Krypton Solid

Krypton Solid
Krypton Solid

La última tecnología en raciones de 5 minutos

Profesionales de InfoSec aprovechados para promover la ‘cultura de la seguridad’

La Conferencia Internacional de la AISS 2015 comienza del 12 al 13 de octubre en Chicago, y se produce cuando la ciberdefensa global sigue siendo una prioridad para las empresas que luchan con el impacto de la vigilancia en la privacidad del consumidor, el aumento de ataques patrocinados por el estado y una serie de eventos de alto perfil. fugas de datos. Los organizadores de la conferencia dijeron que la seguridad de la información se ha convertido un desafío omnipresente eso requiere la cooperación de toda la organización, y la conferencia de este año alienta a los jefes de seguridad de la información ya su personal a «promover una cultura de seguridad» que impregne el negocio.

En esta sesión de preguntas y respuestas con AISS La directora de la junta internacional Candy Alexander y Conferencia internacional de la AISS presidente Stefano Zanero, discuten cómo los profesionales de la seguridad de la información (InfoSec) pueden promover una cultura de seguridad en su organización, y cómo las responsabilidades de estos empleados han cambiado frente al rápido avance de la tecnología y las amenazas.

¿Qué pueden hacer los profesionales de InfoSec para promover una «cultura de seguridad» en sus organizaciones y hacer de la protección de la información una prioridad empresarial en lugar de una ocurrencia tardía?

Candy Alexander: Para cambiar la cultura de la empresa, debe comenzar desde arriba, con la suite «C». Una vez que el CEO preste atención a la seguridad, el resto de la organización lo seguirá. Pero para que el director ejecutivo preste atención, la persona de seguridad debe comprender el negocio.

CONTENIDO RELACIONADO  Crear una base de datos de SQL Server

En otras palabras, el personal de seguridad debe preguntar sobre el negocio y luego hacer una mini evaluación de riesgos para responder ciertas preguntas: ¿Están seguros los datos? ¿Cómo se puede trabajar de forma más segura? Luego, pueden regresar y hablar con la empresa y educarlos sobre los riesgos potenciales y cómo pueden mitigarse. Al tener conversaciones como estas, la empresa comienza a ver que la seguridad debe incorporarse al nuevo desarrollo y la planificación. Es un cambio lento, pero efectivo.

¿Cómo han evolucionado las funciones de los profesionales de InfoSec a medida que la protección de datos se ha convertido en una de las principales preocupaciones de las empresas de todo el mundo? ¿Se han involucrado más en las decisiones comerciales a medida que la seguridad de la información se ha convertido en una prioridad?

Stefano Zanero: Dado que realmente no pudimos involucrar a la junta directiva, fue la junta la que se interesó en nosotros. De repente, el leitmotiv de las conferencias cambió de ‘¿cómo obtengo el compromiso de mi junta?’ para ‘ayudar, mi junta directiva está haciendo preguntas muy difíciles’.

Este es nuestro desafío en este momento: cómo demostrar el valor de los programas de ciberseguridad a una junta repentinamente interesada, pero no necesariamente receptiva ni informada.

Tiene que empezar desde arriba, con la C-suite. Una vez que el CEO preste atención a la seguridad, el resto de la organización lo seguirá.

Alexander caramelodirector de la Junta Internacional de la AISS

Alexander: Como profesional, me gustaría decir ‘sí, nuestros roles han evolucionado’. Pero todo depende de la industria y el nivel del rol en la organización. Para el personal de nivel de entrada hasta el puesto de nivel medio de carrera, el rol se ha vuelto bastante definido y en el objetivo dentro de la mayoría de las organizaciones. Hay expectativas claras de lo que van a hacer y cómo hacerlo.

Sin embargo, todavía estamos despejando el camino en los niveles más ejecutivos, donde los roles y las expectativas están por todas partes. Se están logrando avances, pero aún existe el debate sobre si un CISO debe tener grandes habilidades técnicas o más habilidades comerciales. Eso está determinado por la naturaleza del negocio de la organización. Dicho esto, estamos viendo que la balanza se inclina más hacia alguien que tiene una sólida formación técnica, pero [who] lo que es más importante, puede hablar y caminar cuando se trata de trabajar con la empresa.

¿Cómo ha Internet de las Cosas complicados roles de los profesionales de InfoSec? ¿Qué nuevos tipos de amenazas a la seguridad de la información son creadas por la nueva prevalencia de IoT?

Alexander: Si bien IoT hace que nuestras vidas sean más fáciles de vivir, ha complicado las cosas ‘detrás de la cortina’. Ahora más que nunca, es más evidente que la seguridad debe integrarse durante los ciclos de desarrollo. Esto es algo que la profesión de la seguridad ha estado diciendo durante años … hay un costo por agregar seguridad después del lanzamiento de un producto. El costo es ahora más alto que nunca e incluso existe la posibilidad de que se pierdan vidas humanas. Nunca ha sido tan importante garantizar que las comprobaciones de vulnerabilidades de seguridad se incluyan y solucionen dentro del ciclo de desarrollo. Lo estamos viendo con el trabajo que están haciendo Chris Valasek y Charlie Miller con los automóviles. También lo hemos estado viendo en la industria de dispositivos biomédicos. Es hora de tomarse en serio la seguridad.

Zanero: Los sistemas ciberfísicos definitivamente plantean desafíos novedosos que algunos de nosotros intentamos (sin éxito) señalar antes de tiempo. Recuerdo presentaciones de un joven y desconocido. Morgan Marqués-Boire que cayó en oídos sordos hace unos siete años.

El problema es que evaluar el impacto de una vulnerabilidad ciberfísica requiere una comprensión profunda del sistema al que está conectado, algo que no todos los profesionales de InfoSec están capacitados para comprender. Esto probablemente aumentará la necesidad de una educación en ingeniería para al menos una parte de la fuerza laboral en ciberseguridad.

¡Haz clic para puntuar esta entrada!
(Votos: Promedio: )

También te puede interesar...

Elegir entre métodos de virtualización del kernel

Conclusión del proveedor de soluciones: Los proveedores de soluciones tienen algunas opciones cuando utilizan la virtualización del kernel, y este extracto del capítulo explica lo que debe hacer para satisfacer las necesidades de virtualización de

¿Qué es un caso de prueba? ¿Qué es un requisito?

Los malentendidos graves y las malas comunicaciones pueden provenir de usar inadvertidamente diferentes significados para el mismo término aparentemente simple, como el elemento fundamental de la prueba: «caso de prueba». Se proporciona una herramienta para

Adiós, conferencia VMware PEX

La conferencia VMware Partner Exchange de este año será la última. En el futuro, VMware transformará PEX en VMWorld y agregará Partner Business Summit 2016 para la audiencia empresarial dentro de su base de socios.

¿Qué es exactamente una herramienta ALM?

Muchos proveedores anuncian que sus herramientas son «herramientas ALM». ¿Cuáles son las características distintivas de una herramienta ALM? Al mirar las herramientas de ALM, encontrará que la categoría incluye todos los productos que de alguna

¿Qué es la biblioteca de plantillas activas (ATL)?

Active Template Library (ATL), anteriormente llamada ActiveX Template Library) es una biblioteca de programas de Microsoft (conjunto de rutinas de programas preempaquetadas) para usar al crear código de página Active Server (ASP) y otros componentes

¿Qué es la prueba de caja gris (caja gris)?

La prueba de caja gris, también llamada análisis de caja gris, es una estrategia para la depuración de software en la que el evaluador tiene un conocimiento limitado de los detalles internos del programa. Una

¿Qué es la aplicación web progresiva (PWA)?

Una aplicación web progresiva (PWA) es un sitio web que se ve y se comporta como si fuera una aplicación móvil. Las PWA están diseñadas para aprovechar las funciones nativas de los dispositivos móviles, sin

5 pros y contras de las implementaciones de IoT

Parece haber dos narrativas un tanto contradictorias en torno a IoT en la actualidad. Por un lado, la inversión global en IoT continúa aumentando, con IDC informando en 2019 que crecería de $ 646 mil

¿Qué es la lista de acceso (AL)?

Una lista de acceso (AL) es una lista de permisos que se utilizan en seguridad física y de tecnología de la información (TI) para controlar a quién se le permite el contacto con un activo

¿Cuál es la diferencia entre SLO y SLA?

Un acuerdo de nivel de servicio es un contrato entre un proveedor de servicios externo y sus clientes o entre una TI … departamento y las unidades de negocio internas a las que sirve. El

5 componentes de la arquitectura de transmisión de IoT

Diseñar aplicaciones de IoT es similar a construir una casa: las organizaciones necesitan una base sólida para admitir variaciones de aplicaciones. Para IoT, esa base es la arquitectura de transmisión. Los arquitectos de software deben

Healthcare CRM impulsado por la entrada de Salesforce

Salesforce, la potencia de CRM, atrajo mucha atención cuando anunció su paso al mercado de TI para la salud. Sin embargo, proveedores como hc1.com ya están vendiendo sistemas basados ​​en la nube para la gestión

No descarte la virtualización de IBM en la plataforma Z

En las circunstancias adecuadas, la virtualización de IBM en la plataforma Z podría conducir a flujos de trabajo más eficientes y… operaciones optimizadas, especialmente con algunas de las mejoras en el sistema z14. Los equipos

Adelante ahora

¡Gracias por unirte! Accede a tu Pro + Contenido a continuación. La idea de dispositivos incalculables que se comunican entre sí puede tener un aura de ciencia ficción, pero esto es lo que recomendamos: si

Cómo funciona la duplicación de tráfico de AWS VPC

Las redes en la nube pueden ser lugares congestionados y caóticos, con un complejo laberinto de conmutadores, enrutadores y puertas de enlace sobre rutas tanto físicas como virtuales. Para equilibrar las cargas de tráfico, bloquear

Alabando todo a Voidtools – Windows Enterprise Desktop

Según su descripción en línea, voidtools Everything «es una utilidad de búsqueda de escritorio para Windows que puede encontrar rápidamente archivos y carpetas por nombre». He sido usuario y fanático de esta herramienta durante años.

Dominio 2 de CISSP: seguridad de activos

Nota del editor Los periodistas saben que una noticia bien escrita debe responder a estas seis preguntas: ¿Quién, qué, cuándo, dónde, por qué y cómo? Resulta que son igualmente cruciales para que los profesionales de

Una guía para seleccionar el mejor producto

Si se enfrenta al desarrollo de un plan de continuidad del negocio (BC) y/o un plan de recuperación ante desastres (DR), muchas de… hay ayuda disponible. Puede pedirle a un consultor experimentado que desarrolle el

Inicio de un proyecto CRM o SFA de Salesforce.com

Disminuir los pedidos incorrectos al 1% Por supuesto, no puedes tenerlo todo. Mantenga la lista lo más breve posible desde el punto de vista político. Pero no importa cuántas métricas haya, la alta dirección debe

Deja un comentario