Por Edwin Doyle, Estratega Global de Ciberseguridad.
La política de seguridad cibernética es un marco integral que consta de pautas, protocolos, principios y regulaciones que tienen como objetivo salvaguardar la infraestructura de tecnología de la información, las redes y los datos confidenciales de una organización de una variedad de amenazas cibernéticas; que van desde infracciones inadvertidas hasta ataques maliciosos.
El Director de Riesgos, que generalmente tiene la tarea de supervisar las políticas de una organización, posee un conjunto de habilidades diversas que abarcan leyes, finanzas y contabilidad, que son cruciales para administrar y mitigar de manera efectiva los riesgos potenciales, incluidos los inherentes a los contratos de seguros cibernéticos.
Después de realizar una extensa investigación sobre las descripciones de trabajo de CRO a través de numerosas búsquedas en Google, he observado una notable ausencia de técnico calificaciones y requisitos para esta responsabilidad crítica. Sin embargo, considerando el legado de este rol, este hallazgo no es una sorpresa.
Las políticas de seguridad cibernética están diseñadas para proporcionar un marco para salvaguardar los activos digitales de una organización y garantizar la confidencialidad, integridad y disponibilidad de los datos y sistemas.
Las políticas de ciberseguridad se desarrollan para alinearse con la estrategia general de gestión de riesgos de una organización y están destinadas a proporcionar una hoja de ruta para mantener un entorno digital seguro y resistente.
La industria de seguros reconoce esta distinción fundamental. Si bien los desastres naturales, como los tornados, pueden interrumpir ocasionalmente las operaciones comerciales, los matemáticos pueden calcular con precisión su probabilidad para permitir políticas a precios razonables. Por el contrario, los riesgos cibernéticos son altamente dinámicos y en constante evolución, lo que dificulta predecir su probabilidad o impacto potencial. Como tal, ¿cómo anticipa un suscriptor de seguros cibernéticos los nuevos avances tecnológicos en el ciberespacio o el descubrimiento de una vulnerabilidad de día cero?
Asignar al CISO como consigliere para el CRO tiene sentido a primera vista, pero cuando reviso los listados de trabajo para un CISO, veo cosas como la experiencia técnica práctica obligatoria enumerada como una prioridad máxima. ¿El CISO tiene la experiencia de riesgo empresarial necesaria para comunicarse con el CRO?
Existe una demanda de un conjunto de habilidades para cerrar la brecha entre el tecnólogo (CISO) y el riesgo para el negocio (CRO).
En la era actual de mayor regulación y capacidades avanzadas de amenazas que nunca duermen, el CRO requiere el apoyo de un Oficial de Seguridad de la Información Empresarial (BISO) competente para salvaguardar una organización contra un amplio espectro de desafíos. Estos desafíos pueden variar desde errores administrativos aparentemente menores hasta la realización de un análisis de costo-beneficio de toda la pila de tecnología contra pérdidas por una infracción, hasta todo lo demás.
Hay demasiado margen de error y no está claro si ciertos tipos de situaciones del mundo real podrían prevenirse bajo la organización de un CRO con antecedentes contables/legales y un CISO, que tendría antecedentes técnicos. Esencialmente, el BISO desempeña un papel vital en la mitigación de los riesgos de seguridad.
Por el momento, hay un poco de ambigüedad entre las descripciones de trabajo de un CISO y un BISO. Los departamentos de Recursos Humanos aún tienen que establecer una demarcación precisa entre los dos.
Sin embargo, es importante tener en cuenta que existen responsabilidades importantes en las que un BISO debe centrarse y problemas que un BISO debe abordar dentro de una organización. Es crucial definir los deberes y responsabilidades específicos de ambos roles para garantizar que se complementen entre sí y aborden de manera efectiva las necesidades de seguridad cibernética.
Al decidir si contratar o no a un BISO, la siguiente declaración de misión y las respuestas a las preguntas de la entrevista posterior lo ayudarán a tomar una decisión:
Misión: La responsabilidad del BISO es proteger la confidencialidad, integridad y disponibilidad de los sistemas de información y su impacto comercial.
Pregunta 1: Describa un desafío complejo de gestión de riesgos de negocios de información que enfrentó en su rol anterior como BISO (o similar), y cómo lo abordó.
Esta pregunta ayuda a medir la capacidad del candidato para manejar situaciones complejas de gestión de riesgos y le permite tener una idea de sus habilidades para resolver problemas. Un BISO fuerte debe poder proporcionar un ejemplo específico que muestre su experiencia en la identificación, evaluación y evaluación de los riesgos financieros, así como sus habilidades de toma de decisiones y liderazgo.
Pregunta 2: ¿Cómo se asegura de que la gestión de riesgos digitales esté integrada en la cultura y las operaciones de la organización?
Esta pregunta evalúa el enfoque de un BISO para integrar la gestión de riesgos en la cultura y las operaciones de la empresa. Un BISO de alto rendimiento debe tener una mentalidad estratégica y ser capaz de articular estrategias para crear una cultura consciente de los riesgos en toda la organización. Deben enfatizar la importancia de la gestión de riesgos como un proceso continuo y demostrar cómo han implementado con éxito las prácticas de gestión de riesgos en sus roles anteriores.
Pregunta 3: ¿Cómo se mantiene actualizado con las últimas tendencias de la industria y los cambios regulatorios relacionados con el papel emergente del BISO?
Esta pregunta evalúa el compromiso del candidato con el aprendizaje continuo y el desarrollo profesional. Un BISO de alto rendimiento debe estar bien informado sobre las últimas tendencias de la industria, los riesgos emergentes y los cambios regulatorios que pueden afectar a la organización. Deben demostrar un enfoque proactivo para mantenerse actualizados con información relevante y su capacidad para aplicar ese conocimiento para mejorar la rentabilidad general de la organización.
El reciente caso en el que Zurich Insurance se vio obligada a pagar 100 millones de dólares para la limpieza de NotPetya de Mondelez subraya la necesidad crucial de un BISO competente para gestionar complejas relaciones de seguros de ciberseguridad. Con la frecuencia y gravedad cada vez mayores de los ciberataques, un profesional de este tipo es esencial para mitigar los riesgos financieros y de reputación asociados con los incidentes.
Considere contratar un BISO hoy. Para obtener más información sobre el rol de BISO, por favor véase CyberTalk.org cobertura pasada. Por último, para recibir noticias de ciberseguridad más oportunas, informes de primer nivel y análisis de vanguardia, regístrese en el cybertalk.org boletín de noticias.
El puesto Por qué los BISO deben supervisar las políticas e informar a los CROs apareció primero en Charla cibernética.