Hola. Mi nombre es Steve, y soy el Director de información, o CISO, en fictionalwidgets.com.

Me gustaría hablarles hoy sobre el papel de un CISO y cómo las amenazas cibernéticas de hoy
afectan los motivos, las prioridades y los desafíos de un CISO. El papel de un CISO no solo es
bastante nuevo en el mundo corporativo, sino que ya ha evolucionado rápidamente en los últimos
años. Originalmente, la mayoría de los CISO se ocupaban de problemas de cumplimiento.
Asegurarse de que su organización cumpla con los requisitos de varias regulaciones legislativas,
como Sarbanes-Oxley y HIPPA en los EE. UU.O sus homólogos en otros países. Esas cosas siguen
siendo importantes, pero ahora el rol del CISO tiene un alcance mucho más amplio y está
integrado en todo el negocio.

A diferencia de un CIO. Un rol que tiende a centrarse más en la infraestructura de TI; mi alcance
es mucho más "global". Para tener éxito, debemos trabajar con el Director Ejecutivo, el Director de
Operaciones, el Director de Finanzas, el Asesor General y otros para comprender completamente
el negocio, y luego crear estrategias y programas que estén alineados con esos objetivos
comerciales. El objetivo de estas estrategias y programas es no entender el valor general de
nuestros activos de propiedad intelectual y reputación de seguridad, asegurarnos de que estén
protegidos por una persona y administrar el riesgo de estas cosas. En resumen, lo que los otros
oficiales de C-Suite quieren de mí es una evaluación concreta del riesgo y el valor de la
información. Quieren saber cuál es su riesgo, su responsabilidad, en el caso de un compromiso.
Además, se espera que algunos CISO representen a la compañía y su marca, externamente en
roles de liderazgo innovador, desarrollo de partership y compromiso de los clientes mayores. El
CISO debe ser visto como un representante altamente creíble frente a la postura de seguridad de
la compañía. Para que un CISO haga esto, hay desafíos formidables. Primero, la información se
está convirtiendo cada vez más en un activo central, y en muchas empresas * es * el activo central,
el trabajo de A CISO es entender el riesgo y tomar las medidas prudentes para mantenerlo seguro.
Y planifique los compromisos casi inevitables que sucederán, para que puedan abordarse de
manera apropiada. El desafío es que nuestros activos de información están dispersos por todo el
lugar.

Se acabaron los días de una empresa que tiene un centro de datos único, monolítico y cerrado.
Ahora tenemos activos de información que viven en la nube, ya sea en aplicaciones SaaS de
terceros o en nuestras propias arquitecturas de nube privada híbrida interna. Los datos que
residen fuera de nuestros edificios deben ser protegidos y protegidos de la misma manera. Y el
auge de la computación en la nube está imponiendo nuevos desafíos al otorgar acceso seguro a
esos datos. Desde BYoD, a Internet-of-Things, el número, los tipos y las ubicaciones de los
dispositivos que necesitan acceso seguro está explotando. Con cada nuevo método de acceso,
aparece una posible nueva superficie de ataque.

Otro de los desafíos particularmente desconcertantes, es Shadow IT. Aquí es donde los
departamentos, o individuos, salen de las políticas corporativas y activan sus propias aplicaciones,
o utilizan servicios SaaS no aprobados o no coordinados, o permiten que lo que pueden ser activos
de información clave se almacenen fuera de nuestro control. Como no lo sabemos, no podemos
asegurarlo, y representa un riesgo nebuloso y confuso que me molesta mucho. Podría ser seguro,
podría no serlo. Ahora, ¿qué pasa si no lo entiendo bien? Todo lo que necesita hacer es mirar
cualquier cantidad de violaciones de datos recientes para tener una idea de los riesgos cuando las
cosas salen mal. Estos eventos varían en los detalles de las hazañas, pero todos tienen serias
consecuencias.

Algunas de estas consecuencias son concretas, son fáciles de cuantificar, y otras lo son menos. En
muchas de las violaciones, decenas de millones de tarjetas de crédito se ven comprometidas, y se
roba información personal no identificable para millones de personas. Lo que es importante aquí
es el resultado: demandas colectivas: millones en acuerdos de demandas presentadas por clientes
que buscan daños. Estas violaciones también se convierten en el objetivo de los reguladores
gubernamentales, lo que genera multas enormes.

Todo esto se suma a una reducción en las ganancias, una caída en las ganancias y una caída en el
precio de las acciones. Algunas de las consecuencias menos tangibles son la pérdida del control de
los activos de información valiosos, incluida la información de identificación personal del cliente,
que resulta en la pérdida de la confianza del cliente y un daño duradero a la reputación de la
marca, así que eso es todo. Todo lo que tengo que hacer es estar al tanto de toda la información
valiosa en nuestra compañía donde vive, cómo debe accederse de forma segura, identificando
simultáneamente todos los riesgos que los reducen. Y todo el tiempo fomentando un entorno que
maximice el valor de la información para la empresa, no es gran cosa, ¿verdad?