Cuatro pasos para contratar al mejor CISO en un mundo de IoT

De todos los nuevos procesos tecnológicos que configuran la próxima ola de transformación digital, quizás ninguno sea más destacado que el Internet de las Cosas (IoT). Como Phil Celestini, vicepresidente senior y director de seguridad y riesgos en Syniverse informes, esta tecnología está generando un nuevo ecosistema de redes interconectadas y transacciones de datos que se está expandiendo rápidamente y redefiniendo la forma en que hacemos negocios.

Pero lo que a menudo se pasa por alto es que IoT también es un internet de servicios y datos compartidos. Este hecho es uno de los mayores desafíos para las empresas que buscan integrar sus negocios con el IoT y, al mismo tiempo, garantizar que se aborden los vectores de ataque y los riesgos asociados. Estas defensas involucran varios conjuntos de habilidades y equipos dirigidos por el jefe de seguridad de la información (CISO).

Desde una perspectiva de riesgo, de hecho, la Internet pública nunca fue diseñada para ser un entorno seguro. Fue concebido como una red con redundancia incorporada para que académicos e investigadores compartan datos, no protejan el acceso a ellos. En consecuencia, es más una red de mejor esfuerzo que la mejor red necesaria para garantizar la confidencialidad, integridad y disponibilidad de las transacciones. Dado que la premisa de IoT se basa en la conectividad, un ataque malévolo que compromete esta conectividad tiene el potencial de causar estragos sin precedentes. Es crucial contar con el liderazgo adecuado para impulsar el éxito de su equipo de seguridad de la información en la defensa contra tales estragos.

Con esto en mente, las empresas deben encontrar el equilibrio adecuado entre mantenerse seguros y aprovechar la innovación para aprovechar avances como el IoT. Una parte crucial de esto comienza con la selección del mejor CISO, algo que hice hace varios meses con gran éxito. Aquí hay cuatro factores que he considerado al evaluar a los candidatos para el puesto de CISO, basados ​​en más de 35 años de experiencia en operaciones de alto riesgo y supervisando varias facetas de seguridad para empresas, el FBI, la comunidad de inteligencia y el ejército.

4 factores para contratar un CISO

• La seguridad está en el título, pero no será el único trabajo: La seguridad debe tratarse como un servicio que necesita ser operado como un negocio dentro de su negocio. Eso significa que los CISO deben comprender la estrategia, los objetivos comerciales y los riesgos de su empresa para proporcionar un verdadero valor. Además, existen puntos de referencia, mejores prácticas y regulaciones que dictarán cómo proteger la tecnología de la información y los datos. A este respecto, los CISO pueden proporcionar información de seguridad y de mercado que los equipos de ventas y marketing pueden usar para crear una historia corporativa sólida sobre la postura de seguridad para que su empresa se destaque de la competencia.
• Los CISO deben comunicarse abiertamente con el C-suite: Factores como la alineación de una organización y la estructuración de los informes respaldan una cultura de seguridad. Cuando se trata de riesgo empresarial, un CISO debe informar lo más directamente posible al C-suite. Habrá diferencias en función del tamaño y la madurez de una organización, pero cuanto más cercano sea el acceso al CEO, menos conversaciones "filtradas" serán. Las decisiones basadas en el riesgo que un CISO necesita elevar a la C-suite a veces pueden ser difíciles de comunicar a los líderes superiores, porque esas decisiones afectarán a otras partes interesadas y rara vez suceden en el vacío.
• La "seguridad" se ha ampliado: Hace veinte años, era común trabajar en una organización donde "seguridad" significaba tener a alguien en TI administrando un firewall. Pero la dinámica del mercado y las demandas de los consumidores han influido desde entonces en cómo operan las empresas y han impulsado la necesidad de contar con personal profesional de seguridad de la información. Hoy en día, factores externos como las regulaciones, los requisitos legales y las demandas de los clientes impulsan la necesidad de una seguridad sólida solo para mantenerse en el negocio. Los CISO deben estar armados con este conocimiento y el presupuesto adecuado para permitirles definir su estrategia de seguridad en el contexto realista de las finanzas y los objetivos de su negocio.
• Los mejores CISO son los mejores estudiantes: Los CISO deben ser técnicamente hábiles, líderes fuertes y gerentes comerciales astutos. El papel de CISO es un viaje, y los buenos CISO deben ser aprendices comprometidos de por vida. La industria nunca deja de evolucionar junto con la tecnología, lo que significa que los vectores de amenazas continuarán volviéndose más complejos, al igual que las leyes de privacidad de datos y una gran cantidad de otros "influenciadores" externos en el papel del CISO. Esto genera una necesidad constante de mantener y actualizar el conocimiento para adherirse a prácticas sólidas de gestión de riesgos.

El rápido crecimiento de los dispositivos y aplicaciones IoT que dependen de Internet público está abriendo una nueva era en conectividad y vulnerabilidad. A medida que las empresas aprovechan las oportunidades de esta era, corren el riesgo de dejar expuestos los datos y sistemas comerciales a una Internet pública que nunca fue diseñada para ese propósito.

En última instancia, las empresas que desean realizar negocios y transferir datos con certeza, seguridad y privacidad deben tener una estrategia de seguridad para proteger sus operaciones del Internet público, y una parte crítica de esta estrategia implica encontrar el CISO correcto. Los cuatro factores aquí ofrecen una base útil para informar este proceso.

Sobre el Autor

El autor es Phil Celestini, vicepresidente senior y director de seguridad y riesgos de Syniverse.