Krypton Solid

La última tecnología en raciones de 5 minutos

CIO del MIT: la estructura de informes del CISO debe cambiar

Con la explosión del Internet de las cosas, es hora de repensar el rol de CISO, incluyendo a quién reporta ese rol. Este fue el consenso de un panel de líderes de seguridad en el Simposio Sloan CIO del MIT de este mes en Cambridge, Mass. La estructura de informes tradicional que coloca a los oficiales de seguridad y riesgos bajo la organización de TI no funciona en la era de las cosas conectadas a Internet, ellos dijo.

El crecimiento masivo en la cantidad de dispositivos conectados creará nuevas y emocionantes oportunidades para las empresas, pero también creará más superficies de ataque, dijo el panel. IoT equivale a más riesgos cibernéticos, mejores piratas informáticos y un mercado negro floreciente para los datos robados de esos dispositivos. De hecho, el impacto de IoT en el gasto en seguridad podría ser enorme: de $ 6,89 mil millones en 2015 a $ 28,90 mil millones en 2020, según una estimación de la firma de investigación Markets and Markets.

El desafío de IoT para los líderes en seguridad es doble: necesitan convencer a sus empresas de que la seguridad debe integrarse en los productos y servicios habilitados para Internet desde el principio; también deben mostrar a la empresa y a los miembros de la junta que la seguridad es un facilitador, no un obstáculo, para los procesos comerciales.

Ese es un gran obstáculo que superar, dijo Mark Morrison, vicepresidente senior y CISO de State Street Corp. en Boston. Según su experiencia, los empleados, incluidos los líderes empresariales, no comprenden realmente cómo encaja la seguridad en las operaciones comerciales.

«Estamos constantemente equilibrando las operaciones con la seguridad», dijo. «Es un desafío mucho mayor, porque todo lo que la gente hace con una computadora, espera que funcione milagrosamente».

Esta falta de comprensión va en ambos sentidos: los líderes de TI a menudo han sido culpables de implementar herramientas para el negocio sin comprender completamente los riesgos y requisitos comerciales, dijo Sam Phillips, CISO de Samsung Business Services.

La estructura de informes es una barrera para la ciberseguridad

El primer paso para cambiar el rumbo de cómo la empresa ve la función de seguridad es hacer que el rol de CISO opere independientemente de la organización de TI, dijeron Morrison y Phillips.

El trabajo de Morrison en State Street es su quinto período como director de seguridad, y siempre ha reportado al CIO.

Pero en State Street, Morrison también reporta directamente a la junta. “Soy el único ítem permanente de la agenda”, dijo sobre las reuniones de la junta, que se reúne nueve veces al año. Cada vez, responde las mismas preguntas sobre los riesgos cibernéticos: ¿Qué tan graves son? ¿Tiene suficientes recursos para hacer su trabajo? Todo esto mientras su jefe, el CIO, se sienta a su lado.

“Lo que pasa es esta tensión natural entre las operaciones y la ciberseguridad, y hay una cantidad limitada de dinero. Hay un límite de tiempo y priorización que se puede asignar ”, dijo. La estructura de los informes hace que sea «difícil dar una respuesta muy honesta».

Phillips estuvo de acuerdo en que la estructura de informes actual se ha convertido en un obstáculo. En su trabajo anterior de CISO, comenzó a reportar al CIO y le resultó difícil mantener la seguridad avanzando. Un gran problema fueron los recursos.

“Quería dinero para impulsar programas de seguridad”, dijo Philips, pero cuando la seguridad estaba “escondida en la organización de otra persona”, sus programas a menudo no recibían atención. Finalmente, terminó reportando al director legal. Esta separación de TI le permitió mantener el impulso de sus programas.

«Creo que muchas empresas van a ver [CISOs and] directores de riesgos que reportan directamente al director de operaciones o al director ejecutivo ”, dijo Morrison. Phillips estuvo de acuerdo y agregó que ha visto varias otras compañías en las que estas funciones reportan directamente al comité de auditoría o al directorio.

Deja un comentario

También te puede interesar...

El mejor negocio en línea | Krypton Solid

Hasta ahora, escuchamos cada vez más acerca de las oportunidades de ingresos que ofrece la gran red. Leyendo algunas páginas y viendo algunos videos en las redes sociales, parece que montar un negocio online es

Definición de la estrategia de inversión defensiva

¿Qué es una estrategia de inversión defensiva? Una estrategia de inversión defensiva es un método conservador de asignación y gestión de la cartera, diseñado para minimizar el riesgo de perder el principal. Recomendaciones clave Las

Definición de corredor de bolsa

¿Qué es un corredor de bolsa? Un corredor de bolsa (BD) es una persona o empresa en el campo de la compra y venta de valores por cuenta propia o en nombre de sus clientes.

Mapeo del panorama de datos

Este artículo apareció originalmente en BeyeNETWORK Si la función de gestión de la información empresarial tiene éxito donde no lo hizo la función de administración de datos, entonces debe abordar el problema del panorama de

Definición de depósito nocturno

¿Qué es un almacenamiento nocturno? Un depósito nocturno es un banco seguro en el que los titulares de cuentas (generalmente propietarios de pequeñas empresas o empleados) pueden depositar su efectivo diario, cheques y comprobantes de

Elija un servicio en la nube mientras espera iCloud

Hay muchos rumores sobre iCloud, el legendario servicio de datos en la nube nombre en código «Castillo» encontrado en Mac OS 10.7, pero si necesita almacenamiento en línea ahora mismo? Si necesita la integración de

La asociación IBM-Salesforce une a Watson y Einstein

Watson, conozca a Einstein. Einstein, te presento a Watson. Dos de las marcas en capacidades de IA se están uniendo, con una asociación IBM-Salesforce que se espera que facilite la recopilación de información de ambas

Definición Ley de protección de propietarios

¿Qué es la Ley de Protección de Propietarios? La Ley de Protección de Propietarios de Vivienda de 1998 es una ley diseñada para reducir el pago innecesario del seguro hipotecario privado (PMI) por parte de