Machine Translated by Google

Repensar el
Seguridad &
Estrategia de riesgo

Por qué los líderes deben adoptar

prácticas modernas de ciberseguridad

EDITADO POR
Tom Scholtz
Distinguido vicepresidente y analista de Gartner

© 2020 Gartner, Inc. y/o sus afiliados. Reservados todos los derechos. CTMKT_864876
Machine Translated by Google

Introducción

Los CISO necesitan reinventar la seguridad. El comienzo de una

nueva década es el momento perfecto para hacer un balance de las estructuras
de seguridad actuales, evaluar amenazas potenciales y afinar las
presentaciones de las juntas directivas.

Eche una nueva mirada a la gestión de la seguridad. Identifique objetivos

relevantes para el negocio y desarrolle enfoques flexibles que eviten las
limitaciones actuales.

Desarrolla tu estrategia de talento para asegurarte de tener las habilidades

necesarias en toda la organización.

Comience la década con una mentalidad renovada y una visión clara del
riesgo empresarial y las tendencias emergentes.

Tom Scholtz
Distinguido vicepresidente y analista de Gartner

Repensar la estrategia de seguridad y riesgo 2

Machine Translated by Google
Mejora tu seguridad
& Perspectiva de riesgo
Los profesionales de seguridad a menudo se centran en las
amenazas e infracciones que dominan los titulares (Equifax, Marriott
International, Aadhaar) y no necesariamente en las más críticas para la
organización.
Un ejemplo perfecto es cuando los equipos de seguridad frenan las iniciativas
en la nube debido a preocupaciones infundadas sobre la seguridad de la nube.
Este miedo exagerado puede resultar en la pérdida de oportunidades
y en gastos inadecuados.
Estas historias de alto perfil están llenas de escenarios pesimistas.
Sin embargo, las vulnerabilidades de día cero representaron
aproximadamente el 0,4% de los incidentes en la última década. La
cantidad gastada en intentar detectarlos no guarda relación con los
riesgos reales que plantean.
Repensar la estrategia de seguridad y riesgo
Los CISO deben lograr un equilibrio entre lo que se necesita en un
programa de seguridad y los riesgos a asumir para que el negocio avance. Sin
este equilibrio, las organizaciones pierden oportunidades y el CISO se
convierte en una costosa distracción en la mente de los líderes
empresariales.
Puede que sea más fácil decirlo que hacerlo. La disrupción digital puede
estar avanzando a una velocidad cada vez mayor, pero las creencias
fundamentales arraigadas en nuestras mentes a menudo no ayudan. Es hora
de replantear su mentalidad para lograr el éxito en medio de la disrupción.
Cambiar el punto de vista conceptual y/o emocional con el que ves una
situación a un nuevo marco de referencia que se ajuste a los “hechos”.
de la realidad futura de su mercado. Entonces podrás crear el nuevo
contexto para el cambio.
Las vulnerabilidades de día cero representaron
aproximadamente el 0,4% de los incidentes en
la última década.
3
Machine Translated by Google
Generar confianza y resiliencia
Los negocios digitales han creado un nuevo ecosistema, en el que
los socios agregan nuevas capacidades comerciales y complejidades de
seguridad. La visión del CISO sobre el riesgo y la seguridad debe
basarse en un ecosistema que permita la confianza y la resiliencia.
"El objetivo es proporcionar un ecosistema que equilibre el imperativo
de proteger la empresa con la necesidad de adoptar nuevos enfoques
tecnológicos innovadores y arriesgados para seguir siendo
competitivos", afirma Tom Scholtz, distinguido vicepresidente y analista
de Gartner.
La mayoría de las vulnerabilidades explotadas seguirán siendo conocidas
por los profesionales de seguridad y TI en el momento del incidente.
Repensar la estrategia de seguridad y riesgo
Actualice su perspectiva de seguridad y riesgo
El éxito, añade Scholtz, depende de la voluntad de los CISO de adoptar un
nuevo conjunto de principios de confianza y resiliencia:
• Cambiar a una toma de decisiones basada en el riesgo y alejarse del
cumplimiento de casillas de verificación
• Comenzar a respaldar los resultados comerciales en lugar de proteger
únicamente la infraestructura.
• Conviértete en un facilitador, no en un defensor
• Determinar cómo fluye la información; no intentes controlarlo
• Centrarse en las personas y aceptar los límites de la tecnología.
• Invierta en detección y respuesta, y deje de intentar proteger
perfectamente la organización
4
Machine Translated by Google

Actualice su perspectiva de seguridad y riesgo

Muévase con la velocidad del negocio digital

Adoptar estos seis principios exige que los CISO se desvíen de las
Correr
convenciones y mejores prácticas de seguridad percibidas.
Protecciones adaptables contra amenazas y acceso
“Necesitamos una seguridad que sea adaptable en todas partes para
aprovechar oportunidades que en el pasado se consideraban demasiado
Construir
arriesgadas”, afirma Scholtz.
Desarrollo ágil seguro, evaluaciones de
nuevos proveedores y creación de
Igualmente importante es que los CISO deben poder proteger sus
organizaciones a la velocidad del negocio digital. Ingrese al enfoque socios del ecosistema

CARTA. CARTA (evaluación continua adaptativa de riesgos y confianza)

crea un marco de seguridad y riesgos que se puede aplicar en tres fases: Plan
Gobernanza de seguridad adaptativa y gestión
de riesgos dirigidas por unidades de negocio

Repensar la estrategia de seguridad y riesgo 5

Machine Translated by Google

Detectar, responder e informar

Aunque la probabilidad de que los CISO sufran un ataque cibernético o de

Diccionario
ransomware importante es aproximadamente del 1%, todos los CISO pueden
aprender de sus pares menos afortunados.
suplantación de identidad
Grant, CISO de un gran sistema hospitalario, trabaja en una industria
/' pesca/
altamente regulada. Es responsable de los datos de cientos de miles
sustantivo
de pacientes, y proteger esos datos y cumplir con las regulaciones es su
principal prioridad. Amenaza generalizada y de alto impacto que se basa en la ingeniería social para
permitir el acceso ilícito a activos personales y corporativos.
Una mañana, Grant descubre que su hospital sufrió un ataque de phishing
dirigido. Los sistemas están caídos y la atención al paciente está paralizada. Está
atónito. ¿Cómo, se preguntó, podrían él y su equipo (todos ellos riéndose
profesionales experimentados en seguridad) ser engañados por el método más /'sonriendo/
común de ciberataque? ¿Y cómo pudieron permitir que eso paralizara su sustantivo

organización?
Ataque dirigido a través de SMS
A la mañana siguiente, varios miembros del equipo de liderazgo senior del
hospital lanzan estas preguntas y más a Grant y al CIO. Grant explica que su
vistiendo
equipo de seguridad de la información tenía poco personal y estaba bajo presión
/'viSHING/
para introducir varias tecnologías nuevas con plazos reducidos.
sustantivo

Ataque dirigido a través de comunicación de voz.

Repensar la estrategia de seguridad y riesgo 6

Machine Translated by Google
En otras palabras, el equipo no tenía los recursos ni el tiempo para seguir el ritmo
de las amenazas y tendencias en constante cambio, lo que les impidió identificar y
protegerse contra las vulnerabilidades conocidas, que son las amenazas con
mayor probabilidad de poner en riesgo a una organización.
Las organizaciones están luchando por mantenerse al día con el panorama
de amenazas actual. Existen demasiados procesos manuales y los
administradores de seguridad y riesgos deben lidiar con la falta de recursos,
habilidades y presupuestos.
Pero, ¿qué pueden hacer los CISO ante los crecientes ataques y la falta de
recursos?
Repensar la estrategia de seguridad y riesgo
Detectar, responder e informar
Aplicar las lecciones aprendidas
• Abordar y parchear vulnerabilidades conocidas. Evaluar los recursos existentes
y garantizar la inversión en una combinación equitativa de soluciones
de detección y prevención.
• Manténgase al tanto de las tendencias y comprenda su impacto.
Grant y su equipo no pudieron hacerlo, lo que dejó a su hospital vulnerable.
• Si te atacan, no lo culpes. Una de las etapas más importantes de la respuesta a
incidentes es centrarse en las causas fundamentales. Señalar a los demás
con el dedo no resuelve nada.
• Utilice la gestión de comportamiento antiphishing (APBM). Este es un elemento
crítico de una estrategia de seguridad centrada en las personas.
• Proteger la puerta de enlace de correo electrónico. Puerta de enlace de correo electrónico segura (SEG)
Los proveedores están incorporando cada vez más métodos de phishing
dirigidos. Las más efectivas son las técnicas de filtrado de análisis de tiempo
de clic y proxy.
• Aislar sistemas vulnerables. Los sistemas que aún no se ven afectados por el
malware pueden seguir siendo vulnerables y, a menudo, son en los que
más se confía. Una solución temporal útil: limitar la conectividad de la
red cuando se produce una infracción o un ataque.
• Reducir la dependencia de datos personales estáticos. En su lugar,
aumente la dependencia de los datos de identidad dinámicos al
realizar la verificación de identidad para limitar la exposición a
violaciones de datos similares a las de Equifax.
7
Machine Translated by Google

Polaco, práctica y presente

A los CISO de grandes empresas se les pide cada vez más que informen a su
junta directiva sobre los riesgos tecnológicos y de ciberseguridad al menos
una vez al año.
Empezar
Esta es su diapositiva de alto nivel, "llamar la atención". Establece el
escenario para el tablero y simplemente debe identificar los temas que

Presentarse ante la junta ofrece nuevas oportunidades, pero puede ser una cubrirá en las siguientes diapositivas. No son necesarios detalles, pero debe

tarea desafiante e intimidante. Estas presentaciones no tienen por qué ser una indicar que la presentación incluirá información sobre la ejecución

inmersión profunda en los detalles de cada tecnología. La clave es del negocio, la estrategia, los desarrollos externos y la posición de

vincular todo al negocio. riesgo.

Considere esta presentación de 15 minutos y 7 diapositivas.

Diapositiva 1: Puntos clave

Negocio Material Externo Seguridad Recomendación

Ejecución Riesgos Ambiente Estrategia

Tenemos algunos puntos Nuestra reciente adquisición tiene Los eventos externos requieren La ejecución de la actual Tomar nota del estado actual y

positivos, pero el trabajo
continuo de reparación en varias
áreas mejorará el desempeño
del negocio.
un cambio menor en nuestra
posición de riesgo.
Todos los demás riesgos
materiales son estables.
sólo tácticas menores. estrategia de seguridad va en gran respaldar el plan de acción.
respuestas. medida según lo previsto. La
madurez de nuestro proceso
continúa mejorando y supera los
puntos de referencia de nuestros
pares y el objetivo que se acerca.

Repensar la estrategia de seguridad y riesgo 8

Machine Translated by Google

Polaco, práctica y presente

Desempeño y contribución a la ejecución

del negocio.
Para 2023, el 30% de la eficacia de los directores de
Estas diapositivas de seguimiento deben vincular la seguridad y el riesgo, implícita seguridad de la información (CISO) se medirá
o explícitamente, con elementos comerciales que los miembros de la junta valoran.
directamente en función de la capacidad del puesto
Úselos para resaltar métricas y cómo el equipo de seguridad contribuye a obtener
para crear valor para el negocio.
resultados positivos. Esté preparado para explicar posibles áreas problemáticas y sus
implicaciones. Proporcione documentación detallada sobre cómo se produjo cada
métrica para los miembros de la junta que la soliciten.

Diapositivas 2 a 6: Tenemos algunos puntos brillantes, pero continuamos remediando

El trabajo en varias áreas mejorará el desempeño empresarial

Financiero Cliente Aprendizaje

Operacional y crecimiento

Usaremos la seguridad para ayudar
a hacer crecer el negocio.
Seremos eficientes en nuestra
gestión de seguridad.
Ejecutaremos proyectos a tiempo y
dentro del presupuesto.
Gestionaremos a nuestros proveedores
de forma rentable.
Proporcionaremos un alto nivel de
disponibilidad y continuidad del
servicio.
Los clientes tendrán confianza en nuestros
servicios e instalaciones.
Cumpliremos con todas las
regulaciones aplicables.
Las personas adecuadas tendrán
acceso a la información adecuada.
Nuestras herramientas serán adecuadas para su propósito. Nuestro pueblo estará plenamente
comprometido.
Ejecutaremos el cambio de
manera eficiente y confiable. Nuestro pueblo tomará las
decisiones correctas.
Incorporaremos la mejora continua
en nuestros procesos. Invertiremos en nuestra gente y
desarrollaremos su experiencia.
Mantendremos nuestro riesgo operativo
dentro de un apetito de riesgo Protegeremos nuestro know­how como
definido. ventaja competitiva.

Repensar la estrategia de seguridad y riesgo 9

Machine Translated by Google

Polaco, práctica y presente

El llamado a la acción

Concluya la presentación con una diapositiva de cierre para reiterar los puntos principales

y cualquier elemento de acción. La clave es cerrar.

fuertemente, dejando a la junta confiada en su plan y habilidades. Resuma los

puntos que ha planteado y sea claro sobre todo lo que solicite. Responda preguntas y

agradezca a la junta directiva por su tiempo.

Diapositiva 7: Plan de acción

Tablero para tomar nota del estado actual:

Continuarán los Las acciones menores No se requiere ninguna La ejecución de la actual Tomar nota del estado actual y

programas de trabajo en respuesta a cambios acción para cambios estrategia de seguridad va respaldar el plan de acción.
habituales (BAU) que externos se ejecutarán menores en la posición de riesgo material.
en gran medida según lo
mejoran el desempeño como BAU. previsto. La madurez
empresarial. de nuestro proceso continúa
mejorando y supera los
puntos de referencia

de nuestros pares y el objetivo que se acerca.

La actualización periódica de la junta se entregará durante el próximo medio año.

Repensar la estrategia de seguridad y riesgo 10

Machine Translated by Google
¿Está preparado para las
preguntas de seguridad de su junta directiva?
A medida que los miembros de la junta se dan cuenta de cuán crítica
es la seguridad y la gestión de riesgos, hacen a los líderes preguntas más
complejas y matizadas. Están cada vez más informados y más
preparados para cuestionar la eficacia de los programas de sus empresas.
5 preguntas de seguridad que inevitablemente hará tu junta directiva
La cuestión del intercambio
Cómo suena: ¿Estamos 100% seguros? ¿Está seguro?
Por qué se pregunta: Los miembros de la junta directiva que no comprenden
realmente la seguridad y el impacto en el negocio suelen hacer
preguntas como ésta. Es imposible estar 100% seguro o protegido. La
función del CISO es identificar las áreas de mayor riesgo y asignar recursos
finitos para gestionarlas en función del apetito empresarial.
Cómo responder: comience con algo como: “Considerando la naturaleza
en constante evolución del panorama de amenazas, es imposible
eliminar todas las fuentes de riesgo de información. Mi función es
implementar controles para gestionar el riesgo. A medida que nuestro
negocio crece, tenemos que reevaluar continuamente cuánto riesgo es
apropiado. Nuestro objetivo es crear un programa sostenible que equilibre la
necesidad de proteger con la necesidad de administrar nuestro negocio”.
Repensar la estrategia de seguridad y riesgo
La cuestión del paisaje
Cómo suena: ¿ Qué tan mal está la situación ahí fuera? ¿Qué pasa con lo que
pasó en la empresa X? ¿Cómo nos comparamos con los demás?
Por qué se pregunta: Los miembros de la junta encontrarán informes
de amenazas, artículos, blogs y presión regulatoria para comprender los
riesgos. Siempre preguntarán qué están haciendo los demás,
especialmente las organizaciones pares. Quieren saber cómo es el “clima”
y cómo se comparan con los demás.
Cómo responder: evite adivinar la causa raíz de un problema de
seguridad en otra empresa diciendo: "No quiero especular sobre el incidente
en la empresa XYZ hasta que haya más información disponible, pero
estaré encantado de hacer un seguimiento". contigo cuando sepa más”.
Considere discutir una serie de respuestas de seguridad más amplias, como
identificar una debilidad similar y cómo se está solucionando o actualizando
los planes de continuidad del negocio.
La cuestión del riesgo
Cómo suena: ¿ Sabemos cuáles son nuestros riesgos? Que te mantiene
despierto en la noche?
Por qué se pregunta: La junta sabe que aceptar el riesgo es una elección (si
no lo hacen, es un desafío que deben resolver). Quieren saber que se
están manejando los riesgos de la empresa. Los CISO deben estar
preparados para explicar la tolerancia al riesgo de la organización para defender
las decisiones de gestión de riesgos.
11
Machine Translated by Google
Cómo responder: Explique el impacto empresarial de las decisiones
de gestión de riesgos y asegúrese de que sus posiciones estén
respaldadas por evidencia. La segunda parte es vital porque los
directorios toman decisiones basadas en la tolerancia al riesgo.
Cualquier riesgo fuera del nivel de tolerancia requiere una solución
para ponerlo dentro de la tolerancia. Esto no requiere necesariamente
cambios dramáticos en cortos períodos de tiempo; cuidado con reaccionar
exageradamente. La junta buscará garantías de que los riesgos materiales
se estén gestionando adecuadamente y de que en algunos casos pueden ser
apropiados enfoques sutiles a largo plazo.
La cuestión del rendimiento
Cómo suena: ¿Estamos asignando recursos adecuadamente?
¿Estamos gastando lo suficiente? ¿Por qué gastamos tanto?
Por qué se pregunta: La junta directiva querrá asegurarse de que los líderes
de seguridad y gestión de riesgos no se quedan quietos. Los miembros
de la junta querrán saber sobre métricas y ROI.
Repensar la estrategia de seguridad y riesgo
¿Está preparado para las
preguntas de seguridad de su junta directiva?
Cómo responder: utilice un enfoque de cuadro de mando integral en el
que la capa superior exprese las aspiraciones comerciales y el desempeño
de la organización frente a esas aspiraciones se ilustra mediante un
mecanismo simple de semáforo. En la medida de lo posible, explique
las aspiraciones en términos de desempeño empresarial, no de tecnología.
El rendimiento se sustenta en una serie de medidas de seguridad que se
evalúan utilizando un conjunto de criterios objetivos.
La pregunta del incidente
Cómo suena: ¿Cómo sucedió esto? ¿Pensé que tenías esto bajo control?
¿Qué salió mal?
Por qué se pregunta: Esto se pregunta cuando ha ocurrido un incidente o
evento y la junta ya lo sabe o el CISO les está informando al respecto.
Cómo responder: Un incidente es inevitable, así que sea objetivo. Comparte lo
que sabes y lo que estás haciendo para descubrir cualquier cosa que no
sepas actualmente. En resumen, reconozca el incidente, proporcione detalles
sobre el impacto empresarial, describa las debilidades o brechas que
deben resolverse y proporcione un plan de mitigación. Tenga cuidado de
no respaldar una opción como la opción final cuando esté frente a la junta
directiva. La responsabilidad de la supervisión de la seguridad y los
riesgos sigue siendo del líder de seguridad, pero la responsabilidad siempre
debe definirse en la junta directiva.
nivel ejecutivo.
12
Machine Translated by Google

Reconsidere su enfoque hacia

el talento en seguridad
La tasa de desempleo de los profesionales de la seguridad informática
es aproximadamente cero.

Si bien la demanda de profesionales de la seguridad continúa creciendo, la

cantidad de personas con las habilidades y la experiencia necesarias para
ocupar estos puestos no sigue el ritmo. La escasez de habilidades se
ve agravada por el hecho de que se espera que los equipos de seguridad de
TI desempeñen un papel más amplio y estratégico, uno que impulse el crecimiento
de la empresa, ayude a las organizaciones a asumir riesgos inteligentes con
nuevas tecnologías y satisfaga las crecientes demandas de soporte de
seguridad de la información en toda la empresa.

En pocas palabras, hoy en día es más difícil contratar profesionales de

seguridad que hace tres o cuatro años.

Repensar la estrategia de seguridad y riesgo 13

Machine Translated by Google

Reconsidere su enfoque hacia el talento en seguridad

Desafíos de seguridad clave para los CIO Utilice datos para descubrir nuevas fuentes de talento

Los CISO de hoy se enfrentan a nuevas condiciones:
1. Se requieren nuevas capacidades y roles de seguridad.
La digitalización está impulsando la necesidad de una gama más amplia de
roles que implican nuevas habilidades y conocimientos. Se espera que los
CISO agreguen selectivamente más de 30 capacidades de este tipo a su
función durante los próximos 24 meses, como estrategas de
seguridad responsables de establecer la estrategia de seguridad e informar
la estrategia de toda la empresa.
2. Es difícil contratar nuevos talentos en seguridad. Se necesitan un promedio de
130 días para cubrir los puestos vacantes en seguridad de TI; Las vacantes
quedan sin cubrir y los equipos carecen de personal durante muchos meses.
Como resultado, los equipos de los CISO a menudo se ven arrastrados a un ciclo
continuo de alta rotación y contratación lenta.
Gartner TalentNeuron™ recomienda lugares para encontrar talento digital. Los
CISO pueden consultar con sus pares de recursos humanos cómo los datos pueden
descubrir fuentes de talento no explotadas.
• Ubicaciones con menos escasez de talentos. Analice los datos tanto de la oferta
como de la demanda para obtener una imagen más clara de a qué ubicaciones
dirigirse.
• Empresas e industrias adyacentes. Extraiga estas fuentes para identificar empresas
que contraten activamente el talento que desea y luego agréguelas a sus criterios
de contratación.
• Ciudades con reservas de talentos emergentes. Utilice datos para identificar
ciudades con reservas de talento digital incipientes. Le permiten ampliar sus
recursos de contratación.

3. La demanda de seguridad supera la capacidad. El aumento

La demanda de experiencia en seguridad ejerce una presión significativa
sobre los CISO para escalar exponencialmente el trabajo de sus equipos. La
demanda está impulsada por inversiones masivas en transformación digital,
informes de los medios sobre filtraciones de datos y ataques cibernéticos,
y la adopción generalizada de metodologías de desarrollo ágiles.
exigir a los CISO que hagan más con el personal existente mientras planifican
cambios en las necesidades futuras de talento.

Repensar la estrategia de seguridad y riesgo 14

Machine Translated by Google

Reconsidere su enfoque hacia el talento en seguridad

Adopte el enfoque de equipo eficiente

Si bien la solución a las filtraciones de datos puede parecer ser un
equipo de seguridad de TI más grande y mejor, un enfoque eficiente en la
dotación de personal puede aliviar los desafíos de recursos sin
sacrificar la capacidad de reflexión. Esto requiere delegar una parte de las
funciones de seguridad a otros equipos corporativos, comerciales y de TI.

En entrevistas con clientes de Gartner que, ya sea por diseño o por

circunstancias, implementaron estrategias de organización de seguridad
eficiente, quedó claro que dicho enfoque se puede utilizar de manera
efectiva para optimizar los escasos recursos de seguridad. El punto de
partida es ir más allá de la suposición de que un equipo de seguridad
en constante crecimiento es la mejor manera de responder al creciente
riesgo de seguridad.

"El punto de partida es ir más allá de la

suposición de que un equipo de seguridad en
constante crecimiento es la mejor manera de
responder al creciente riesgo de seguridad".
Tom Scholtz

Distinguido vicepresidente y analista de Gartner

Repensar la estrategia de seguridad y riesgo 15

Machine Translated by Google
Para adoptar un enfoque lean, Gartner recomienda estas
acciones:
• Desafíe el status quo de su organización de seguridad
cuestionando supuestos fundamentales sobre la responsabilidad
y el papel del equipo de seguridad de la información, lo que puede
tener un efecto material en las demandas del equipo y, por lo tanto, en la
eficacia del equipo.
• Evaluar la eficacia de su equipo de seguridad actual para
identificar funciones o capacidades (como la comunicación de
concientización del usuario) que pueden transferirse a otras partes del
negocio o de TI.
• Identificar ubicaciones alternativas en el negocio o en TI para capacidades
que no cuentan con recursos suficientes o que funcionan de
manera subóptima.
• Identificar y comunicar las ventajas, desventajas y requisitos previos de adoptar
un enfoque lean en su empresa.
Repensar la estrategia de seguridad y riesgo
Reconsidere su enfoque hacia el talento en seguridad
Requisitos previos para adoptar una
organización de seguridad eficiente
La adopción formal de una estrategia de organización de seguridad
eficiente no está exenta de riesgos y tiene varios requisitos previos clave:
• Claro apoyo ejecutivo. Esto es clave. Garantizar que el liderazgo sea
plenamente informados de los motivos y objetivos de la estrategia, así como
de los riesgos y complicaciones asociados.
• Equipos de seguridad con experiencia en la gestión de equipos
distribuidos. Los equipos también deben tener experiencia en instituir y
gestionar funciones de gobernanza, como comités directivos y foros
de coordinación y planificación.
• Un entorno cultural que fomente el aprendizaje. Él
También debería fomentar el crecimiento personal y la adopción de
nuevas responsabilidades, ya que este enfoque se basa en gran
medida en la capacidad, capacidad y voluntad de los empleados no
relacionados con la seguridad para asumir nuevas responsabilidades adicionales.
• Capacidad y presupuesto para apoyar la educación de los empleados.
Los empleados nuevos en sus responsabilidades de seguridad deben
recibir capacitación rápidamente. Determine qué equipo financiará la
educación: el equipo de seguridad o la nueva línea gerencial.
• Mayores niveles de madurez de los procesos. Son críticos.
La transferencia de funciones que no se basan en procesos se verá
afectada cuando se transfiera a recursos que tienen menos experiencia
en riesgos y seguridad.
dieciséis
Machine Translated by Google

Investigación adicional

Actualice su perspectiva de seguridad y riesgo Más inteligente con los artículos de Gartner (continuación)

Investigación de clientes La presentación de seguridad de 15 minutos y 7 diapositivas para su junta directiva

Las nubes son seguras: ¿las está utilizando de forma segura?

Más inteligente con Gartner, Rob McMillan, agosto de 2018
Jay Heiser, octubre de 2019
5 preguntas de seguridad que inevitablemente hará su junta directiva
Desarrolle una visión y una estrategia pragmáticas para la seguridad
Más inteligente con Gartner, Sam Olyaei, octubre de 2019
empresarial digital Tom

Scholtz, abril de 2019 Comprender las tendencias de seguridad y riesgo

Más inteligente con los artículos de Gartner
El enfoque de seguridad de TI de Gartner para la era digital
Más inteligente con Gartner, Neil MacDonald, junio de 2017
Investigación de clientes
Predice 2019: Programas de seguridad y gestión de riesgos
Earl Perkins, Roberta Witty, Sam Olyaei, David Gregory, Mark

Replantee sus creencias mentales fundamentales para Jaggers, noviembre de 2018

satisfacer las demandas de

la era digital de manera más inteligente con Gartner, Graham P. Waller, diciembre de 2016
Reconsidere su enfoque hacia el talento en seguridad
Detectar, responder e informar
Investigación de clientes

Investigación de clientes
TI trimestral: primer trimestre de 2018

Luchando contra el phishing: optimice su defensa Gartner, equipo de investigación del CIO, febrero de 2018

Neil Wynne, Andrew Walls, Peter Firstbrook, diciembre de 2017 Adopte una organización de seguridad digital eficiente para mitigar la escasez
de habilidades
Implementar un enfoque basado en riesgos para la gestión de vulnerabilidades
Tom Scholtz, abril de 2019
Prateek Bhajanka, Craig Lawson, agosto de 2018
Más inteligente con los artículos de Gartner
Más inteligente con los artículos de Gartner

Diez resoluciones del CIO para 2019 5 lugares donde no pensaste buscar talento digital

Mark Raskino, enero de 2019 Más inteligente con Gartner, Dion Love, julio de 2019

Aprenda del ataque de ransomware WannaCry Enfrentar la escasez de talento en ciberseguridad

Más inteligente con Gartner, Jonathan Care, mayo de 2017 Más inteligente con Gartner, Sam Olyaei y Matt Stamper, junio de 2017

17
Machine Translated by Google

Aprende más.
Cavar profundo.
Mantenerse a la vanguardia.

Contenido gratuito:
visite Smarter With Gartner
Manténgase al tanto de las tendencias y conocimientos sobre seguridad y riesgos.

Ver seminario web:

Transformar la seguridad y el riesgo en una
Función empresarial: un panel de discusión
Obtenga consejos prácticos en una hora de parte de los expertos
en riesgos y seguridad de Gartner.

Asiste a la conferencia:
Cumbres de seguridad y gestión de riesgos de Gartner
Aprenda de la mano de los expertos de Gartner cómo guiar su organización hacia
un futuro digital seguro.

Conviértete en cliente:
1 855 307 8858
gartner.com/es/conviértete­en­cliente

© 2020 Gartner, Inc. y/o sus afiliados. Reservados todos los derechos. CTMKT_864876