En la vida de un CISO, siempre hay cosas que deben resolverse rápidamente, como implementar la última tecnología, embarcarse en nuevos proyectos de transformación e incluso parchear el software de su organización. Una de las cosas que descubrí que necesitaba hacer más este año fue contar la historia de cómo y por qué iba a abordar estos desafíos a una variedad de audiencias, no solo a la junta directiva, el equipo ejecutivo y los gerentes sénior de todo el mundo. negocio.
Durante más de 25 años, Nominet ha sido el orgulloso custodio de la infraestructura de Internet de .uk, y también somos una empresa de beneficio público que utiliza fondos excedentes para apoyar proyectos que promueven la inclusión digital. Dado que Nominet se encuentra en el corazón de Internet del Reino Unido y es una organización regulada, debemos equilibrar el cumplimiento de nuestras obligaciones con Ofcom como nuestro regulador, los requisitos de seguridad interna, además de reunir a todos interna y externamente, como nuestros miembros, para el conducir.
Al pasar por este proceso, me ha llamado la atención que los profesionales de seguridad y TI (y me incluyo aquí) no siempre son los comunicadores más efectivos. A veces somos demasiado técnicos: aprender el poder de la comunicación y explicar la narrativa sobre el cambio de TI ha sido quizás mi mayor lección del año.
En lugar de simplemente decir cómo es, debes decir por qué es. Esto podría ser explicando cómo ha cambiado el panorama de amenazas o cómo las próximas regulaciones pueden afectar la forma en que operamos, por ejemplo. Al permitir que las personas miren detrás de la cortina, eliminando la mística percibida de la seguridad y mostrándoles el panorama general, todos pueden comprender mejor el papel que desempeñan en la seguridad cibernética. Esto atrae a todas las diferentes partes interesadas mucho más fácilmente.
Esto me lleva a mi segunda lección. Con tantas partes interesadas en lo que respecta a la seguridad cibernética, es una gran curva de aprendizaje equilibrar todas estas partes en competencia y aceptar que debe haber algunas compensaciones para garantizar que todos estén felices la mayor parte del tiempo, en lugar de completamente infelices.
Si este año me ha enseñado algo, es el poder de priorizar. No intentes hacerlo todo, es imposible. Y es igualmente imposible hacer todo a la perfección: es realmente el enemigo de la progresión. Haz un puñado de cosas bien, en lugar de muchas cosas en promedio.
Este sentimiento de prioridades en competencia no es solo algo que afecta a la alta dirección técnica, sino también al talento tecnológico emergente. Estaba dando una conferencia en la universidad la otra semana y un estudiante se me acercó para preguntarme: “¿Cómo me aseguro de que estoy haciendo lo correcto al manejar las vulnerabilidades de seguridad?”. Mi consejo fue priorizar y revisar la lista de vulnerabilidades para determinar con cuál es absolutamente necesario lidiar, porque no se puede hacer todo a la vez.
Su respuesta realmente me llamó la atención: “Bueno, ¿qué sucede si he llegado al top 10 de la lista, pero nos golpea el 11 o el 14?”
Como profesionales de la seguridad, si podemos demostrar el hecho de que hemos ayudado a informar las decisiones basadas en el riesgo, entonces estamos manejando nuestra carga de trabajo de la mejor manera posible. Necesitamos priorizar todas las necesidades competitivas del negocio. Es este miedo al fracaso y la necesidad de tener razón el 100 % del tiempo lo que impulsa a los profesionales de la seguridad.
Sin embargo, como todos sabemos, ningún sistema será 100% seguro. Se trata de dar a las personas las herramientas para pensar en el problema en lugar de llegar a la solución perfecta y garantizar que hemos hecho todo lo posible y que el riesgo es lo más bajo posible.
Entonces, como todos (supuestamente) comenzamos a relajarnos hacia el final del año, esta fue la oportunidad perfecta para mí para reflexionar y esperar lo que sigue. Mis experiencias de este año me seguirán en el próximo. Como gente de seguridad, hagamos las paces con las imperfecciones y busquemos formas de traer a otros en el viaje con nosotros. ¿Qué lecciones traerás al 2023?