Los 100 primeros días del CISO

Compartir

ciberseguridad No lo negará: en cualquier organización, el papel del CISO es fundamental, sobre todo en la aplicación y el seguimiento de las mejores prácticas internas . Desde hacer balance de laseguridad de la SI hastaanalizar los ataques anteriores, pasando por cartografiar los activos críticos y garantizar la continuidad de las acciones pasadas vinculadas a los análisis de riesgos, los 100 primeros días en el cargo de un CISO son cruciales para la organización.

Tenacy Lea en este artículo los resultados de un estudio realizado en colaboración entre y CESIN entre 131 CISO, que comparten los retos y los éxitos que han encontrado durante este periodo. Misiones prioritarias a realizar, problemas de comunicación dentro de la empresa... Entre visiones divergentes y misiones múltiples, sumérjase en los 100 primeros días de toma de posesión del cargo de CISO.

 

Los CISO, un recurso escaso para las empresas

Según nuestra encuesta, el CISO medio permanece en la misma empresa 3,7 años. Además, el 32% de los encuestados afirma haber cambiado de trabajo en los últimos 12 meses. Si estas estadísticas plantean dudas, pueden explicarse por dos factores.

El primero se debe a un mercado laboral con escasez de expertos en seguridad informática, que está viendo cómo se disparan los niveles salariales, lo que aumenta mecánicamente la rotación de personal. Una encuesta de OpinionWay realizada para CESIN en 2021 reveló que el salario medio de un CISO era de 89.200 euros, más del doble del salario medio[1] en Francia.

El segundo factor es elagotamiento de algunos ciberprofesionales, que se enfrentan a un recrudecimiento de ciberataques cada vez más sofisticados. ciberseguridad Con las vulnerabilidades Log4Shell/Log4j (CVE-2021-44228), Microsoft Exchange Privilege Escalation (CVE-2022-41080) y VMWare File deletion (CVE-2023-20854), los últimos años han sido otro periodo de mucho trabajo para los ciberprofesionales . ciberseguridad En 2022, en un informe titulado "The state of ", el editor Splunk anunció que el 73% de las dimisiones entre los ciberprofesionales de todo el Atlántico se debían al agotamiento. Un fenómeno que no parece que vaya a remitir en 2024.

 

Las cualidades requeridas de un CISO difieren según el tamaño de la empresa

ciberseguridadSegún nuestro estudio, las empresas con menos de 5.000 empleados esperan que los CISO tengan una cultura de que les permita comprender los riesgos específicos de la empresa y asesorar a los equipos sobre las acciones y mejores prácticas a adoptar.

Para los CISO de las grandes organizaciones, el primer requisito es adquirir un profundo conocimiento del negocio de la empresa. Muchos sectores están sujetos a restricciones de cumplimiento, como :

  • el sector bancario con DORA ;
  • el sector industrial con la LPM (ley de programación militar) y el NIS 2 ;
  • el sector sanitario, con NIS 2 y el decreto HDS (alojamiento de datos sanitarios).

En algunos casos, estas organizaciones tienen sistemas de producción obsoletos que requieren una planificación con meses de antelación antes de poder realizar cualquier actualización. Sin un conocimiento profundo de la situación existente y de las limitaciones que impone, el CISO no podrá implantar una política de seguridad y una hoja de ruta cibernética aplicables a la empresa.

El estudio también identificó una cualidad esencial que se espera de los CISO, sea cual sea el tamaño de su organización: deben ser capaces de establecer una vigilancia normativa adecuada y tenerla en cuenta a diario.

 

La prioridad es la estructuración, el resto tendrá que esperar.

Durante estos primeros 100 días, los CISO centran su atención en estructurar el SI. Para el 55% de los encuestados, el mapeo de los procesos empresariales vitales es una prioridad.

Para el 41% de los encuestados, también es esencial familiarizarse con la cartografía de los SI. Esta acción va acompañada de un inventario de la seguridad del sistema de información ya implantado. Este inventario tiene en cuenta varios temas, como :

  • procesos y competencias internas ;
  • las soluciones de seguridad utilizadas por la empresa ;
  • gobernanza ;
  • seguridad operativa ;
  • gestión del cumplimiento.

 

La comunicación, gran reto de los 100 primeros días

Para el 55% de los encuestados, es esencial darse a conocer como CISO a todos los equipos, socios y subcontratistas. Identificarse con la alta dirección de la empresa es esencial para el 65% de los encuestados. Al asesorar a la dirección de la empresa sobre la aplicación de la Política de Seguridad de la SI (ISSP) y definir la hoja de ruta cibernética, el CISO aumenta la concienciación sobre la amenaza y se esfuerza por unir a los equipos en torno a esta cuestión.

Esta etapa de comunicación también permite al CISO reunirse con los proveedores de servicios y subcontratistas presentes en el entorno de la empresa. Lejos de una evaluación en profundidad, esta reunión proporciona al menos un nivel inicial de conocimiento y concienciación sobre el funcionamiento de la empresa y su nivel de exposición.

Sin embargo, esta tarea no es prioritaria para los responsables de la toma de decisiones en los primeros 100 días, ya que sólo el 23% de los encuestados declaran que esta acción es importante y sólo el 10% esencial. Roma no se construyó en 100 días: ¡los CISO también tienen que priorizar!

 

El análisis de auditorías e incidentes de seguridad es un segundo paso

Desgraciadamente para los CISO, el periodo de 100 días es demasiado corto para permitirles tener en cuenta todas las cuestiones. Para nuestro panel, es el análisis de eventos pas ados lo que se considera menos prioritario. Para el 50% de los encuestados, el análisis de auditorías pasadas parece ser una acción a tratar durante este periodo; el 16% lo define como esencial, mientras que para los demás tendrá que esperar.

Elanálisis de los incidentes de seguridad también recibe menos atención, ya que sólo el 6% de los encuestados lo declaran esencial y el 35% importante.

 

LA ÚLTIMA PALABRA

Durante los primeros 100 días, los CISO tienen que hacer frente a una gran variedad de problemas:

  • conocer las herramientas y las decisiones tomadas por los anteriores equipos directivos;
  • ser identificado como experto al comunicarse con las partes interesadas de la empresa;
  • aplicar y supervisar las medidas de gobernanza y cumplimiento...

Cada uno de ellos debe imponer su visión y su impronta adaptándolas a su nueva empresa. Las exigencias de conformidad vinculadas a la actividad, el tamaño de la empresa... las expectativas de las organizaciones y las misiones asociadas divergen para los CISO. Para conocer en detalle (y en imágenes) cómo se han desarrollado estos 100 primeros días, rellene el formulario de al lado para ver los resultados de nuestro estudio.

[1] Fuente: https://business-cool.com/decryptage/salaire/salaire-moyen-median-france/

¿Le interesa este tema? TENEMOS UN seminario web para usted
OCUPAR CON ÉXITO UN NUEVO PUESTO: LAS PALABRAS DE UN RSSI


Organizado en colaboración con CESIN, este seminario web da la palabra a los CISO que han cambiado de trabajo recientemente. Nuestros invitados repasan este periodo crucial, hablan de los retos a los que se enfrentaron y comparten sus consejos.

Ver la repetición