Este artículo refleja una opinión y no debería tomarse como la única voz válida o el decálogo que le salve la vida a ningún tipo de CISO, es sólo una lista de cualidades, tópicos y características, que a lo largo de casi 20 años de ejecutar la práctica, entendemos que ayudan a lograr buenos resultados para el entorno que recibe el servicio de la persona con ese rol.

<aside> 📋

  1. Sin haber hecho el trabajo político para tener el apoyo ejecutivo necesario, el CISO será un operador caro.
  2. Sin entender el negocio y ponerse en los zapatos del cliente externo y el interno, el CISO estará trabajando en una isla desolada.
  3. No hay nada más importante que la marca y la reputación de la empresa, eso pone a cualquier nombre o tema personal, por debajo de lo importante.
  4. La historia que se quiera contar debe lograr ser entendida y cumplir los objetivos de la estrategia planteada. El mensaje debe saber quién es el receptor.
  5. Los riesgos deben asociarse a productos, servicios, a lo que cualquier miembro relevante de la empresa entienda sin lugar a dudas o equivocaciones.
  6. El horario de trabajo del CISO es el que tienen los atacantes, es decir, no hay horario.
  7. La estrategia del CISO debe adaptarse, estar preparada para cambios del contexto y proveer alternativas considerando el presupuesto y el foco sobre lo más crítico (lo que más le duele al negocio). No existe el tallado en piedra en el mundo de hoy o los planteos inflexibles.
  8. El CISO debe asegurarse de relevar el apetito de riesgo de la Dirección y debe entender que es un asesor, quien dice que NO no es el CISO, sino el apetito de riesgo. De todas formas, debe tener un mecanismo para atender excepciones y mantener la agilidad de los negocios actuales.
  9. Los héroes están en las películas, creer que una empresa es segura porque debe llamar al CISO para aprobar un link, obtener una clave o un acceso, es poner al negocio por debajo del CISO, lo cual viola el punto 3.
  10. La seguridad debe mejorar en forma continua, es por eso que es importante que haya “ojos frescos” que evalúen y detecten oportunidades. Siempre es mejor identificar un gap que esperar que lo aproveche un atacante. El CISO debe promover que su estrategia y su programa sea evaluado. </aside>

Si lo que compartimos en el blog te sirve, aceptamos un cafecito ☕. 👇

SECURETECH ⚡️ #HacerLasCosasBien | Cafecito

Conoce más sobre SECURETECH⚡#HacerLasCosasBien www.linktr.ee/securetech_arg