El CISO, un superhéroe con poderes frustrados.

¿Superhéroes CISO? Los CISO están sometidos a estrés. Estas son las conclusiones de un estudio realizado por Vanson Bourne por encargo de Nominet, en el que participaron 800 responsables de seguridad de sistemas de información de Estados Unidos y Gran Bretaña. Aunque Francia no se incluyó en el estudio, parece razonable suponer que la situación es similar. ¿Por qué este estrés? Sencillamente porque el CISO asume una misión de superhéroe, la del CISO superhéroe, sin disponer de los medios adecuados.

Compartir

Por qué los CISO son como superhéroes

En los cómics, el superhéroe es el que lucha contra las amenazas que el común de los mortales es incapaz de detener. En el lugar de trabajo, el CISO lucha contra un tipo de amenaza muy especial. Los empleados, e incluso los altos directivos, aún no comprenden suficientemente las ciberamenazas, a pesar de que la batalla contra ellas es cada vez más compleja.

Los retos de ciberseguridad son considerables

Por supuesto, el trabajo diario de un CISO no consiste en evitar que el mundo se derrumbe. Sin embargo, sí tiene una gran responsabilidad, dadas las graves consecuencias que puede tener un ciberataque: ralentización o detención de la producción, indisponibilidad del sitio web, retrasos en las entregas y contratiempos contractuales, daños a la imagen de la empresa, etc.

Las cifras en este punto son edificantes, pues ya en 2019, el 65% de las empresas había sufrido un ataque, con, en el 57% de los casos, un impacto en el negocio (fuente: Barómetro de Seguridad Empresarial CESIN-Enero 2020).

Todos los CISO son también conscientes de que su organización está en peligro, sean cuales sean sus características, y la experiencia demuestra que los ataques afectan a todo tipo de estructuras, a veces con consecuencias desastrosas. Por poner solo un ejemplo, Lise Charmel entró en suspensión de pagos tras dos meses de inactividad y pérdidas de varios millones de euros.

El negocio es cada vez más complejo

Aunque el alcance del trabajo del CISO depende en gran medida del tamaño y la organización de la organización que lo emplea, la gama de tareas sigue siendo considerable. Éstas cubren todas o parte de las cinco fases identificadas en el Marco de Ciberseguridad del NIST (identificar, proteger, detectar, responder, recuperar), que parece ser una herramienta relevante en la gestión de los ciberriesgos.

Pero la verdadera complejidad de la empresa no se debe únicamente a este perímetro: también se debe al hecho de que las amenazas aumentan constantemente, y ahora adoptan todas las formas.

En la práctica, esto queda ilustrado por :

  • la variedad de los vectores de ataque : phishing o spear-phishing (79% de los ataques), estafas presidenciales (47% de los casos), explotación de una vulnerabilidad (43%), pero también intentos de conexión, ataques de denegación de servicio, ataques de rebote a través de un proveedor de servicios, sin olvidar los casos de divulgación deliberada de información ;
  • la diversidad de las consecuencias de los ataques, que pueden ir desde la usurpación de identidad o la infección por malware o ransomware, hasta el robo de datos, el cryptojacking o la desfiguración de sitios web;
  • el desarrollo de prácticas "de riesgo", en particular la transición a la computación en nube, las TI en la sombra, etc.

¿Conclusión? Se supone que el CISO debe verlo todo, saberlo todo, anticiparlo todo, evitarlo todo y -si el incidente no puede evitarse- arreglarlo todo. En otras palabras, desempeñar el papel de superhéroe de la seguridad, sin que se le asignen necesariamente los recursos correspondientes.

Los superpoderes del CISO siguen siendo ignorados

La profesión de CISO, si bien despierta hoy en día la curiosidad y el deseo de los reclutadores, sigue siendo un trabajo "nuevo". Sin duda, esto explica en parte por qué muchas organizaciones aún no son plenamente conscientes del potencial de esta función.

Los retos de ciberseguridad aún no se conocen bien

Aunque la mayoría de las empresas han dado el paso de adoptar una protección básica contra el malware, lo cierto es que las organizaciones siguen rezagadas en materia de ciberseguridad.

  • Sólo el 39% afirma estar suficientemente preparado en caso de ciberataques a gran escala.
  • Del 89% de las empresas que utilizan la nube, el 55% opta por la nube pública, lo que significa que no tienen control sobre la subcontratación realizada por el proveedor de alojamiento, y no pueden auditar ni controlar el uso que hacen de sus datos los empleados.
  • Más del 40% de las empresas en 2019 se enfrentaron a una negligencia o a un error de manipulación/configuración por parte de un empleado.

La conclusión es clara: aún queda mucho camino por recorrer, y los CISO aún tienen mucho que evangelizar.

 

El CISO: ¿superhéroe o plaga?

Cuando un tema se entiende mal, las profesiones relacionadas con él se entienden mal o incluso se perciben mal.

Esto es precisamente lo que están experimentando varios CISO, percibidos como frikis simpáticos en el mejor de los casos y, en el peor, como "alborotadores" que ralentizan o bloquean proyectos.

Un estudio de IDC realizado por Devoteam muestra que en más de un tercio de las organizaciones, la seguridad sigue siendo una "idea tardía" cuando se trata de iniciativas y nuevos proyectos.

En otras palabras, dos de cada tres veces, el CISO es el experto que olvidamos... ¡o incluso evitamos cuidadosamente consultar!

¿Y si los CISO desplegaran sus poderes?

Los CISO pueden estar tranquilos: aunque el trabajo sea a la vez complejo y poco comprendido, ¡las cosas están cambiando!

ciberseguridad gana terreno

Es cierto que a las organizaciones les queda mucho camino por recorrer en ciberseguridad. Pero veamos el vaso medio lleno: ¡están progresando! Al menos, eso es lo que muestran las cifras del barómetro ciberseguridad 2020.

  • El 91% ha puesto en marcha un programa de ciberresiliencia o está considerando hacerlo (12 puntos más que el año pasado).
  • El 60% ha contratado un seguro cibernético (1 punto porcentual más que el año pasado).
  • El 62% se plantea aumentar los presupuestos asignados a la protección contra los ciberriesgos, y el 83% está dispuesto a adquirir nuevas soluciones técnicas.

Es cierto que los más pesimistas argumentarán que la crisis sanitaria del COVID, que surgió después de este estudio, probablemente tendrá un impacto en las organizaciones que tomen medidas, por razones presupuestarias. Sin embargo, el hecho es que la concienciación y las buenas intenciones están a la vista, con la perspectiva para los CISO de que los retos de ciberseguridad se tengan más en cuenta a más o menos largo plazo.

¡Cambiemos las cosas con Tenacy !

Aunque la vía de los superhéroes le parezca aún lejana, no desespere: esta tendencia emergente le ofrece la esperanza de poder explotar al máximo sus competencias y garantizar una mejor protección de su empresa.

Pero aprovechar mejor tus capacidades significa, ante todo, (re)encontrar tiempo para concentrarte en lo esencial y trabajar con eficacia.

¿Cómo hacerlo? En primer lugar, adoptando una solución específica que le permita :

  • automatizar lo que puede automatizarse(cálculo de indicadores, recogida de información);
  • orientación diaria (runtask, formalización del programa de seguridad);
  • disponer de la visibilidad necesaria para analizar su actividad(cuadros de mando de seguridad, evaluaciones de seguimiento, planes de control, etc.).

¿Sabía que existe una herramienta como ésta para apoyarle en su (súper) papel de CISO? Nuestra plataforma SaaS colaborativa y adaptable, ciberseguridad , es el resultado de 15 años de experiencia en consultoría de seguridad de sistemas de información.

Mucho más que una herramienta, Tenacy es la primera solución dedicada a la gestión de ciberseguridad. Diseñada por CISOs para CISOs, transforma su trabajo diario de tres maneras.

  • Eficiencia: tiempo ahorrado en tareas que consumen mucho tiempo y aportan poco valor añadido.
  • Visibilidad: visión de 360°, gracias a indicadores operativos y estratégicos claros.
  • Coherencia: alineación entre operaciones y objetivos
Póngase en contacto con nosotros