Hay una visión para la industria de seguridad, un futuro en el que el director de seguridad de la información (CISO) se sienta junto al CFO y el CEO en la mesa de juntas.

Los CISO deben cambiar su forma de pensar

Esta no es una visión única: la industria de la seguridad ha abogado por un puesto en la mesa ejecutiva durante al menos la última década. Para toda nuestra charla, sin embargo, no hemos progresado mucho. Un CISO en la sala de juntas todavía es una ocurrencia extraña. Si vamos a cambiar eso, los CISO deben cambiar su forma de pensar e interactuar con las empresas. Solo tienen que mirar hasta el CFO para ver cómo se hace.

El director financiero es un rol relativamente nuevo. Incluso hace 30 años, era raro encontrar una compañía con un CFO. Avance rápido hasta hoy, y es raro encontrar una compañía sin una. No solo los CFO tienen un asiento en la mesa, sino que a menudo están en el plan de sucesión para el CEO. La posición ha madurado de ser inexistente a convertirse en un sucesor en tres décadas.

Las finanzas están claramente articuladas para que todos las entiendan

Es fácil ver el valor de un CFO. Ellos poseen la pieza de los ingresos de la empresa. Pero lo más importante es que permiten que los ingresos se articulen. El CFO tiene el beneficio de negociar en dólares y centavos (números duros). El software moderno aprovecha los gráficos tipo Dow Jones Industrial que representan gráficamente las proyecciones y expectativas para el sector.

Como resultado, las finanzas están claramente articuladas para que todos las entiendan.

Ahí reside la diferencia entre el CFO y la mayoría de los CISO: mientras que los CFO pueden articular el estado actual y futuro de los ingresos en términos cuantitativos, la mayoría de los CISO solo pueden hablar sobre el riesgo en términos cualitativos que carecen de contexto y métricas.

Cuando se les pregunta acerca de la postura de riesgo de su compañía, muchos CISO proporcionarán un descriptor vago: alto / medio / bajo o rojo / amarillo / verde. Estas medidas cualitativas no significan nada para el tablero. Además, no permiten a los CISO articular el impacto cuantitativo de las inversiones sobre el riesgo.

El CISO podría decirle a la junta que el nivel de riesgo cibernético es amarillo y solicitar $ 1 millón como parte de un aumento de presupuesto. Obviamente, la junta quiere saber cómo se verá el riesgo, pero lo mejor que puede hacer el CISO es decir que seguirá siendo amarillo. ¿Cuándo el riesgo cibernético para una organización nunca será amarillo, de todos modos?

Mientras la seguridad continúe operando sobre la base de métricas cualitativas sin cuantificación, no se percibirá como un campo maduro. Si lo piensas, ninguna otra parte del negocio puede salirse con la suya. Los CISO necesitan encontrar una manera de mantener una conversación más madura para que puedan tener más confianza sobre cómo describen y analizan los riesgos.

¡No te pierdas nuestra pagina de Facebook!!