Cuatro pasos para contratar al mejor CISO en un mundo de IoT

De todos los procesos de nuevas tecnologías que darán forma a la próxima ola de transformación digital, quizás ninguno sea más prominente que el Internet de las cosas (IoT). Como Phil Celestini, vicepresidente sénior y director de seguridad y riesgos de Syniverse informa, esta tecnología está generando un nuevo ecosistema de redes interconectadas y transacciones de datos que se está expandiendo rápidamente y redefiniendo la forma en que hacemos negocios.

Pero lo que a menudo se pasa por alto es que IoT también es una Internet de servicios y datos compartidos. Este hecho es uno de los mayores desafíos para las empresas que buscan integrar sus negocios con IoT y, al mismo tiempo, garantizar que se aborden los vectores de ataque y los riesgos asociados. Estas defensas involucran varios conjuntos de habilidades y equipos dirigidos por el director de seguridad de la información (CISO).

Desde una perspectiva de riesgo, de hecho, la Internet pública nunca fue diseñada para ser un entorno seguro. Se concibió como una red con redundancia incorporada para que académicos e investigadores compartan datos, no protejan el acceso a ellos. En consecuencia, es más una red de mejor esfuerzo que la mejor red de su clase necesaria para garantizar la confidencialidad, integridad y disponibilidad de las transacciones. Dado que la premisa de IoT se basa en la conectividad, un ataque malévolo que comprometa esta conectividad tiene el potencial de causar estragos sin precedentes. Tener el liderazgo adecuado para impulsar el éxito de su equipo de seguridad de la información en la defensa contra tales estragos es crucial.

Teniendo esto en cuenta, las empresas deben encontrar el equilibrio adecuado entre mantenerse seguras y aprovechar la innovación para aprovechar avances como el IoT. Una parte crucial de esto comienza con la selección del mejor CISO, algo que hice hace varios meses con gran éxito. Aquí hay cuatro factores que he considerado al evaluar candidatos para el puesto de CISO, basados ​​en más de 35 años de experiencia en operaciones de alto riesgo y supervisando varias facetas de seguridad para empresas, el FBI, la comunidad de inteligencia y el ejército.

4 factores para contratar un CISO

• La seguridad está en el título, pero no será el único trabajo: La seguridad debe tratarse como un servicio que debe operarse como un negocio dentro de su negocio. Eso significa que los CISO deben comprender la estrategia, los objetivos comerciales y los riesgos de su empresa para proporcionar valor de verdad. Además, existen puntos de referencia, mejores prácticas y regulaciones que dictarán cómo se protegerán la tecnología de la información y los datos. En este sentido, los CISO pueden proporcionar información sobre seguridad y mercado que los equipos de ventas y marketing pueden utilizar para crear una sólida historia corporativa sobre la postura de seguridad para que su empresa se destaque de la competencia.
• Los CISO deben comunicarse abiertamente con el C-suite: Una cultura de seguridad está respaldada por factores como cómo se alinea una organización y cómo se estructuran los informes. Cuando se trata de riesgo empresarial, un CISO debe informar lo más directamente posible al C-suite. Habrá diferencias basadas en el tamaño y la madurez de una organización, pero cuanto más cercano sea el acceso al CEO, menos "filtradas" serán las conversaciones críticas. Las decisiones basadas en el riesgo que un CISO necesita elevar a la suite C a veces pueden ser difíciles de comunicar a los líderes senior, porque esas decisiones afectarán a otras partes interesadas y rara vez suceden en el vacío.
• Se ha ampliado la "seguridad": Hace veinte años, era común trabajar en una organización donde "seguridad" significaba tener a alguien en TI administrando un firewall. Pero la dinámica del mercado y las demandas de los consumidores han influido desde entonces en la forma en que operan las empresas y han impulsado la necesidad de personal de seguridad de la información profesional. En la actualidad, factores externos como las regulaciones, los requisitos legales y las demandas de los clientes impulsan la necesidad de una seguridad sólida solo para mantenerse en el negocio. Los CISO deben contar con este conocimiento y el presupuesto adecuado para que puedan definir su estrategia de seguridad en el contexto realista de las finanzas y los objetivos de su empresa.
• Los mejores CISO son los mejores estudiantes: Los CISO deben ser líderes técnicamente capacitados, fuertes y gerentes comerciales astutos. El rol de CISO es un viaje, y los buenos CISO deben ser aprendices comprometidos de por vida. La industria nunca deja de evolucionar junto con la tecnología, lo que significa que los vectores de amenazas continuarán volviéndose más complejos, al igual que las leyes de privacidad de datos y una serie de otros "influyentes" externos en el papel del CISO. Esto genera una necesidad constante de mantener y actualizar el conocimiento para adherirse a prácticas sólidas de gestión de riesgos.

El rápido crecimiento de los dispositivos y aplicaciones de IoT que dependen de la Internet pública está abriendo una nueva era en la conectividad y la vulnerabilidad. A medida que las empresas aprovechan las oportunidades de esta era, corren el riesgo de dejar los datos y sistemas comerciales expuestos a una Internet pública que nunca fue diseñada para ese propósito.

En última instancia, las empresas que desean realizar negocios y transferir datos con certeza, seguridad y privacidad deben tener una estrategia de seguridad para proteger sus operaciones de la Internet pública, y una parte fundamental de esta estrategia implica encontrar el CISO adecuado. Los cuatro factores aquí ofrecen una base útil para informar este proceso.

Acerca del autor

El autor es Phil Celestini, vicepresidente senior y director de seguridad y riesgos de Syniverse.