La historia de Brian

Hace unos años, en un vuelo a California con mi mujer mientras nos íbamos de vacaciones, me encontré haciéndome una sencilla pregunta que resultó ser un momento eureka (al menos para mí ). "¿Qué es un programa de gestión de ciberriesgos?". En aquel momento parecía sencillo. Pero con un Internet lento a 30K pies de altura, hice algunas búsquedas y no pude encontrar una respuesta autorizada. Lo que había suscitado la pregunta era el documento que estaba leyendo: las orientaciones de 2018 de la Comisión del Mercado de Valores (SEC) a consejos de administración y directivos de empresas sobre cuestiones de supervisión de la ciberseguridad. En esas orientaciones, la SEC afirmaba que los consejos de administración y los directivos de las empresas deben supervisar un programa de gestión de riesgos cibernéticos. No encontré una respuesta satisfactoria a la pregunta en las directrices, ni en ningún otro material. Con la expectativa de la SEC de que las empresas tuvieran estas respuestas, y con la responsabilidad pendiendo de un hilo, era una pregunta importante para la que no había respuesta.

Permítanme retroceder y explicar por qué estaba leyendo las directrices de la SEC en mis vacaciones. Durante más de una década, fui director de seguridad (CSO) de Time Warner Cable, un proveedor de infraestructuras críticas (servicios de telefonía e Internet) de la lista Fortune 130. Basándome en mi experiencia, había escrito un libro anterior, Enterprise Security Risk Management: Concepts and Applications, con mi antigua colaboradora Rachelle Loyear. El concepto de gestión de riesgos para la seguridad de la empresa se basa en la premisa fundamental de que, en esencia, la seguridad es una función de riesgo, y cada tarea que ejecuta un profesional de la seguridad puede y debe verse a través de la lente de cinco conceptos básicos de riesgo que se aplican a cualquier paradigma de riesgo: 1) ¿Cuál es tu activo? 2) ¿Cuáles son los riesgos? 3) ¿Cómo podrías mitigar esos riesgos? 4) ¿Cómo podrías responder a los incidentes? 5) ¿Qué aprendizaje continuo y coherente puedes llevar a cabo sobre tu entorno? No importa si practicas la ciberseguridad, la seguridad física, la continuidad de negocio, la gestión del fraude o cualquier disciplina de seguridad relacionada. Cada táctica, en cada disciplina, encaja en uno de esos cinco principios básicos. Me pasé a la consultora EY para llevar a la práctica los conceptos de ese libro y trabajar con consejos de administración y ejecutivos. Fue durante esa parte de mi carrera cuando sentí curiosidad por el papel del ejecutivo en la gestión de los riesgos de seguridad. Aunque el documento de la SEC pueda parecer aburrido, produjo una revelación que cambió mi carrera. La curiosidad volvió a apoderarse de mí.

Durante los años siguientes, Brandon y yo investigamos a fondo esa cuestión y mantuvimos un montón de conversaciones con colegas, que nos llevaron a plantearnos aún más preguntas. Ambos adquirimos una gran experiencia en la evaluación y creación de programas de gestión de riesgos cibernéticos en grandes instituciones. Después de dejar EY, dedicamos tiempo a trazar una amplia gama de normas relacionadas con el riesgo. Evaluamos las orientaciones que recibían los consejos de administración, examinamos la jurisprudencia que establece la responsabilidad a nivel ejecutivo y, en general, consideramos el valor y el papel de la seguridad como función estratégica, más allá de su necesidad táctica.

He aquí algunas de las conclusiones de toda esa investigación:

• La seguridad es una función de riesgo (ya lo sabíamos).

• La gestión del riesgo es una práctica madura (la práctica del riesgo en el ámbito de la seguridad no está tan madura).

• La mayoría de las organizaciones y profesionales de la seguridad adoptan un enfoque ad hoc (la ley, los reguladores y la economía cambiante exigen un cambio de expectativas en las prácticas de seguridad de las empresas, todo lo cual apunta a la maduración de la función de riesgo como camino a seguir).

• Un programa de gestión del ciberriesgo puede definirse claramente como un programa independiente, que francamente no es opcional en este momento.

La creación de un programa de gestión de riesgos cibernéticos tiene un valor real, pero necesita una estructura y el compromiso de ejecutar la gestión de riesgos como un programa formal.

El viaje con Brandon ha sido increíble, y continúa. Nos tenemos un respeto recíproco y nos desafiamos continuamente... un paso necesario para pasar de lo que era la seguridad en nuestras mentes a lo que tiene que ser. Aprendo de él cada vez que hablamos. Aprecio a Brandon como colega y amigo íntimo.

La historia de Brandon

Como consultor de la práctica de Ciberseguridad de EY, he tenido el privilegio de colaborar con altos ejecutivos, CSO, CISO y profesionales de la seguridad de algunas de las marcas más grandes y reconocidas del mundo en una amplia gama de sectores. Este viaje, que ha consistido en guiar a las empresas en su cambio de prácticas tácticas de seguridad a programas holísticos de gestión de riesgos de seguridad, ha sido una aventura satisfactoria para abordar sus retos más intrincados.

Mi progreso en este camino se ha visto moldeado por experiencias inestimables, y especialmente por la influencia de varias personas clave. Mi entrada en el mundo de la ciberseguridad comenzó hace 15 años, gracias a una introducción de mi tío, Jim Mazotas, empresario en serie y fundador de múltiples empresas de ciberseguridad. Lo que siguió fue una base académica en la Universidad de Malone y posteriores certificaciones. Mi trayectoria se ha visto enriquecida por la tutoría de varios líderes y colegas durante mi estancia en EY.

Durante el tiempo que llevo sirviendo a mis clientes, he aprendido que la trayectoria de cada empresa en materia de ciberseguridad es única. Algunas se encuentran en las primeras fases del cambio, lidiando con retos fundamentales y trabajando con distintos grados de apoyo por parte de la dirección. Otras, especialmente en sectores como los servicios financieros y la sanidad, tienen prácticas de riesgo de ciberseguridad más maduras. Pero hay un hilo común evidente: la rápida digitalización de las operaciones empresariales y las crecientes presiones normativas significan que el enfoque de la seguridad de una empresa debe seguir evolucionando.

Este libro es una destilación de las ideas, experiencias y buenas prácticas que Brian y yo hemos ido recopilando a lo largo de los años. Va más allá de la teoría para ofrecer a los profesionales de la seguridad -y a muchos otros que desempeñan un papel en la gestión de riesgos- un plan para el crecimiento profesional, una mayor seguridad laboral y una mayor satisfacción personal y profesional en sus funciones. Y presenta una guía para un mundo que cambia rápidamente, porque aunque la tecnología y las amenazas evolucionan constantemente, los principios de una gestión de riesgos sólida que hemos esbozado siguen siendo intemporales.

Trabajar en equipo con Brian, a quien tengo en gran estima como mentor, ha sido una experiencia esclarecedora. Al escribir este libro, he encontrado más claridad sobre el "por qué" de nuestras convicciones profesionales. Nuestros conocimientos combinados -mi experiencia práctica en consultoría y la inestimable experiencia de Brian como CSO y consultor- garantizan que este libro presente una visión holística de la creación de un programa de gestión de riesgos cibernéticos.

Quién debería leer este libro

Hemos diseñado este libro en para que aporte un valor real al mayor número posible de lectores, dejando claro en todo momento qué lectores se verán más afectados por cada contenido. Las funciones clave que vemos que se beneficiarán del libro son:

Profesionales de la seguridad a todos los niveles

La gestión del riesgo es una práctica muy madura, que se ha desarrollado, practicado y perfeccionado durante décadas, pero no normalmente como un programa integral y formalizado para la seguridad. Desarrollar un programa ayudará a impulsar la madurez, la intención y el propósito de la práctica.

Profesionales de la seguridad en todas las funciones

Por mucho que este libro se centre en la ciberseguridad, si quitas la palabra "cibernética", tienes los elementos fundamentales que podrían aplicarse a la gestión programática de los riesgos en la seguridad física, la gestión del fraude, la gestión de la continuidad empresarial y la resiliencia operativa.

Consejos de administración

Este libro está diseñado para proporcionar a los directores una comprensión exhaustiva de su papel vital y sus responsabilidades en la supervisión de un programa de gestión de riesgos cibernéticos. Ofrece una visión de las expectativas sobre el papel de la dirección en el establecimiento del programa. Los principios subyacentes destacan la importancia de considerar la ciberseguridad como un riesgo empresarial, proporcionando una perspectiva que faculta a los directores para formular preguntas más pertinentes y ofrecer mejores orientaciones a la dirección. Al desplazar el centro de atención de los detalles técnicos de las tácticas y operaciones de ciberseguridad a un papel más amplio de supervisión estratégica del riesgo, los directores pueden mejorar la eficacia de su programa de gestión del ciberriesgo, al tiempo que refuerzan las defensas frente a las crecientes responsabilidades legales y normativas.

CxOs y líderes de línea de negocio

Estos responsables de alto nivel de la toma de decisiones obtendrán una comprensión clara de la necesidad de que la seguridad madure como práctica de riesgo; esto les ayudará a comprender y protegerse contra una mayor responsabilidad. Estos responsables de la toma de decisiones también aprenderán a establecer expectativas de seguridad, de modo que puedan tomar decisiones sobre riesgos de seguridad adecuadas e informadas que se alineen con sus estrategias generales.

Reguladores

Los organismos reguladores pueden utilizar las orientaciones de este libro para ayudar a desarrollar normativas bien definidas, basadas en expectativas razonables, coherentes y repetibles. Una taxonomía común y unas expectativas compartidas harán que sus esfuerzos sean más eficientes, eficaces y sinérgicos.

Auditores

Los profesionales de la auditoría suelen centrarse en las buenas prácticas, evaluando la eficacia de los controles y procesos de seguridad de una empresa u organización en relación con las políticas, normas, marcos y reglamentos establecidos. Este libro proporciona una estructura completa para que los auditores la utilicen al evaluar un programa de gestión de riesgos de ciberseguridad, porque se centra en la ejecución de la seguridad en relación con el apetito y la tolerancia al riesgo previstos por la empresa.

Empresarios y profesionales cuyo trabajo puede verse afectado por los riesgos introducidos por la digitalización

Los impactos de la transformación digital son de gran alcance, complejos e impredecibles. Como resultado, los profesionales de muchas disciplinas diferentes -la mayoría de los líderes empresariales y los responsables de la toma de decisiones de en la mayoría de las funciones empresariales- encontrarán un valor real en aprender cómo identificar los riesgos de la digitalización y tomar decisiones informadas sobre cómo equilibrar el riesgo y la recompensa.

Reflexiones finales

Esto es un viaje. No hay una solución rápida, y hay un aprendizaje y unos matices interminables en esta conversación, pero merece la pena el viaje. Lo que hace falta es desafiar nuestras nociones de lo que hay actualmente, de cómo hemos practicado en el pasado, y un afán de curiosidad.

Por mucho que este libro esté escrito específicamente para una práctica cibernética, elimina la palabra "cibernética" y los conceptos del programa de gestión de riesgos cibernéticos podrán aplicarse a cualquier práctica de riesgos de seguridad.

Estamos seguros de que los conocimientos que obtendrás te ayudarán en tu trayectoria profesional.

Si tienes comentarios, preguntas o quieres unirte a la conversación, visítanos en CRMP.info.

Convenciones utilizadas en este libro

En este libro se utilizan las siguientes convenciones tipográficas:

Cursiva

Indica nuevos términos, URL, direcciones de correo electrónico, nombres de archivo y extensiones de archivo.

Aprendizaje en línea O'Reilly

Nuestra red única de expertos e innovadores comparten sus conocimientos y experiencia a través de libros, artículos y nuestra plataforma de aprendizaje online. La plataforma de aprendizaje en línea de O'Reilly te ofrece acceso bajo demanda a cursos de formación en directo, rutas de aprendizaje en profundidad, entornos de codificación interactivos y una amplia colección de textos y vídeos de O'Reilly y de más de 200 editoriales. Para más información, visita https://oreilly.com.

Cómo contactar con nosotros

Dirige tus comentarios y preguntas sobre este libro a la editorial:

• O'Reilly Media, Inc.
• 1005 Gravenstein Highway Norte
• Sebastopol, CA 95472
• 800-889-8969 (en Estados Unidos o Canadá)
• 707-829-7019 (internacional o local)
• 707-829-0104 (fax)
• support@oreilly.com
• https://www.oreilly.com/about/contact.html

Tenemos una página web para este libro con erratas, ejemplos e información adicional. Puedes acceder a esta página en https://oreil.ly/building-a-cyber-risk-management-program.

Para obtener noticias e información sobre nuestros libros y cursos, visita https://oreilly.com.

Encuéntranos en LinkedIn: https://linkedin.com/company/oreilly-media.

Síguenos en Twitter: https://twitter.com/oreillymedia.

Míranos en YouTube: https://youtube.com/oreillymedia.