Mejor formación y herramientas para medir el ROI
Más de 250 CIO, CSO y responsables de seguridad se han dado cita en la V Jornada Internacional de ISMS Forum Spain, celebrada en Madrid con el lema “La organización de la seguridad: El laberinto del CISO”. A lo largo de la jornada se han tratado diversos aspectos de la figura del CISO y su relación con otros responsables dentro de las organizaciones, ya sea el CIO o el CEO. Entre las conclusiones del evento destaca la necesidad de mejorar la formación y la demanda de herramientas sencillas de medición del retorno de la inversión en seguridad.
La necesidad de promover una cultura formativa en seguridad y concienciar a los usuarios ha sido uno de los puntos destacados por Víctor Izquierdo, director de INTECO, que considera que “el eslabón más débil en la cadena de seguridad corporativa siempre es el empleado mal informado, especialmente en las PYMES”. Según Izquierdo, el 62% de las pérdidas de información en las empresas se deben a errores de los empleados y no a ataques. Entre las recomendaciones de este responsable para que las PYMES adecuen sus sistemas se encuentra el uso de sistemas de seguridad gestionada en modelo de pago por uso, más asequible para este tipo de compañías.
Ente los participantes en la jornada se encuentra Ron Collete, reconocido consultor y coautor de libros sobre el CISO y su papel en las empresas. Para Collete, la selección del perfil adecuado es primordial, “dejando de lado las afinidades personales, las habilidades y la formación técnica, ya que una persona con una excelente formación puede no encajar en nuestra organización si procede de un entorno radicalmente diferente”. Según Collete, no importan las capacidades y las características del candidato, sino “simplemente si cubre las necesidades de nuestra compañía”.
A lo largo de la jornada tuvieron lugar dos mesas redondas en las que se debatió sobre el papel del CISO en la empresa, tanto desde el punto de vista productivo como de relación con otros responsables. Aunque en algunas organizaciones la figura de CIO y CSO confluyen en un único puesto, comienza a ser habitual –especialmente en compañías de mediano y gran tamaño- la existencia de un responsable de seguridad independiente. “Un puesto que no siempre es tan cómodo como pueda parecer, y cuya separación del responsable de informática es un camino duro y difícil de conseguir”, según el CSO de Mapfre. Para Julio César Álvarez, director de calidad y de gestión de sistemas de información de Steria, “la relación con el CIO determina la forma en la que el CISO puede desempeñar su trabajo. Poder mostrar la correlación entre seguridad y productividad, es decir, cómo influye en los resultados financieros, es esencial para que pueda desempeñar su papel adecuadamente”.
Por su parte, Khalid Kark, de Forrester, aseguró que, pese a tener que vivir con presupuestos restringidos, la seguridad ha dejado atrás una época oscura donde ni los CIO ni los directivos le daban importancia para convertirse en una pieza clave en la continuidad del negocio.
Khalid Kark, de Forrester, aseguró que, pese a tener que vivir con presupuestos restringidos, la seguridad ha dejado atrás una época oscura donde ni los CIO ni los directivos le daban importancia para convertirse en una pieza clave en la continuidad del negocio.
“Hace pocos años, al CIO no le importaba la seguridad ni tenía tiempo para el CISO. Pero poco a poco, hemos llegado a un punto en el que la seguridad está viviendo una época de renacimiento”, explicaba el analista principal de Forrester Khalid Kark, durante su presentación en la V Jornada Internacional del ISMS Forum celebrada hoy, 28 de mayo de 2009, en Madrid bajo el título “La organización de seguridad: el laberinto del CISO”. En el pasado, “la organización no esperaba demasiado de nosotros. Ahora hace falta más control sobre los datos y eso tiene que ver con la eficiencia de la compañía”, apuntaba.
En opinión de este analista, la principal tarea del CISO es gestionar el riesgo de la información; una labor que le proporciona “un gran impacto” y que hará que en el futuro “sea difícil no ser facilitador del negocio”.
Este cambio en el rol del CISO no sólo se ha visto reflejado en la disponibilidad de una mayor partida presupuestaria para seguridad –si bien reconoce que el recorte está también afectando a esta parcela de las TI-, sino también en su posición dentro del organigrama corporativo. En este sentido, Khalid Kark destacó la diferencia entre corporaciones europeas y americanas, con balance positivo para las europeas: el 41% de los CISO dependen de la directiva o el CEO y un 17% del comité ejecutivo, porcentajes al menos dos puntos por encima de sus homólogos americanos. “Esto indica la visibilidad del CISO dentro de las organizaciones europeas”.
No obstante, dónde debe posicionarse el CISO, “depende de la cultura y el tamaño de la organización”, siendo la primera el factor de mayor influencia. “No hay que buscar una fórmula mágica, depende del caso”.
Respecto a las tareas que implican este cargo, el analista de Forrester señala que sus responsabilidades también han ido evolucionando en los últimos años. “Hemos pasado de hablar de firewalls, IPS, filtrado… a cómo centrarnos más en el negocio, en la privacidad, en proteger la propiedad intelectual. Se habla más de asuntos de negocio y no tanto de tecnología”. Este salto ha hecho también que los CISO sean cada vez más “consultores”, si bien deban tener capacidad para trasladar su amplio espectro de conocimiento en seguridad a otros estratos de la organización, con un lenguaje sencillo: “Los CEO se ponen nerviosos porque se piensan que les van a dar mucha información técnica que no van a entender”, añade el experto.
Aprender a delegar
Para Khalid Kark, no cabe duda de que la mayor implicación de la seguridad de la información en la marcha del negocio ha aumentado significativamente sus responsabilidades, que pueden estructurarse en estratégicas y operativas. A la primera categoría pertenecerían labores como políticas, métricas o formación, mientras que el segundo campo estaría centrado en tareas cotidianas como gestión de amenazas o seguridad de las aplicaciones. “Hay que ser disciplinado para encontrar el balance entre estas dos áreas y si no se es capaz, delegar las áreas más maduras”. En definitiva, la sugerencia es que “cuanto más deleguemos responsabilidades operativas en otros, más tiempo tendremos para dedicarnos a tareas más estratégicas”.
Fuente: CSO España I y II
La necesidad de promover una cultura formativa en seguridad y concienciar a los usuarios ha sido uno de los puntos destacados por Víctor Izquierdo, director de INTECO, que considera que “el eslabón más débil en la cadena de seguridad corporativa siempre es el empleado mal informado, especialmente en las PYMES”. Según Izquierdo, el 62% de las pérdidas de información en las empresas se deben a errores de los empleados y no a ataques. Entre las recomendaciones de este responsable para que las PYMES adecuen sus sistemas se encuentra el uso de sistemas de seguridad gestionada en modelo de pago por uso, más asequible para este tipo de compañías.
Ente los participantes en la jornada se encuentra Ron Collete, reconocido consultor y coautor de libros sobre el CISO y su papel en las empresas. Para Collete, la selección del perfil adecuado es primordial, “dejando de lado las afinidades personales, las habilidades y la formación técnica, ya que una persona con una excelente formación puede no encajar en nuestra organización si procede de un entorno radicalmente diferente”. Según Collete, no importan las capacidades y las características del candidato, sino “simplemente si cubre las necesidades de nuestra compañía”.
A lo largo de la jornada tuvieron lugar dos mesas redondas en las que se debatió sobre el papel del CISO en la empresa, tanto desde el punto de vista productivo como de relación con otros responsables. Aunque en algunas organizaciones la figura de CIO y CSO confluyen en un único puesto, comienza a ser habitual –especialmente en compañías de mediano y gran tamaño- la existencia de un responsable de seguridad independiente. “Un puesto que no siempre es tan cómodo como pueda parecer, y cuya separación del responsable de informática es un camino duro y difícil de conseguir”, según el CSO de Mapfre. Para Julio César Álvarez, director de calidad y de gestión de sistemas de información de Steria, “la relación con el CIO determina la forma en la que el CISO puede desempeñar su trabajo. Poder mostrar la correlación entre seguridad y productividad, es decir, cómo influye en los resultados financieros, es esencial para que pueda desempeñar su papel adecuadamente”.
Por su parte, Khalid Kark, de Forrester, aseguró que, pese a tener que vivir con presupuestos restringidos, la seguridad ha dejado atrás una época oscura donde ni los CIO ni los directivos le daban importancia para convertirse en una pieza clave en la continuidad del negocio.
Khalid Kark, de Forrester, aseguró que, pese a tener que vivir con presupuestos restringidos, la seguridad ha dejado atrás una época oscura donde ni los CIO ni los directivos le daban importancia para convertirse en una pieza clave en la continuidad del negocio.
“Hace pocos años, al CIO no le importaba la seguridad ni tenía tiempo para el CISO. Pero poco a poco, hemos llegado a un punto en el que la seguridad está viviendo una época de renacimiento”, explicaba el analista principal de Forrester Khalid Kark, durante su presentación en la V Jornada Internacional del ISMS Forum celebrada hoy, 28 de mayo de 2009, en Madrid bajo el título “La organización de seguridad: el laberinto del CISO”. En el pasado, “la organización no esperaba demasiado de nosotros. Ahora hace falta más control sobre los datos y eso tiene que ver con la eficiencia de la compañía”, apuntaba.
En opinión de este analista, la principal tarea del CISO es gestionar el riesgo de la información; una labor que le proporciona “un gran impacto” y que hará que en el futuro “sea difícil no ser facilitador del negocio”.
Este cambio en el rol del CISO no sólo se ha visto reflejado en la disponibilidad de una mayor partida presupuestaria para seguridad –si bien reconoce que el recorte está también afectando a esta parcela de las TI-, sino también en su posición dentro del organigrama corporativo. En este sentido, Khalid Kark destacó la diferencia entre corporaciones europeas y americanas, con balance positivo para las europeas: el 41% de los CISO dependen de la directiva o el CEO y un 17% del comité ejecutivo, porcentajes al menos dos puntos por encima de sus homólogos americanos. “Esto indica la visibilidad del CISO dentro de las organizaciones europeas”.
No obstante, dónde debe posicionarse el CISO, “depende de la cultura y el tamaño de la organización”, siendo la primera el factor de mayor influencia. “No hay que buscar una fórmula mágica, depende del caso”.
Respecto a las tareas que implican este cargo, el analista de Forrester señala que sus responsabilidades también han ido evolucionando en los últimos años. “Hemos pasado de hablar de firewalls, IPS, filtrado… a cómo centrarnos más en el negocio, en la privacidad, en proteger la propiedad intelectual. Se habla más de asuntos de negocio y no tanto de tecnología”. Este salto ha hecho también que los CISO sean cada vez más “consultores”, si bien deban tener capacidad para trasladar su amplio espectro de conocimiento en seguridad a otros estratos de la organización, con un lenguaje sencillo: “Los CEO se ponen nerviosos porque se piensan que les van a dar mucha información técnica que no van a entender”, añade el experto.
Aprender a delegar
Para Khalid Kark, no cabe duda de que la mayor implicación de la seguridad de la información en la marcha del negocio ha aumentado significativamente sus responsabilidades, que pueden estructurarse en estratégicas y operativas. A la primera categoría pertenecerían labores como políticas, métricas o formación, mientras que el segundo campo estaría centrado en tareas cotidianas como gestión de amenazas o seguridad de las aplicaciones. “Hay que ser disciplinado para encontrar el balance entre estas dos áreas y si no se es capaz, delegar las áreas más maduras”. En definitiva, la sugerencia es que “cuanto más deleguemos responsabilidades operativas en otros, más tiempo tendremos para dedicarnos a tareas más estratégicas”.
Fuente: CSO España I y II
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!