Capacitaciones de CISO, Liderazgo y comunicación ejecutiva, Capacitación y liderazgo en seguridad Andres Andreu analiza cómo hacer que una organización sea segura y exitosaCyberEdBoard • 15 de julio de 2024 Andres Andreu, CISO adjunto, Hearst y miembro de CyberEdBoard Muchos líderes de ciberseguridad promocionan la noción de que la ciberseguridad es un facilitador comercial como una forma de elevar su marca personal, pero la idea está respaldada por el conocimiento y ejemplos del mundo real. El desafío es educar a la alta gerencia sobre por qué la ciberseguridad es un facilitador comercial. Ver también: Clínica de seguridad de identidad Los equipos de ciberseguridad generalmente se enfocan en mostrarles a los líderes comerciales cómo su seguridad es débil o en implementar barandillas y controles de protección. Para que la ciberseguridad sea un facilitador comercial, los equipos de ciberseguridad deben enfocarse en abrir las cosas de una manera segura para que la funcionalidad y la productividad del negocio puedan florecer. Puede hacer esto reduciendo o eliminando barandillas y controles excesivos o innecesarios. Examine continuamente los controles y evalúelos en relación con las operaciones comerciales. Apunte a aquellos que obstaculizan la innovación y las nuevas iniciativas y no agregan valor tangible. Estos pueden existir en forma de deuda técnica. En los negocios, la ciberseguridad ya no se trata solo de mecanismos de protección. A medida que la tecnología avanza y agrega valor a las empresas, la ciberseguridad debe ser una prioridad. El objetivo organizacional ya no puede ser solo el negocio; debe ser un negocio seguro. Un negocio seguro significa proteger activos, clientes e ingresos. En un negocio seguro, la ciberseguridad habilita al negocio y lo empodera para crecer. Áreas en las que la ciberseguridad puede permitir la reducción del riesgo empresarial Cualquier evento cibernético (un ataque, incidente, etc.) puede tener un impacto negativo significativo tanto a nivel operativo como financiero. Las medidas de ciberseguridad sólidas son una forma común de reducir el riesgo relacionado con el ciberespacio y evitar costosos honorarios legales y pérdida de ingresos. Ejemplo: una organización implementa cifrado nativo a nivel de columna de base de datos y cifrado de extremo a extremo para aplicaciones, API, etc., que protege los datos del cliente tanto en reposo como en tránsito y dificulta que un actor malicioso ataque a la organización que tiene responsabilidades de custodia sobre los conjuntos de datos relevantes. Este movimiento aumenta la confianza en la organización al reducir el riesgo de fuga y/o exposición de datos. Al hacer todo lo que otras organizaciones no harían, la empresa demuestra que realmente se preocupa por la seguridad y la protección de datos. Protección de activos Los controles de ciberseguridad y los mecanismos de protección pueden proteger los activos de una organización: sus datos, personas, equipos tecnológicos, etc. Al proteger activamente los activos y prevenir las violaciones de datos, una organización puede evitar un posible impacto comercial negativo, financiero o de otro tipo. Y como la organización no tiene que preocuparse por ese daño potencial, puede operar de manera segura y enfocada. Ejemplo: una empresa es la custodio de los datos de clientes almacenados de forma persistente y ha crecido con el tiempo mediante adquisiciones. Esto significa que muchos miembros diferentes del equipo de ingeniería han tocado los muchos elementos que componen esta solución orientada al cliente. Un ejercicio de descubrimiento de datos impulsado por la ciberseguridad revela que algunas columnas específicas en una base de datos almacenan PII. Estos datos se almacenan sin cifrar. El equipo de ciberseguridad trabaja con los equipos de ingeniería para implementar el cifrado nativo a nivel de columna y luego modificar adecuadamente todas las aplicaciones y API, lo que protege los datos confidenciales de los actores maliciosos, generando confianza con los clientes y socios. Esa confianza permite que el negocio crezca. Cumplimiento y cumplimiento normativo El cumplimiento y la gobernanza no son lo mismo que la seguridad y la protección, pero cumplir con las normas tiene un valor comercial. La ciberseguridad puede agregar valor a una empresa al garantizar el cumplimiento de las normas pertinentes, lo que reduce el riesgo de que una empresa incurra en multas, sanciones y problemas legales. El cumplimiento normativo también genera una validación externa del nivel de madurez de seguridad de una organización, lo que proporciona valor comercial, especialmente si la entidad externa es conocida en la industria por tener una gran experiencia y ser respetable. Ejemplo: cuando se está considerando una empresa para una adquisición, se espera que proporcione evidencia de madurez de seguridad de alguna fuente objetiva o externa. Las entidades que no tienen este tipo de evidencia serán percibidas como inmaduras o como si no se tomaran la seguridad en serio, y eso puede perjudicar la probabilidad de ser adquiridas. Diferenciación Sufrir un evento de seguridad negativo indica alguna brecha o deficiencia en la postura de seguridad de una organización. Todas las organizaciones tienen brechas de seguridad, pero algunas nunca informan un evento de seguridad negativo, probablemente porque han invertido más recursos en diferenciarse de sus competidores. La implementación de medidas de protección sólidas muestra a los clientes que una organización se toma la seguridad en serio, lo que la convierte en un socio comercial más atractivo. Ejemplo: una organización realiza evaluaciones y pruebas de penetración honestas, objetivas y continuas contra sus entornos de cara al cliente y publica los resultados sin adornos para que todo el mundo los vea. Esta transparencia muestra buena voluntad y confianza y diferencia a la organización de otras que no son tan comunicativas y transparentes. Confianza de clientes y socios Los clientes y socios son cada vez más conscientes de los riesgos cibernéticos y priorizan la ciberseguridad cuando consideran participar en negocios. Al implementar medidas de ciberseguridad efectivas, una empresa puede mejorar la confianza que los clientes y socios potenciales tienen en ella. Con el tiempo, esto conducirá a una mayor lealtad y confianza. Ejemplo: un ejercicio de descubrimiento de datos impulsado por la ciberseguridad expone muchos años de deuda técnica en forma de archivos no cifrados que contienen datos personales o confidenciales. Este es un riesgo obvio si un actor malicioso accediera a estos archivos. El equipo de ciberseguridad se relaciona con los equipos de ingeniería y TI relevantes para limpiar esto y comparte su descubrimiento y la acción posterior con las partes relevantes para demostrar su compromiso con el ahorro de costos, la seguridad y la protección de datos. Esto genera confianza con los clientes y socios, lo que permite el crecimiento. Innovación Como empresas, la innovación es un diferenciador, y la innovación segura requiere la participación de la ciberseguridad. Al implementar medidas de ciberseguridad que se alineen con las estrategias comerciales en la adopción de tecnologías en desarrollo, como la inteligencia artificial, una empresa puede mejorar su agilidad y competitividad. Ejemplo: una empresa de fabricación de IoT está construyendo sensores que enviarán automáticamente datos de telemetría a un ecosistema basado en la nube para su almacenamiento y análisis final. El equipo de ciberseguridad trabaja con los desarrolladores de software para asegurarse de que los datos se transmitan de la manera más segura posible: una combinación de cifrado ortogonal que cubre tanto los flujos de transmisión como las cargas útiles. Dado eso, los ejecutables autónomos se pueden compilar de forma nativa para múltiples plataformas. Ese modo de transmisión protegido se vuelve portátil. El equipo de diseño de hardware puede entonces cambiar de marcha y cambiar las plataformas integradas según sea necesario. No tiene que preocuparse por el mecanismo de transporte de datos. Esto mejora la I+D, la eficiencia y la agilidad de la producción; reduce los costos; y permite que el negocio escale. CyberEdBoard es la principal comunidad exclusiva de ISMG compuesta por ejecutivos de alto nivel y líderes de opinión en los campos de seguridad, riesgo, privacidad y TI. CyberEdBoard ofrece a los ejecutivos un poderoso ecosistema colaborativo impulsado por pares, reuniones privadas y una biblioteca de recursos para abordar desafíos complejos compartidos por miles de CISO y líderes de seguridad sénior ubicados en 65 países diferentes en todo el mundo. Únase a la comunidad: CyberEdBoard.io. Solicite la membresía Andres Andreu es responsable de revisar y optimizar los procesos de desarrollo de software para garantizar una entrega consistente y predecible. Su experiencia abarca la gestión de la seguridad de la información y la seguridad cibernética y de aplicaciones web. Andreu tiene casi 30 años de experiencia y ha trabajado en la Administración de Control de Drogas de los EE. UU. URL de la publicación original: https://www.databreachtoday.com/blogs/cybersecurity-be-businesses-enabler-p-3668