1. Puertoscanner en línea
  2. Últimas noticias y artículos sobre ciberseguridad
  3. Pocas Empresas de Fortune 100 Enumeran a Los Profesionales de La Seguridad en Sus Filas Ejecutivas

Pocas Empresas de Fortune 100 Enumeran a Los Profesionales de La Seguridad en Sus Filas Ejecutivas

Muchas cosas han cambiado desde 2018, como los nombres de las compañías en la lista Fortune 100. Pero un aspecto de esa lista tan cacareada que no ha cambiado mucho desde entonces es que muy pocas de estas compañías enumeran a profesionales de seguridad dentro de sus rangos ejecutivos superiores.

La próxima vez que reciba una carta de notificación de violación que invariablemente diga que una compañía en la que confía otorga la máxima prioridad a la seguridad y privacidad del cliente, considere esto: Solo cuatro de las compañías Fortune 100 actualmente incluyen un profesional de seguridad en las páginas de liderazgo ejecutivo de sus sitios web. En realidad, esto es menos que cinco de Fortune 100 en 2018, la última vez que KrebsOnSecurity realizó este análisis.

Una revisión de las páginas de ejecutivos publicadas por la lista de compañías Fortune 100 de 2022 encontró solo cuatro — BestBuy, Cigna, Coca-Cola, y Tiendas Walmart - que enumeró a Jefe de Seguridad (OSC) o Director de Seguridad de la Información (CISO) en sus rangos corporativos más altos.

Un tercio de las compañías Fortune 100 del año pasado incluyeron a Director de Tecnología (CTO) en sus establos ejecutivos; 40 listados Director de Información (CIO), pero solo 21 incluían un Director de Riesgos (CRO).

Como Noté en 2018, esto no quiere decir que el 96 por ciento de las compañías Fortune 100 no tengan un CISO o CSO en su empleo: Una revisión de LinkedIn sugiere que la mayoría de ellos de hecho hacer tenga personas en esos roles, y los expertos dicen que algunas de las compañías multinacionales más grandes tendrán varias personas en estos puestos.

Pero es interesante observar qué posiciones ejecutivas las principales compañías consideran que vale la pena publicar en sus páginas de liderazgo ejecutivo. Por ejemplo, el 88 por ciento enumeró un Director de Recursos Humanos (o "Director de Personal"), y 37 de cada 100 incluyeron un Director de Marketing.

No es que estos roles sean de alguna manera más o menos importantes que los de un CISO/CSO dentro de la organización. El salario promedio tampoco es muy diferente entre los tres roles. Sin embargo, teniendo en cuenta la cantidad de marketing (piense en los datos de consumidores/clientes) y recursos humanos (piense en los datos personales/financieros de los empleados) que se ven afectados por su violación de datos promedio, es notable que más empresas no lo hagas enumere a su jefe de personal de seguridad entre sus rangos superiores.

Una explicación probable de por qué muchas empresas aún no incluyen a sus líderes de seguridad en sus niveles más altos es que estos empleados no informan directamente al CEO, la junta directiva o el Director de Riesgos de la empresa.

El puesto de CSO o CISO tradicionalmente ha informado a un ejecutivo en un rol técnico, como el CTO o CIO. Pero los expertos en la fuerza laboral dicen que colocar al CISO/CSO en una posición desigual con los principales líderes de la organización hace que sea más probable que la ciberseguridad y las preocupaciones de riesgo pasen a un segundo plano ante las iniciativas diseñadas para aumentar la productividad y, en general, hacer crecer el negocio.

"La separación de funciones es un concepto fundamental de seguridad, ya sea que estemos hablando de amenazas cibernéticas, fraude de empleados o robo físico", dijo Tari Schreider, analista con Datos Insights. "Pero esa separación crítica se viola todos los días con el CISO o el CSO informando a los jefes de tecnología.”

IANS, una organización orientada a los CISO/ OSC y sus equipos, encuestados más de 500 organizaciones el año pasado y encontraron que aproximadamente el 65 por ciento de los CISO todavía informan a un líder técnico, como el CTO o el CIO: los IAN encontraron que el 46 por ciento de los CISO informaron a un CIO, y el 15 por ciento informó directamente a un CTO.

Una encuesta realizada el año pasado por IANS encontró que el 65 por ciento de los CISO informan a una función tecnológica dentro de las organizaciones, como el CTO o el CIO. Imagen: IANS Research.

Schreider dijo que una gran razón por la que muchos CISO y OSC no figuran en las biografías de ejecutivos corporativos en las principales compañías es que estos puestos a menudo no disfrutan de las mismas protecciones legales y de seguros que se ofrecen a otros funcionarios dentro de la compañía, dijo Schreider.

Por lo general, las compañías más grandes comprarán una póliza de responsabilidad civil para "Directores y funcionarios" que cubra los gastos legales en caso de que uno de los principales ejecutivos de la organización se vea arrastrado a los tribunales por el fracaso de algún negocio por parte de su empleador. Pero es poco probable que las organizaciones que no ofrecen esta cobertura a sus líderes de seguridad enumeren esos puestos en sus rangos más altos, dijo Schreider.

"Es francamente impactante", dijo Schreider, al enterarse de que solo cuatro de las Fortune 100 enumeraron personal de seguridad en sus principales jerarquías ejecutivas. "Si la compañía no les va a dar cobertura legal, ¿por qué darles la responsabilidad de la seguridad? Especialmente cuando los CISO y las OSC no deberían asumir el riesgo, sin embargo, la mayoría de ellos llevan el manto de la responsabilidad y tienden a ser chivos expiatorios" cuando la organización finalmente es pirateada, dijo.

Schreider dijo que si bien Datos Insights se centra principalmente en las industrias financiera y de seguros, una encuesta reciente de Datos se hace eco de los hallazgos de IANS del año pasado. Datos encuestó a 25 de las instituciones financieras más grandes por tamaño de activos (dos de las cuales ya no existen), y encontró que solo el 22 por ciento de las OSC/CISOs informaron al CEO. Una mayoría, el 65 por ciento, tenía a sus OSC/CISOS reportando a un CTO o CIO.

"He visto este tipo de estadísticas durante años y nunca han cambiado tanto", dijo Schreider. "El CISO o CSO está en el ámbito de la pila técnica desde una perspectiva de gestión. Correcto, incorrecto o indiferente, eso es lo que está sucediendo.”

A principios de este año, la firma de consultoría de TI Accenture resultados publicados de encuestar a más de 3,000 encuestados de 15 industrias en 14 países sobre sus madurez de la seguridad niveles. Accenture descubrió que solo alrededor de un tercio de las organizaciones encuestadas tenían suficiente madurez de seguridad en su haber para integrar la seguridad en prácticamente todos los aspectos de sus negocios, y esto incluye que los CISO o CSO informen a alguien a cargo de supervisar el riesgo para el negocio en su conjunto.

Como era de esperar, Accenture también descubrió que solo un tercio de los encuestados consideraba el riesgo de ciberseguridad "en gran medida" al evaluar el riesgo empresarial general.

"Esto pone de relieve que todavía hay un camino por recorrer para hacer de la ciberseguridad una necesidad proactiva y estratégica dentro del negocio", concluyó el informe.

Una forma de describir las diferentes etapas de madurez de la seguridad.

Está disponible una hoja de cálculo que rastrea la prevalencia de los líderes de seguridad en las páginas ejecutivas de las empresas Fortune 100 de 2022 aquí.



>>Más