10 mar 2019

Cómo convertirse en CISO

Hace una semana analizábamos el papel que juega el CSO en la empresa y cuáles son sus principales responsabilidades, hoy llega el turno de analizar un perfil que aunque sobre el papel puede parecer similar, en realidad marca las diferencias: el CISO (Chief Security Information Officer) o Director de Seguridad de la Información.

Teniendo en cuenta el nivel creciente de amenazas informáticas que cada año experimentan empresas de todos los tamaños, la importancia y el rol que juega el CISO en la organización ha crecido a un ritmo similar. Y es que en un momento en el que el dato se ha convertido en el activo más importante con el que cuenta cualquier empresa, este perfil profesional ha pasado de ser un complemento en la estructura C-Suite de la empresa, a convertirse en un activo fundamental.

¿Qué es un CISO?

Dependiendo del tipo de empresa, el CISO (presentación) puede ser el máximo responsable de seguridad de una compañía o bien trabajar con el CSO en la misma área. En el primer caso, además de disponer de un perfil puramente técnico, se encarga de alinear la estrategia de negocio desde el área de la seguridad informática, con los objetivos de negocio de la organización.
En el segundo caso, mucho más habitual en las grandes empresas, trabaja alineando sus objetivos propios con los del CSO y a la vez, con los del CIO y CTO. En líneas generales, el CISO se encarga de supervisar todos los procesos de la empresa con el objetivo de mantener a salvo su activo más preciado: los datos.

Para ello se encarga de responder ante posibles incidentes y brechas de seguridad, trabaja con el CSO en el diseño de las políticas adecuadas y dirige el establecimiento de los distintos protocolos y procedimientos que debe seguir la compañía en esta materia.

¿Cuáles son sus responsabilidades principales?

Como hemos visto hasta ahora, la gran responsabilidad del CISO es mantener segura la infraestructura informática de la compañía, especialmente en todo lo relativo al acceso y gestión de la información. Desde este punto de vista, el Director de Seguridad de la Información se ocupa directamente de las siguientes áreas:
  1. Elaborar, implantar y adaptar las políticas de seguridad de la información (en colaboración con el CSO)
  2. Trabajar para conseguir una total seguridad de los datos de la empresa, así como la privacidad de los mismos.
  3. Supervisar, controlar y administrar el acceso a la información de la empresa, y de sus trabajadores.
  4. Garantizar el cumplimiento de la normativa relacionada con la seguridad de la información (en colaboración con el CSO)
  5. Elaborar un conjunto de medidas de respuesta ante problemas de seguridad relacionados con la información, incluyendo la recuperación ante desastres.
  6. Supervisar y coordinar al equipo encargado de llevar a cabo las medidas de respuesta en caso de brechas de seguridad.
  7. Controlar, mejorar y adaptar la arquitectura de seguridad de la información en su empresa.
  8. Operaciones de seguridad de la información en sentido amplio, lo que incluye desde trabajos como forense de datos hasta programas de formación para luchar contra el fraude y el robo de información.

¿Qué formación y habilidades tiene que tener?

La formación del CISO, probablemente más que cualquiera de la del resto de miembros del conjunto C-Suite, tiene un perfil marcadamente técnico. En primer lugar el CISO es un profesional que tiene conocimientos informáticos avanzados, como fruto de haber cursado una licenciatura en ingeniería informática o haber obtenido un título similar.

No obstante, la mayoría de los CISOs de primer nivel destacan por disponer además formación técnica complementaria en materia de seguridad informática, en algunos casos certificada por instituciones de primer nivel. En este campo, algunos de los títulos más representativos son los siguientes:
  1. Certificado profesional en seguridad de sistemas de información (CISSP, por sus siglas en inglés), dirigido a profesionales del sector TI que quieran centrarse en el ámbito de la seguridad.
  2. Certificación como gestor de seguridad de la información (CISM, por sus siglas en inglés), una alternativa muy popular para aquellos profesionales que quieren subir posiciones dentro de la materia de seguridad y completar una transición a cargos de responsabilidad y liderazgo.
  3. Certificación de hacker ético (CEH, por sus siglas en inglés), dirigida a profesionales de la seguridad que quieran mejorar sus conocimientos en relación a las amenazas de seguridad que pueden afectar a una empresa.
Siendo aún más específicos, el CISO debería tener formación de primer nivel en materias clave para la seguridad de la información, que incluyen DNS, enrutamiento, autenticación, VPN, servicios de proxy y tecnologías de mitigación DDOS; prácticas de codificación, piratería ética y gestión de amenazas, cortafuegos y protocolos de detección o sistemas de prevención de intrusos.

Finalmente, al ser un miembro ejecutivo de alto nivel y con responsabilidad sobre un departamento, al CISO se le piden ciertas habilidades en áreas como liderazgo y gestión de equipos, saber dirigir proyectos y tener ciertos conocimientos financieros que le permitan priorizar y gestionar el aspecto económico de su departamento.

La posición específica del CISO y la distribución de tareas

La seguridad de la información debe ser una de las mayores prioridades en el cuadro de control, debido a ello la siguiente necesidad del CIO es el empoderamiento táctico del CISO. Según ISACA, Algunas organizaciones exigen que el CISO reporte directamente al CIO (o sea, el CIO tiene autoridad sobre el CISO) y una relación de línea segmentada al CEO, lo que significa que este puede ejercer una influencia, pero no la autoridad. Esta estructura organizativa le permite al CISO escalar y garantizar de forma efectiva el apoyo de alto nivel a las partes interesadas.
Mediante el desarrollo y la utilización de un marco de gobierno de seguridad, el CISO podrá garantizar que las estrategias de seguridad estén alineadas con los objetivos del negocio y las regulaciones aplicables. Mientras el CISO estandariza y afina las políticas de unidades de negocio específicas, el CIO debe inicialmente ser el integrador general. Una vez que la operación esté madura el CIO podrá delegar de forma efectiva la responsabilidad de la Integración del CISO. De esta forma el CIO y CISO deberán equilibrar la seguridad interna, las necesidades de cumplimiento y el presupuesto asignado. El CISO debe analizar en profundidad, el aporte de valor de los proyectos de seguridad y la optimización de actividades.

Los administradores de seguridad seleccionados por el CISO, deben trabajar con las unidades internas de negocio para seleccionar herramientas adecuadas que sean eficaces y escalables según el contexto dado.

El CISO

En el programa de gobierno de la seguridad de información, los roles y las responsabilidades del CISO deben estar bien definidos. Una de las principales responsabilidades del CISO es la elaboración de una estrategia de seguridad de largo plazo y obtener las aprobaciones de la junta. Esto debe ser coherente con planes de seguridad para los sistemas individuales.

El CISO debe ser un mentor vehemente y siempre alentar a los miembros del equipo a adoptar una postura que haga frente a los requisitos de seguridad de las unidades de negocio y sensibilizar en relación al panorama amenazas externas.

El CISO debe recoger la información en relación a las métricas definidas e informar a la junta sobre la eficacia del programa de seguridad de la información. Antes de la protección de toda la información disponible, los intentos iniciales deben focalizarse en la identificación, ubicación de la información crítica y quienes la poseen.

La clasificación de datos se basa en el nivel de criticidad lo que determina la base de cualquier estrategia de seguridad de la información. Una vez que se identifica la información crítica, el éxito depende sobre los controles utilizados para protegerla.


Fuente: MuyComputerPro | ISACA

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!