Sin embargo, dado que muchos CISO y sus equipos ya se sienten presionados por las crecientes responsabilidades de proteger a las organizaciones, enfrentarse a la creciente cantidad de regulaciones y requisitos puede resultar abrumador, afirmó Rader de Insight Enterprises. «Hay mucho que asimilar de múltiples agencias en los EE. UU., los requisitos de la UE y los requisitos de divulgación e incluso ciertos estándares internacionales como ISO 27001 que son ampliamente aceptados no son prescriptivos», dice Rader.
Para abordar esto, sugiere que pueden ser necesarios requisitos uniformes similares a los estándares de seguridad PCI de la industria de pagos. «Si los hiperescaladores se reunieran y presentaran un estándar que facilitaría mucho las cosas en lugar de tener que perseguir los últimos tipos de requisitos y luego armonizarlos de un país a otro», dice Rader.
Estrategias de ciberseguridad e integración de GRC
Incorporar prácticas de ciberseguridad en un marco de GRC significa equipos conectados y controles técnicos integrados para la Universidad de Phoenix, donde GRC y la ciberseguridad se encuentran dentro del mismo equipo, según Larry Schwarberg, vicepresidente de seguridad de la información. En la universidad, el marco de gestión de riesgos de ciberseguridad se crea principalmente a partir de una visión consolidada de los estándares NIST 800-171 e ISO 27001, que se utiliza para guiar otros elementos de su postura general. «Los resultados del marco de gestión de riesgos alimentan otras áreas de cumplimiento de los auditores internos y externos», dice Schwarberg.
El equipo de ciberseguridad trabaja en estrecha colaboración con las funciones legales y de ética, cumplimiento y privacidad de datos, auditoría interna y riesgo empresarial para evaluar el cumplimiento general de los requisitos reglamentarios pertinentes. «Dado que nuestras funciones de ciberseguridad y GRC están combinadas, se complementan entre sí y las funciones se centran en evaluar e implementar controles de seguridad basados en el apetito de riesgo de la organización», afirma Schwarberg.
La función del liderazgo es brindar conciencia, comunicación y supervisión a los equipos para garantizar que los controles se hayan implementado y sean efectivos. Además, el equipo de ciberseguridad periódicamente contrata consultores externos para evaluar el cumplimiento y evaluar los niveles de madurez asociados con estos marcos y requisitos de cumplimiento normativo. «GRC en la universidad es un esfuerzo de equipo coordinado por el equipo de ciberseguridad».
GRC: una cosa más que cambia el rol del CISO
Los CISO ya están combinando consideraciones técnicas con consideraciones comerciales para gestionar la ciberseguridad dentro de sus organizaciones; integrar GRC significa adoptar responsabilidades más amplias y un enfoque basado en riesgos.
También es más difícil ser un CISO puramente técnico, según Rader. «Tienes que ser un CISO empresarial y un CISO GRC». Lo compara con ser como el embajador de la seguridad, interactuar más con la junta directiva de acuerdo con los requisitos de la SEC y trabajar en toda la organización, al tiempo que mitiga el riesgo. «Siempre hemos tenido una mentalidad de riesgo, pero ahora necesitamos entender cómo relacionar los términos de riesgo con los ejecutivos de una manera que ellos entiendan», dice Rader.
Dado que la ciberseguridad implica riesgos y protecciones en toda la organización, se está produciendo un cambio que afecta a los equipos técnicos y a los equipos de riesgo y cumplimiento, según Nina Wyatt, consultora principal de seguridad y GRC en AHEAD. «Los roles cibernéticos requieren más habilidades interpersonales y experiencia en la industria para respaldar mejor el entorno de control, mientras que los roles de GRC requieren al menos una comprensión básica de la tecnología para ser efectivos en una capacidad de supervisión», le dice Wyatt a CSO.
Al responder a los riesgos entre organizaciones, los roles de GRC deberán colaborar con los roles de ciberseguridad para estructurar un programa que coordine las actividades de ambas áreas de la organización. «La desalineación entre estas dos funciones puede dar lugar a esfuerzos y gastos duplicados, y a una mayor complejidad cuando se trata de trabajar mediante actividades de evaluación y certificación de controles», afirma Wyatt.
Esta necesidad de comunicar información técnica junto con el riesgo cibernético y los problemas de gobernanza a la junta directiva y a los equipos de liderazgo de una manera que los líderes superiores entiendan es algo con lo que muchos CISO informan que tienen dificultades y que está impactando la efectividad de las iniciativas de seguridad, informó FTI Consulting. encuesta encontró. “La desconexión de las comunicaciones entre los líderes empresariales y los CISO significa que las organizaciones no pueden prepararse completamente y gestionar de manera proactiva los riesgos de ciberseguridad para el negocio”, dijo Onyons.
La aceptación del liderazgo es esencial para el éxito
El liderazgo tiene un mandato claro para guiar medidas efectivas de seguridad y gobernanza, dice Sabbineni de MetricStream. Para garantizar que los riesgos cibernéticos se integren adecuadamente en las consideraciones de GRC, es necesario crear estructuras de gobernanza con funciones y responsabilidades claras, que deben ser impulsadas desde arriba.
El liderazgo también debe garantizar que los equipos cuantifiquen la exposición al riesgo cibernético en términos monetarios en lugar de en lenguaje técnico. “De esta manera se pueden priorizar las inversiones y los riesgos”, afirma Sabbineni.
Onyons de FTI cree que el liderazgo juega un papel fundamental a la hora de determinar cómo se asignan los recursos, tanto humanos como financieros. «Es crucial para implementar defensas de ciberseguridad eficaces y resilientes», afirma. «Sin el apoyo del liderazgo, las iniciativas del GRC están destinadas a fracasar».
También significa que las juntas directivas y los ejecutivos deben tener más conciencia cibernética y llevar la ciberseguridad más allá de la responsabilidad exclusiva del CISO. «Se ha convertido en un ámbito en el que los abogados generales, los líderes de riesgos, los jefes de cumplimiento y la junta directiva deben comprender cómo se protege la organización», dijo.