reglamentarias para incluso ofertar en ciertos contratos o proporcionar bienes o servicios a sus clientes.

“Si no obtienen la certificación, hay un impacto monetario significativo en los resultados financieros de la compañía”, dijo Curran.

Si no mantienen el cumplimiento y un auditor interno o externo encuentra una gran brecha, eso puede conducir a costos correctivos no planificados y no presupuestados que obligan a la empresa a lidiar con los problemas del año pasado en lugar de mejorar el futuro.

“Luego se hace más difícil escapar de esta espiral, a menos que los CISO sean agentes de cambio, pero esto rara vez ocurre, porque si así fuera no estarían en esta situación”, de acuerdo con Curran.

El cumplimiento, especialmente en la era digital, donde las redes están cada vez más interconectadas y las empresas comparten datos con sus clientes, proveedores o socios comerciales “es un gran problema”, dice DiDio. “Mes a mes las regulaciones de cumplimiento son cada vez más estrictas, complejas y numerosas”.

Los reglamentos varían según la industria, el estado, el país y otros factores, y normalmente el trabajo del CISO y otros líderes de seguridad e IT es trabajar con abogados internos o expertos legales externos para garantizar que sus organizaciones cumplan con las leyes de cumplimiento normativo.

4.Conducta poco profesional

Al igual que con cualquier otro tipo de relación laboral, el cese podría ser el resultado de una conducta poco profesional del CISO. También podría suceder si un empleado que trabaja directamente para el CISO actúa de manera poco profesional. “Si el CISO no corrige y aborda el comportamiento inapropiado, como el acoso sexual, esto puede llevar al despido  del CISO”, explicó Burns.

El comportamiento poco profesional puede incluir acciones como un tweet inapropiado u opiniones cuestionables expresadas en las redes sociales.

“El CISO es un miembro muy visible de la organización y debe tener cuidado al hacer opiniones públicamente. “Cualquier opinión controvertida expresada por el CISO puede dar una mala imagen de la empresa y justificar el despido”, dijo Burns.

5. Fracasar en mostrar confiabilidad y eficiencia

“El tiempo es dinero”, recomendó DiDio. “Los sistemas, redes y dispositivos de conectividad están sujetos a fallas. Si el tiempo de inactividad persiste durante un período significativo, puede salir caro en términos de pérdidas monetarias. Podría interrumpir las operaciones, disminuir la productividad de los trabajadores e impactar negativamente a los socios comerciales, clientes y proveedores de la organización.

Todas las organizaciones deben tener un plan de recuperación anti desastres que incluya una lista detallada de a quién contactar en organizaciones de proveedores, en la nube y en proveedores de servicios externos.

www.punto.hn  

Aún no hay comentarios.

Comentario

Usted debe ser Iniciar sesión Para escribir un comentario.