Kiteworks | Your Private Content Network

Secure File Sharing and Governance Platfform

Free Trial EXPLORAR KITEWORKS
Home > Blog de Seguridad y Cumplimiento > Gestión de Riesgos de Ciberseguridad > La Oscuridad en la Cima de las Escaleras—Liderazgo del CISO
The Dark at the Top of the Stairs

La Oscuridad en la Cima de las Escaleras—Liderazgo del CISO

by Alan Levine updated noviembre 23, 2024 Gestión de Riesgos de Ciberseguridad
Reading Time: 6 minutes

Supongamos que necesitas aplicar un parche crítico en toda la organización, y el parche requiere un reinicio. Aunque forzar un reinicio para aplicar un parche crítico es importante, crea una interrupción en el negocio que se extiende a tus clientes. Tarde o temprano, alguien en la organización se quejará y te pondrán a la defensiva. Además, no puedes ocultar un reinicio forzado, así que ¿por qué hacerlo solo?

En su lugar, comunica tu decisión, no solo a las partes afectadas sino también a tu liderazgo. Asegúrate de incluir la razón del reinicio y cómo beneficia a la organización a largo plazo. También es crucial que comuniques los desafíos y riesgos de un reinicio. Los parches tienen sus propios problemas, no menos importante es que a veces no funcionan y, rara vez pero crucialmente, empeoran las cosas.

Tu liderazgo necesita saberlo para que puedan hacer la evaluación adecuada. Si comunicas la necesidad a tu liderazgo, te apoyarán. Sin embargo, también debes estar preparado para que el liderazgo decida en contra del parche. En última instancia, ellos deciden, bien o mal, sobre asuntos que afectan a la organización.

“Si no comunicas los asuntos de ciberseguridad a las personas que dirigen el negocio, perjudicas a la organización.”

No comunicar riesgos conocidos o anticipados a tu liderazgo es como dejarlos en la oscuridad en la cima de las escaleras. Puede que tengas la inclinación natural de ocultar riesgos de las miradas curiosas de un liderazgo preocupado que podría reflejar mal en ti o en tu equipo, pero debes resistir la tentación.

Si no comunicas los asuntos de ciberseguridad, incluidas las fallas organizacionales, a las personas que dirigen el negocio, perjudicas a la organización.

Puedes argumentar que, como CISO, solo deberías comunicar el progreso de tu misión de ciberseguridad basado en una necesidad de saber, y el liderazgo no siempre necesita saber. Podrías decir que proporcionas actualizaciones regulares de todos modos, así que cuando proverbialmente las cosas se pongan feas, lo registrarás y lo informarás según el tiempo y la atención lo permitan. De lo contrario, rara vez comunicas “fuera de ciclo” porque el tema suele ser demasiado técnico o demasiado sensible para expresarlo de manera que tu liderazgo lo entienda o aprecie. Incluso puedes temer que si solo discutes desafíos y riesgos, serás juzgado como un fracaso.

Por el contrario, eres un fracaso si no hablas. He conocido a CISOs que no hablaron cuando debieron haberlo hecho, y algunos de ellos ya no son CISOs. Fallaron no por sus errores, sino por su reticencia.

Cuando te enfrentas a desafíos, tus líderes senior son las personas ideales a quienes pedir ayuda. Si tienes vulnerabilidades explotables que no puedes resolver o irritaciones en el lugar de trabajo que están obstaculizando el éxito de tu programa, tu liderazgo puede proporcionar recomendaciones valiosas o dirección.

“No intentes calcular las probabilidades de que la brecha pueda o no salir a la luz. Eres un CISO, y tu comportamiento ético lo es todo.”

Como CISO, ya no eres un tecnólogo sino un líder de la función de ciberseguridad de tu organización. Eres un miembro del equipo de liderazgo. Los líderes exitosos reconocen que la comunicación, ya sea portadora de buenas o malas noticias, es crítica. En resumen, a nadie le gustan las sorpresas cuando hay mucho en juego.

Vamos a ver tres escenarios que un CISO probablemente enfrentará. ¿Comunicarías estos a la alta dirección?

Escenario #1

Tu Junta Directiva se centra en elementos clave que pueden guiar el éxito de la organización o abordar cualquier falla o debilidad. Lo más importante para la mayoría de las Juntas son las áreas de enfoque de la reputación organizacional, ética e integridad, y cumplimiento normativo. Todas las Juntas son, por definición, estratégicas. Es decir, se centran en el panorama general. Planifican para el futuro de la organización. Les importa si la organización está ejecutando para cumplir sus objetivos comerciales. Les importa si la organización está midiendo su rendimiento y entienden las formas en que las mediciones relevantes y útiles pueden informar la estrategia organizacional.

Las Juntas también se preocupan por qué tan bien se comparan el rendimiento y las prioridades de tu organización con organizaciones similares. El benchmarking siempre es una actividad útil para los CISOs, y las Juntas a menudo se apoyan en el benchmarking como una forma de medir los planes y el rendimiento de una organización.

“He conocido a CISOs que no hablaron cuando debieron haberlo hecho, y algunos de ellos ya no son CISOs.”

Informe Evalúa la Privacidad y Cumplimiento de tus Comunicaciones de Contenido Sensible Kiteworks 2022 Informe de Comunicaciones de Contenido Sensible

Escenario #2

Considera una situación más complicada e inherentemente difícil: el riesgo interno. Estás investigando la actividad de un empleado que puede o no haber cometido una ofensa grave. No sabes lo suficiente como para comunicar algo a alguien todavía, por lo que tu instinto natural es mantenerte en silencio. Justificas tu decisión con la lógica de que todos somos inocentes hasta que se demuestre lo contrario y no tienes suficiente evidencia para alertar a la alta dirección. Incluso puede que te hayan aconsejado desde tu departamento de Recursos Humanos que no comuniques porque los problemas de personal son asuntos “privados”.

Si la actividad representa un riesgo real para la empresa, entonces tu liderazgo necesita saberlo. Es su trabajo gestionar el perfil de riesgo de la organización, asignar niveles apropiados de tolerancia y apetito de riesgo, evaluar cada riesgo y decidir aceptarlo o minimizarlo.

Tu vacilación para comunicar esta investigación es natural. Si se corre la voz, alguien que puede ser inocente tendrá su reputación manchada dentro y tal vez fuera de la organización. Ciertamente, cualquier comunicación incluye su propio riesgo inherente. Confía en la capacidad de tu liderazgo para guardar secretos. El equipo de liderazgo de hecho sabe muchas cosas sobre la organización que tú nunca sabrás. La confidencialidad es una característica esencial del liderazgo senior.

Puedes comunicarlo de manera privada. Organiza una reunión en lugar de una llamada telefónica y no discutas el asunto por correo electrónico. Pero no dejes de comunicar. Tu liderazgo tiene derecho a saber si alguien en la organización representa un riesgo potencial para la organización.

“Los líderes exitosos reconocen que la comunicación, ya sea portadora de buenas o malas noticias, es crítica. En resumen, a nadie le gustan las sorpresas cuando hay mucho en juego.”

Escenario #3

Si aún estás indeciso, considera este simple ejemplo: un incidente cibernético. Seguramente comunicarías un ataque de un estado-nación o un asunto de fraude financiero, pero ¿qué hay de una violación de datos de PII resultante de negligencia y falta de seguir el procedimiento establecido?

Te contacta un supervisor que tiene a un empleado en su oficina, llorando. El empleado tenía la intención de enviar una hoja de cálculo a Johnny Jones en el proveedor de beneficios de tu organización, pero en su lugar la envió a otro Johnny Jones. La hoja de cálculo contiene registros de personal de empleados, algunos de los cuales residen en la Unión Europea, con implicaciones de GDPR

Tu inclinación natural podría ser mantener este incidente entre tú, el supervisor y el empleado. Después de todo, esto no fue un acto malicioso sino un error. Puedes esperar que el Johnny Jones equivocado elimine el correo electrónico una vez que lo reciba. Racionalizas meter la cabeza en la arena como un avestruz con aforismos como “esto también pasará” y el “fuggedaboutit” de Nueva York.

Lo que parece ser una pequeña exposición inadvertida, sin embargo, es en cambio una chispa que bien puede resultar en un incendio total. La privacidad de los datos personales importa. El GDPR importa. Ciertamente, una posible multa del 4% de los ingresos anuales importa. Como CISOs, lo sabemos, y los reguladores continúan recordándonoslo.

No intentes calcular las probabilidades de que la brecha pueda o no salir a la luz. Eres un CISO, y tu comportamiento ético lo es todo. Asume lo peor, incluso mientras esperas lo mejor. Recoge los hechos sobre la brecha y repórtalos tal como los conoces a tu liderazgo. Hazlo rápidamente, antes de que el Johnny Jones equivocado lo haga por ti.

Comunicar a tu liderazgo no es solo lo correcto. Para un CISO, es lo único. Plantea cualquier problema de ciberseguridad que sea incluso de preocupación remota para las personas en la cima de las escaleras. No solo hables. Habla ALTO.

 

Webinar Cuáles Son las Tendencias y Referencias Clave Que Necesitas Conocer Sobre las Comunicaciones de Contenido Sensible

Recursos Adicionales

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Schedule a Demo
Talk to a Rep

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

VOIR LA DÉMO
CONTACTER UN COMMERCIAL

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

DEMO ANSCHAUEN
MIT EINEM MITARBEITER SPRECHEN

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Agenda una Demo
Habla con un Representante

Table of Contents

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks