Una guía para navegar sus primeros 90 días como nuevo CISO

Llevar a cabo el mandato del director de seguridad de la información (CISO) nunca ha sido fácil, pero el panorama digital actual, cada vez más tenso, lo ha hecho aún más difícil. Además, los requisitos de cumplimiento nuevos y complejos han abierto la puerta a una posible responsabilidad penal personal en caso de una violación de datos u otro incidente cibernético.

Es un gran trabajo que toca casi todas las partes de la organización, y la capacidad de comenzar a trabajar puede marcar una gran diferencia. Pero con tantas tareas a mano, saber por dónde empezar puede ser un desafío importante.

La forma en que opera un nuevo CISO durante sus primeros 90 días en el trabajo establecerá el tono y el precedente para el resto de su mandato. Cuando asumí por primera vez mi rol como CISO, establecí objetivos claros para mí en los puntos de referencia de 30, 60 y 90 días porque sabía que era importante ingresar con un plan y una visión clara de lo que constituiría el éxito.

Fue una experiencia de aprendizaje y, a pesar de que no todo salió según lo planeado, recuerdo esos primeros 90 días con orgullo y cariño. Esto es lo que aprendí de mis primeros tres meses en el trabajo:

Ponte en marcha, pero no intentes correr a toda velocidad

La preparación es fundamental. Incluso antes de poner un pie en su nueva oficina, debe realizar una investigación exhaustiva sobre el panorama de amenazas de su industria.

¿Qué actividad reciente de amenazas ha aparecido en las noticias? ¿Qué incidentes importantes (y menores) han tenido lugar durante el último año? También debe conocer los costos relevantes asociados con una brecha en su industria en función de la actividad de ataque que revele su investigación. Es importante saber qué peligros existen y el costo de la inacción.

Siempre me ha quedado un consejo: nunca recuperarás esos primeros 90 días. Nunca habrá otro momento en el que pueda concentrarse únicamente en la investigación y el descubrimiento. A medida que se asiente en el rol, se arraigará más en las actividades diarias y comenzará a ejecutar su visión. Pero durante esos primeros 90 días, es importante resistir la tentación de sumergirse, comenzar a trabajar en entregables o emprender nuevas iniciativas. Este es tu momento para mirar y escuchar.

Conoce quién puede darte las respuestas que necesitas

Tan pronto como pueda, haga un mapa de las partes interesadas internas y externas que necesita conocer y comience a programar reuniones con ellas.

Incluso antes de comenzar, envié una solicitud de recopilación de documentos completa a cada uno, solicitando evaluaciones de madurez recientes, organigramas, cubiertas de juntas recientes y documentación sobre cualquier proceso relevante. Por eso, tuve toda la documentación que necesitaba en mi primer día.