La importancia de usar una definición completa de amenaza de seguridad
¿Cómo definimos una amenaza de seguridad? Si uno es como la mayoría de los profesionales de seguridad de TI, la definición de amenaza de seguridad probablemente sea: "La posible aparición de un ataque contra la infraestructura y los activos de una organización."
Si esto fuera un examen sorpresa, podría recibir la mitad del crédito por esa pregunta. Es parcialmente cierto, pero no es la respuesta completa, y no es la respuesta que sus líderes ejecutivos y el consejo de directores necesita oír.
Christofer Armstrong, CISO de Livermore, con sede en California Allgress Inc, presentó esta pregunta a la audiencia una sesión sobre riesgos de negocio en SecureWorld el mes pasado y prácticamente todos dieron la respuesta anterior centrada en TI. Sin embargo, Armstrong dio buenas razones para cambiar nuestra perspectiva cuando hablamos sobre amenazas de seguridad.
Cuando hable con un CEO o miembros de una junta directiva sobre amenazas a su organización, dice Armstrong, no hay necesidad de entrar con mucho detalle sobre el tipo de ataque que podría suceder, la motivación del atacante, etc. Todo lo que él o ella quieren saber es: ¿Cuánto nos costará? y ¿cuál es la probabilidad de que eso suceda?
Digale al CEO o a la junta que una amenaza generalizada podría robar la información sensible de sus clientes y probablemente no conseguirá obtener la financiación para detener esa amenaza. Pero dígales que la amenaza podría costarle 10 millones a la organización y que hay un 50% de posibilidades de que suceda, y ellos simplemente podrían abrir la chequera para usted.
Al mirar los proyectos de seguridad desde la perspectiva del miembro de la junta, tanto como desde su propia perspectiva de seguridad de la información, es más probable conseguir los recursos que necesita para avanzar con sus iniciativas de seguridad.
Traducción: Raúl Batista - Segu-Info
Autor: Jane Wright
Fuente: IT Knowledge Exchange
Si esto fuera un examen sorpresa, podría recibir la mitad del crédito por esa pregunta. Es parcialmente cierto, pero no es la respuesta completa, y no es la respuesta que sus líderes ejecutivos y el consejo de directores necesita oír.
Christofer Armstrong, CISO de Livermore, con sede en California Allgress Inc, presentó esta pregunta a la audiencia una sesión sobre riesgos de negocio en SecureWorld el mes pasado y prácticamente todos dieron la respuesta anterior centrada en TI. Sin embargo, Armstrong dio buenas razones para cambiar nuestra perspectiva cuando hablamos sobre amenazas de seguridad.
Cuando hable con un CEO o miembros de una junta directiva sobre amenazas a su organización, dice Armstrong, no hay necesidad de entrar con mucho detalle sobre el tipo de ataque que podría suceder, la motivación del atacante, etc. Todo lo que él o ella quieren saber es: ¿Cuánto nos costará? y ¿cuál es la probabilidad de que eso suceda?
Digale al CEO o a la junta que una amenaza generalizada podría robar la información sensible de sus clientes y probablemente no conseguirá obtener la financiación para detener esa amenaza. Pero dígales que la amenaza podría costarle 10 millones a la organización y que hay un 50% de posibilidades de que suceda, y ellos simplemente podrían abrir la chequera para usted.
Al mirar los proyectos de seguridad desde la perspectiva del miembro de la junta, tanto como desde su propia perspectiva de seguridad de la información, es más probable conseguir los recursos que necesita para avanzar con sus iniciativas de seguridad.
Traducción: Raúl Batista - Segu-Info
Autor: Jane Wright
Fuente: IT Knowledge Exchange
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!