El libro de jugadas del CISO: por qué necesita hacer del riesgo de seguridad una métrica comercial

El libro de jugadas del CISO es un serial continuo que presenta información estratégica de los principales ejecutivos de ciberseguridad de la industria. Esta publicación presenta a Bryan Liebert, CISO de campo en World Wide Technology (WWT).

El papel del CISO está cambiando rápidamente.

Las juntas quieren pruebas. Las aseguradoras quieren datos. El carisma, el instinto y la experiencia ya no son suficientes.

Es hora de que los CISO combinen su sabiduría y experiencia con la ciencia y los hechos fríos y duros. Deben demostrar cómo las decisiones de seguridad mitigan el riesgo, protegen los ingresos y se alinean con los objetivos comerciales empleando datos reales.

La buena noticia es que no estás solo en esto. Bryan Liebert, CISO de campo de World Wide Technology (WWT), dice que es posible obtener datos sobre la seguridad y el nivel de riesgo de su red.  

Demuéstralo o piérdelo

Cuando Liebert construyó recientemente su nueva casa, se sorprendió por los cambios en el proceso de inspección de viviendas.

"En el pasado, los inspectores confiaban en su experiencia, instinto y conocimiento de la construcción para aprobar nuevas construcciones", explicó.

Pero ya no es así como funciona.

"Los inspectores de hoy aún podrían saber que la construcción está bien hecha", dijo. "Pero quieren una carta de un ingeniero para probarlo".

Las cartas de ingeniería brindan a los inspectores la documentación y los datos que necesitan para respaldar su decisión de darle a la casa una calificación aprobatoria.

Ese cambio se quedó con Bryan. Como ex CISO y actual asesor de CISO, ve la misma transformación en la ciberseguridad. El instinto y los años de experiencia no son suficientes.

Las juntas directivas y las aseguradoras no solo piden opiniones, sino que quieren que la sabiduría, la experiencia y el liderazgo del CISO se vean aumentados por un marco que respalde sus recomendaciones. Quieren su propia carta de ingeniería.

Bryan está ayudando a los clientes de WWT a liderar la carga con un enfoque basado en datos que permite a las organizaciones tender puentes entre la sala de juntas, los proveedores de seguros y los objetivos comerciales.

Está trabajando junto a socios como Illumio para ayudar a los CISO a pasar de narradores cibernéticos a científicos de decisiones.

Construyendo un caso mejor y más justo

Desde la perspectiva de Bryan, el trabajo del CISO se convirtió tanto en la capacidad del CISO para influir en los tomadores de decisiones como en la protección.  

"Están pasando demasiado tiempo apagando incendios y tratando de convencer a los tomadores de decisiones para que inviertan en sus estrategias", dijo. "Sin modelos defendibles que midan el riesgo de su compañía, a menudo tienen que confiar en su carisma para obtener el apoyo de la junta directiva para los gastos de seguridad".

Bryan cree que este enfoque ya no es sostenible.

Es por eso que le apasiona un camino diferente: el Análisis Factorial del Riesgo de la Información (FAIR). Es un marco cuantitativo de gestión de riesgos iniciado por el Instituto FAIR que traduce el riesgo de la información en términos medibles y repetibles.

"Le brinda una forma científica de calcular la probabilidad y el impacto tradicionales del riesgo", explicó Bryan. "De hecho, las aseguradoras cibernéticas ahora lo están usando para evaluar la cobertura".

El objetivo de FAIR es capacitar a los CISO para que ingresen a una sala de juntas con confianza y delineen una estrategia basada en este modelo.

De "confía en mí" a "aquí están las matemáticas"

Bryan cree que el CISO moderno necesita un motor de decisiones, una forma de traducir los objetivos técnicos de seguridad en objetivos comerciales que las juntas directivas entiendan.

Eso significa convertir la ciberseguridad en algo que se pueda medir, priorizar y optimizar, como cualquier otra parte del negocio.

"A las juntas no les importan las cosas técnicas", dijo Bryan. "Se preocupan por el riesgo para el negocio. Si puede mostrarles un análisis hipotético que diga: 'Si este sistema está comprometido, aquí está el impacto financiero', está hablando su idioma".

No se trata solo de la aceptación inicial. Bryan quiere que los CISO regresen con estadísticas medibles que demuestren cómo sus inversiones en seguridad redujeron significativamente los riesgos relacionados con los objetivos comerciales rentables.  

"Este es el momento de la carta de ingeniería", dijo Bryan. "No solo dices que tienes un riesgo reducido. Les muestras las matemáticas".

A las juntas no les importan las cosas técnicas. Se preocupan por el riesgo para el negocio. Si puede mostrarles un análisis hipotético que diga: "Si este sistema se ve comprometido, aquí está el impacto financiero", está hablando su idioma.

Cómo el seguro cibernético está cambiando el juego

El seguro cibernético también juega un papel en este nuevo cambio. En el pasado, podría ser simplemente una casilla de verificación, pero ahora está remodelando la forma en que los CISO demuestran valor.

"Cuando apareció por primera vez el seguro cibernético, nadie tenía un modelo abierto para cuantificar el riesgo", dijo Bryan. "Ahora, están pidiendo pruebas reales. Y si puedes darles una fórmula defendible, puedes obtener descuentos: dinero real sobre la mesa".

Ese tipo de incentivo es exactamente lo que los CISO necesitan para impulsar sus programas.

"Ya no solo pides cotización", dijo Bryan. "Está demostrando que su postura de seguridad es demostrablemente capaz de proteger los objetivos comerciales de la compañía. Ese es el tipo de ROI que les importa a las juntas".

El CISO como traductor, no solo como técnico

Uno de los mayores desafíos que Bryan ve hoy en día es que la mayoría de los programas cibernéticos todavía hablan más allá del negocio en lugar de alinear con él.

Eso es un problema, especialmente en sectores como la educación superior o la atención médica, donde el objetivo principal de la junta no es la ciberseguridad, sino la investigación, el éxito de los estudiantes o la atención al paciente.  

La ciberseguridad es una parte necesaria de la responsabilidad corporativa, pero irrelevante para las universidades sin estudiantes o los hospitales sin pacientes.

"Su trabajo es demostrar el papel que desempeña la ciberseguridad en la protección y el mantenimiento del tiempo de actividad de los sistemas que contribuyen al éxito de los estudiantes y a la felicidad de los pacientes", explicó Bryan. "Quieres que regresen y recomienden tus servicios porque sintieron que su privacidad estaba protegida y que estaban seguros y tuvieron una buena experiencia con todos los sistemas que encontraron".

Ahí es donde entran en juego proveedores como Illumio y socios como WWT.

Cómo Illumio y WWT ayudan a hacer realidad el riesgo

Para Bryan, el poder de las asociaciones se reduce a una cosa: la prueba.

"Traemos a las organizaciones al Centro de Tecnología Avanzada (ATC) de WWT y les mostramos una al lado de la otra: esto es lo que hace la tecnología y así es como la fórmula reduce el riesgo", dijo Bryan. "Nuestro campo de pruebas de IA les permite verlo en acción con los últimos avances de IA que ahora se están incorporando en prácticamente todos los productos y estrategias de ciberseguridad".

Bryan también señaló que los proveedores de ciberseguridad como Illumio se están tomando en serio las matemáticas de seguridad. Con herramientas como Illumio Insights, están ayudando a los equipos de seguridad a ver, comprender y priorizar el riesgo en función de los datos, no de las conjeturas.

Con socios como WWT e Illumio, los CISO tienen las herramientas y los recursos que necesitan para demostrar valor, priorizar el riesgo y respaldar cada decisión con datos.

¿Quiere ver qué datos puede descubrir Illumio Insights en su red? Comienza tu Prueba gratis Hoy.