Durante el Mes de la Concientización sobre la Ciberseguridad, miles de expertos cibernéticos de todo el mundo se reunieron en Las Vegas para el Congreso de Seguridad ISC2 2024 para discutir los desafíos y las mejores prácticas de la industria, incluidas estrategias para reducir los riesgos comerciales y minimizar la incertidumbre en sus operaciones.
Ralph Villanueva fue uno de esos ciberprofesionales que ofrecían consejos a las audiencias. Como analista de cumplimiento y seguridad de TI en Hilton Grand Vacations, se refirió al popular libro de autoayuda empresarial “7 hábitos de personas altamente efectivas” para su presentación, resumiendo las mejores prácticas en siete hábitos y detallando cómo encajan en el día a día. trabajar.
Los 7 hábitos de los profesionales eficaces de seguridad y cumplimiento de TI
Los hábitos que Villanueva destacó incluyen:
- Comprender la misión, la visión y los objetivos comerciales de su empresa. En lugar de centrarse en su función, haga que todos se unan a una misión.
- Estudiar continuamente el entorno TI interno y externo y los riesgos de su empresa.
- Conocer a los actores clave de su empresa. Algunos empleados pueden descartar esto como “jugar a la política”, dijo Villanueva, pero es importante saber a quién acudir en caso de necesidades presupuestarias u otras solicitudes.
- Comprender tus fortalezas y debilidades, reconocer cuándo pedir ayuda.
- Aprender a comunicar los requisitos técnicos de cumplimiento. Ayude a los compañeros de trabajo y a las partes interesadas de otras partes de la empresa a comprender por qué esos requisitos son importantes.
- Aceptar la realidad de su trabajo, lo que significa esperar y tener planes para el rechazo. “Algunas personas mirarán injustamente las políticas de seguridad y las políticas de procedencia de datos que implementamos y dirán que es una carga innecesaria. Irónicamente, eso incluye a algunos de los funcionarios clave de la empresa”, dijo Vlillanueva.
- Adoptar una actitud proactiva y positiva y recordar que usted puede marcar la diferencia en su organización. “Él [a positive attitude] “No hará el trabajo, pero le ayudará a ser un mejor profesional de cumplimiento y auditoría de seguridad de TI”, añadió Villanueva.
¿Qué obstáculos se interponen en el camino de los profesionales de seguridad y cumplimiento?
Estas recomendaciones pueden ayudar a los profesionales de seguridad y cumplimiento a superar obstáculos comunes, dijo Villanueva. Los obstáculos pueden incluir la naturaleza de “silo” del negocio, en el que otros departamentos ven la seguridad como “un problema de TI”.
Como explicó Villanueva, el departamento comercial puede intentar reducir lo que perciben como fricción en determinados procesos. Mientras tanto, TI puede pensar que cierta fricción ayuda a mantener esos procesos seguros. De manera similar, los empleados tanto dentro como fuera de los roles tecnológicos pueden centrarse en la funcionalidad en lugar de mirar el panorama general.
“Algunas empresas tienen un enfoque gradual para actualizar sus servidores, sus terminales y sus bases de datos”, dijo Villanueva.
VER: En el Congreso de Seguridad ISC2, el CISO de SentinelOne, Alex Stamos, nombró a los actores de amenazas sofisticados como la preocupación más apremiante para los profesionales de la ciberseguridad en la actualidad.
Además, es posible que los miembros de la junta directiva y los ejecutivos no den prioridad a la ciberseguridad.
Depender demasiado de la tecnología también puede resultar perjudicial para una empresa. Los profesionales de seguridad y cumplimiento deben darse cuenta de que la dependencia excesiva de la tecnología en sí misma podría ser perjudicial, como Villanueva destacó casos, como la interrupción de CrowdStrike en julio y la penalización de abogados por usar ChatGPT, como ejemplos relevantes de dependencia excesiva de la tecnología.
Cómo aplicar los 7 hábitos en tu negocio
Villanueva enfatizó que en lugar de centrarse en los desafíos del día a día, los profesionales de seguridad y cumplimiento deberían considerar el panorama general. Recordó a los asistentes la importancia del viejo elemento básico de los negocios: el “taburete de tres patas” formado por personas, procesos y tecnología.
Villanueva sugirió que una solución al problema de los grupos aislados en el trabajo es celebrar reuniones con más frecuencia. “Para algunas reuniones son una pérdida de tiempo, pero las reuniones son realmente importantes para que todos participen”, dijo.
Recomendó conseguir la mayor participación posible de la junta directiva. Villanueva predijo que algún día las empresas públicas podrían recibir el mandato de tener un experto en IA en su junta directiva. La SEC consideró exigir que un experto en ciberseguridad forme parte de las juntas directivas de las empresas públicas a partir de 2022. Sin embargo, se retractó de la propuesta para 2023.
Finalmente, Villanueva recordó a los profesionales de seguridad y cumplimiento monitorear el riesgo de terceros. En un establecimiento de juegos, dijo, los actores de amenazas se llevaron un montón de información de identificación personal, porque pudieron entrar a través de un proveedor externo que administraba una pecera.
Descargo de responsabilidad: ISC2 pagó mi pasaje aéreo, alojamiento y algunas comidas para el evento del Congreso de Seguridad de ISC2 que se llevó a cabo del 13 al 16 de octubre en Las Vegas.
