Krypton Solid

La última tecnología en raciones de 5 minutos

Investigación Sloan del MIT: los CISO ingresan a la sala de juntas

Stuart Madnick

Stuart Madnick

Una de las preguntas que Stuart Madnick hará a un panel de CIO en el próximo Simposio de CIO Sloan del MIT es a quién debe informar el CISO de la empresa. Madnick, profesor de tecnologías de la información en MIT Sloan, está interesado en los factores organizativos y de gestión que dan lugar a los robos cibernéticos, incluido el papel que juegan los CISO y CIO en la seguridad.

La investigación de MIT Sloan muestra que si bien las estructuras de informes de los CISO «están por todas partes», con los oficiales de seguridad que reportan a los CIO, CFO, directores de riesgos y directamente al CEO, una tendencia parece firmemente fijada: más interés de la junta en la ciberseguridad.

“Le daré una cita que recibí de un CISO recientemente. Dijo que en los últimos 10 años, se había reunido una vez con la junta directiva de su empresa. El año pasado, tuvo tres reuniones informativas con la junta ”, dijo Madnick. «De hecho, estamos viendo en algunos casos en los que el CISO informa directamente a la junta».

Investigación Sloan del MIT: TJX Cos.

El hecho de que las juntas directivas se centren en los roles y las relaciones de ciberseguridad es una señal positiva. Madnick, quien también es el director del Consorcio Interdisciplinario del MIT para Mejorar la Ciberseguridad de la Infraestructura Crítica (IC)3, cree que las empresas, y los programas de seguridad del gobierno federal, prestan muy poca atención a las estructuras organizativas y los incentivos que hacen que las empresas sean vulnerables a los ciberataques.

«Le daré un ejemplo rápido», dijo Madnick. «Hicimos un análisis detallado del robo de TJX, que fue en ese momento el robo de tarjeta de crédito más grande en 2005». Su grupo comparó su análisis con el análisis proveniente de la FTC y otras investigaciones y «encontró todo tipo de problemas en la organización que no habían sido cubiertos».

¿Tal como?

“Hubo un correo electrónico del CIO de TJX a su personal. Y el correo electrónico decía algo en el sentido de que, ‘Actualmente no somos PCI [Payment Card Industry Data Security Standard] obediente. Se necesitará bastante esfuerzo y costo para hacerlo. Estamos en noviembre. Estamos entrando en nuestra fiebre navideña. Este ha sido un año difícil económicamente. ¿No creen que estaría bien si aplazáramos el cumplimiento de PCI hasta el próximo año? ‘”, Relató Madnick, refiriéndose a un correo electrónico enviado por el entonces CIO Paul Butka en 2005.

“A esto se le llama correo electrónico donde la respuesta está incrustada en la pregunta. Puede que te sorprenda darte cuenta de que casi nadie en el personal vio ningún problema en hacer eso ”, dijo Madnick.

Deja un comentario

También te puede interesar...

Cómo gana dinero Morgan Stanley (MS)

Morgan Stanley comparte un nombre o parte de un nombre con JPMorgan Chase & Co. (JPM) y no es casualidad. «Morgan» de Morgan Stanley es el nieto de JP Morgan. La empresa fue fundada por

Definición de opción de abandono

¿Qué es una opción de abandono? La opción de renuncia es una cláusula en un contrato de inversión que otorga a las partes el derecho a rescindir el contrato antes del vencimiento. Agrega valor, dando

MS Money: ¿Mejor que Quicken?

Por primera vez, Microsoft Money está recibiendo mejores críticas que su arraigado rival Quicken, pero hasta ahora los usuarios de software de financiación de viviendas no parecen estar impresionados. Durante años, Microsoft Corp. (msft) El