11 ago 2018

Del CIO al CISO: el rol estratégico de la ciberseguridad para el negocio

El reciente ataque cibernético a uno de los principales bancos de Chile dejó en evidencia la vulnerabilidad de grandes empresas del sistema chileno en cuanto a la ciberseguridad. De manera autocrítica, es necesario seguir desarrollando estrategias que permitan hacer frente a esta problemática.

No solo la banca es una de las industrias afectadas. Tras analizar el último Informe Anual de Seguridad de Symantec (ISTR), se revela que en un 91,6% de los casos la industria financiera y de seguros local ha sufrido algún incidente cibernético, seguida por las organizaciones gubernamentales con el 8,11%. ¿Cuáles son las vulneraciones más frecuentes en la red? Chile se posiciona en categorías como Ataques a la red (24°), Ransomware (24°) y Bots (31°) a nivel mundial.

Además de estos ataques, hay uno que ha tomado relevancia y es el "Criptojacking", que durante el año pasado incrementó en un 8.500%, como consecuencia del valor astronómico que ha ido adquiriendo las criptomonedas.

El problema no se debe netamente a la falta de inversión, porque durante el 2017 las firmas chilenas gastaron US$ 195,7 millones en ciberseguridad, cifra que significó un alza de 4,1% respecto al 2016.

Sin embargo, hace falta aumentar el presupuesto destinado a la ciberseguridad. Un claro ejemplo de ello es que Chile invirtió un 0,07% del PIB nacional, muy por debajo del promedio de la mayoría de los países que gastan un 0,12% de su PIB.

De acuerdo a IDC y Netscout Arbor, en 2017 se registraron pérdidas cercanas a los US$90 mil millones a nivel mundial por ciberataques de distintos tipos, por lo que hoy es imperioso para las empresas la alternativa del Chief Information Security Office, que trabaje de la mano con el Gerente de Información y Tecnología para enfrentar esta problemática. La amenaza es real, Gartner prevé que el 60% de las empresas en América Latina sufrirán grandes fallas de seguridad, por lo que este tema debe verse como un problema crítico del negocio por los altos ejecutivos uy directorios.

En esta era digital, los ciberataques han significado cuantiosas pérdidas económicas, tanto para el sector público como para el privado, por eso es necesario tomar medidas para evitar que las empresas se vean afectadas no solo desde el punto de vista financiero, sino desde la perspectiva reputacional.

En este sentido, el CISO debe tener rol estratégico, capaz de gestionar los riesgos y educar a las mesas directivas, con el fin de que la protección ante los ciberataques sean parte efectiva de la estrategia del negocio.
Roles ciberseguridad en la empresa. CEO: soy el director ejecutivo, el responsables de la emrpesa. CIO: soy el responsable de toda la tecnología de la información de la organización. CTO: soy el responsable de la gestión diaria de las tecnologías de la información. CSO: soy el rsponsable de la seguridad fisica y tecnológica de la empresa. CISO: garantizar la seguridad de la información de la empresa es mi cometido.

CISO

El CISO (Chief Information Security Officer) es el director de seguridad de la información. Básicamente es un rol desempeñado a nivel ejecutivo y su función principal es la de alinear la seguridad de la información con los objetivos de negocio. De esta forma se garantiza en todo momento que la información de la empresa está protegida adecuadamente.
Como decíamos, cada día van saliendo nuevos roles. Por tanto, muchas de las responsabilidades de un puesto se han ido modificando a lo largo de los años. Sin embargo, para el rol de CISO podemos decir que en general, sus responsabilidades incluyen:
  • Generar e implantar políticas de seguridad de la información.
  • Garantizar la seguridad y privacidad de los datos.
  • Supervisar la administración del control de acceso a la información.
  • Supervisar el cumplimiento normativo de la seguridad de la información.
  • Responsable del equipo de respuesta ante incidentes de seguridad de la información de la organización.
  • Supervisar la arquitectura de seguridad de la información de la empresa.
El CISO  es el encargado de alinear los objetivos principales de la empresa con la estrategia de ciberseguridad. Además de esto, se encarga de establecer las políticas de seguridad de la organización en función de la actividad de la misma y de establecer las medidas y controles necesarios.

CSO

El CSO (Chief Security Officer) es el responsable de la seguridad de la organización. Al CSO a veces se le denomina responsable de seguridad corporativa. Podemos pensar que el CISO y el CSO son el mismo rol y que desempeñan las mismas funciones. En organizaciones pequeñas es frecuente que coincidan ambas responsabilidades en una misma persona. Pero realmente no es así. El rol del CISO suele estar más centrado en aspectos de seguridad de la información, mientras que al CSO se le requiere:
  • Tener una visión de negocio que comprenda los riesgos que afronta la organización y cómo tratarlos.
  • Entender la misión y los objetivos de la empresa y asegurarse de que todas las actividades son planificadas y ejecutadas para satisfacer dichos objetivos.
  • Comprender las necesidades normativas, la gestión de la reputación de la organización y las expectativas de los usuarios.
  • Establecer los planes de continuidad de negocio y recuperación de desastres en el ámbito de las tecnologías de la información.
  • Estar al tanto de los cambios normativos, debiendo informarse de las consecuencias para las actividades de la organización y proponiendo las medidas oportunas para adecuarse al nuevo marco normativo.
El CSO es la persona responsable de toda la seguridad interna de la organización. Tiene que estar continuamente al tanto de todos los riesgos en ciberseguridad y conocer de primera mano la normativa, establecer los planes de continuidad, tener una visión completa del negocio, etc. Cuando existen CSO y CISO, el CISO reporta al CSO y el CSO a la dirección.

CEO

El CEO (Chief Executive Officer). Es sin lugar a dudas la sigla más conocida. Es el director ejecutivo, el gerente, el cargo más alto dentro del organigrama de la organización. Es el responsable final de las acciones que se lleven a cabo dentro de la empresa, de su desempeño y su eficiencia.
Su función principal es la de supervisar y velar porque la estrategia definida en la empresa cumpla con la consecución de los objetivos de la organización, además de sembrar los principios y pilares básicos a seguir dentro de la empresa.

El CEO es el máximo responsable de la gestión y dirección administrativa de la empresa, es decir, el director ejecutivo. Es la persona encargada de formular el objetivo, la visión y misión de la compañía.

El CEO tiene una importante relación con el CIO, debido a que las estrategias de las empresas están estrechamente ligadas al ámbito de las tecnologías de la información.

CIO

El CIO (Chief Information Officer), es el gerente de sistemas o director de tecnologías de la información. Reporta directamente al CEO, y se encarga básicamente de que las estrategias de la organización estén alineadas con la tecnología de la información para lograr los objetivos planificados.

Además, se encarga de mejorar los procesos de tecnologías de la información de la organización, gestionar el riesgo y la continuidad de negocio, controlar el coste en infraestructura de tecnologías de la información, alinear el gobierno de tecnologías de la información a los requerimientos tecnológicos, y establecer mejoras e innovaciones de soluciones y productos. 

EL CIO es el responsable de los sistemas de tecnologías de la información de la empresa a nivel de procesos y desde el punto de vista de la planificación. El CIO analiza qué beneficios puede sacar la empresa de las nuevas tecnologías, identifica cuales de estos pueden interesar más a la compañía y evalúa su funcionamiento

CTO

El rol del CTO (Chief Technology Officer) en un rol similar al CIO pero más "técnico". En este sentido, se han identificado nada menos que seis roles distintos que pueden desempeñar los CTO. Se entremezclan con las funciones de los CIO. Sin embargo podemos decir que es un director técnico, siendo su responsabilidad la gestión del día a día de las tecnologías de la información.

El CTO este perfil es el responsable del equipo de ingeniería y encargado del funcionamiento de los sistemas de información. La diferencia con el CIO es que éste se preocupa de incrementar la eficiencia para mejorar el flujo de trabajo de la comunicación, mientras que el CTO se centra en la estrategia tecnológica.

Además de estos roles, pueden existirn los siguientes:
  • DPO (Data Protection Officer): esta figura se ocupa de los asuntos sobre privacidad y protección de datos, es decir, el responsable de la privacidad que, con una actuación preventiva y activa, se encarga de coordinar, supervisar y transmitir la política de protección de datos dentro y fuera de la entidad. Este perfil es obligatorio para aquellas empresas o entidades que procesen información personal de usuarios tal y como estipula la vigente GDPR.
  • Analista de seguridad: son los individuos que están en los equipos de monitorización del SOC, revisando eventos de seguridad y alertas, realizando un análisis de las mismas, y cuando aplica, escalando las alertas que resultan incidentes a los especialistas de "incidencias". Es decir, están en constante detección de cualquier posible vulnerabilidad técnica en los sistemas informáticos y redes de la compañía.
  • Arquitecto de seguridad: es el responsable de asegurar todos los desarrollos que se realicen en el entorno y la organización, para ello, previamente diseña la arquitectura de ciberseguridad.
  • Hacker ético/ pentester: este perfil debe de estar muy al día de todas las amenazas que hay en la actualidad en el mundo digital, además de conocer de primera mano las técnicas que utilizan los ciberdelincuentes para poder poner a prueba los sistemas de seguridad de las empresas y analizar los peligros a los que se afrontan y de esta manera ponerles remedio. Su labor principal consiste en identificar agujeros/vulnerabilidades, "atacarlos" de forma segura para ver si son explotables, y proponer las recomendaciones para su parcheo/remediación.
  • Especialista forense: es el encargado de realizar un análisis detallado de las redes y sistemas tras sufrir un incidente de seguridad o ciberataque.
  • Especialista en incidencias: cuando se produce un ataque de seguridad, es el responsable de coordinar las actividades que se deben de realizar para solventar este ataque. Activará el plan de control para que todos los equipos trabajen alineados y las incidencias sufridas tengan el menor impacto posible.
  • Analista de inteligencia y hunters: son equipos que investigan inteligencia procedente de fuentes externas y se infiltran e interactúan con atacantes dark sites y comunidades Deep web para extraer inteligencia sobre nuevas técnicas de ataque, nuevos actores... Con toda esta inteligencia, hacen dos cosas: por un lado, proactivamente buscan signos de compromiso sobre la infraestructura para identificar ataques en curso que hubieran podido pasar desapercibidos por la compañía (Ejemplo: que hubieran evadido el antivirus, IDS, anti-spam..), y por otro lado, se coordinan con el C-level (CISO…) para adaptar nuevas defensas y controles de seguridad (Ejemplo: nuevo ataque utiliza esta vulnerabilidad X, pues voy a asegurarme que todos mis equipos estén correctamente parcheados).
  • Network defenders" o responsables de red: se encargan de configurar los sistemas de red, añadir nuevas reglas para bloquear trafico o permitir tráfico, etc. Además de esto, configuran el tráfico DNS, los proxies de navegación, los firewalls, los sistemas IDS/IPS para detección y bloqueo de anomalías, y mucho más.
Estos son los roles más conocidos y más utilizados en una organización. Seguro que irán saliendo nuevos cargos, y con ellos nuevos roles y siglas que los identifique. De hecho y según una importante consultora internacional, todo apunta a que este año aflorarán los roles de Chief Data Officer y Chief Digital Officer (ambas compartirán las mismas siglas, CDO) que coexistirán con las más tradicionales de CIO y CTO, al menos en el corto plazo, por lo que se necesitará una estrecha revisión de las responsabilidades y funciones entre los viejos y los nuevos roles.

Fuente: CiberTime | INCIBE

Suscríbete a nuestro Boletín

1 comentario:

  1. Excelente propuesta, solo una duda.
    ¿ Hay alguna referencia técnica, normativa o ISO de este escrito que le den fundamento ?
    ¿Donde puedo revisar su fundamento del documento?

    ResponderBorrar

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!