Análisis en profundidad

CISO: Quién es, a qué se dedica y qué habilidades tiene

Sobre la figura del Director de Seguridad de la Información hay diferentes opiniones pero también cierta confusión. ¿Es el CISO una figura necesaria en una organización? ¿A qué problemas se enfrenta? ¿Qué competencias debe tener para hacer valer sus capacidades y el carácter estratégico de su función?

18 Nov 2022

Redacción InnovaciónDigital360

CISO

Los analistas del Informe de Seguridad Threat Track ya escribieron hace tiempo que las empresas que emplean a un CISO no solo son significativamente más conscientes de cuáles son las amenazas a la seguridad, sino que también confían más en su capacidad para defenderse de los ataques.

Sobre la figura del CISO hay diferentes opiniones pero también cierta confusión. ¿Cuál es la diferencia entre un CIO y un CISO o un responsable de seguridad? ¿Es el CISO una función realmente necesaria en la empresa? ¿Qué problemas tiene que afrontar? ¿Cómo se llega a ser un CISO? ¿Qué cualidades debe tener para hacer valer su importancia?

Quién es el CISO

En general, parece una cuestión de terminología, pero hay diferencias sustanciales en cuanto a las tareas y el impacto en la organización. Acrónimo de Chief Information Security Officer, el CISO ocupa un puesto de nivel C.

Los 3 objetivos de un CISO

Por lo tanto, un CISO tiene una función directiva y ejecutiva de alto nivel. Es responsable de coordinar las iniciativas de seguridad con respecto a las agendas corporativas y los objetivos de negocio, garantizando que los activos y las tecnologías de la información estén adecuadamente protegidos.

De hecho, cuando se habla de evolución empresarial, hay que tener en cuenta las instancias provocadas por el BYOD – Bring your own device (trae tu propio dispositivo) y la omnipresencia de las soluciones móviles que están cada vez más presentes en la empresa, así como la virtualización y la nube o, de nuevo, las cuestiones de gestión de big data asociadas a la optimización del almacenamiento y las SAN o, incluso más ampliamente, la mejora y la seguridad relacionada con el centro de datos.

CISO Fuente: Wallarm 

Esta figura no debería encargarse de la parte más operativa, sino de un recurso con un perfil asesor capaz de marcar las pautas de la política de seguridad y comprobar que se respetan. Sin embargo, la experiencia demuestra que un título de trabajo no es suficiente para marcar la diferencia.

La importancia del CISO 

En ese sentido, Gabriela Raynada, experta en el tema, explica lo fundamental que es tener en posiciones de liderazgo a un CISO (Chief Information Security Officer), que habitualmente se encarga de dar los lineamentos del cuidado de la información ante posibles ciberataques y fugas de datos, garantizando la seguridad necesaria. 

“El CISO busca que las organizaciones se den cuenta del valor de la información, la cual debe ser oportuna, ser conservada en forma íntegra y ser confidencial; pero que además esté segura y conforme a las normas de cumplimiento”, dice. Por suerte, a raíz de los avances tecnológicos, el auge de la transformación digital y las aplicaciones en la nube, añade Raynada, el CISO se ha ido incorporando en mayor forma a los procesos de negocios de las empresas. 

El CISO define qué datos son importantes y qué necesidades son urgentes, para luego generar las políticas necesarias, establecer los mecanismos y definir las herramientas que se requerirán para el objetivo final: que es tener la información protegida. 

Para finalizar, Raynada dice que, si bien al CISO todavía no se lo ve como un personaje estratégico, se necesita un especialista de ese rango a cargo de un área de riesgos y cumplimiento. 

El CISO necesita ganarse la confianza y la estima de toda la empresa, lo que puede conseguirse persiguiendo tres objetivos:

1)Conocer la importancia de la información y de compartirla

En primer lugar, el CISO debe trabajar en la calidad de la relación y la comunicación con el resto de los ejecutivos de la empresa. Se necesita una implicación con respecto a la visión, pero también información pragmática y concreta sobre los riesgos y las posibles repercusiones de las amenazas en la empresa. Para ello, se puede programar un informe mensual en el que se destaquen los incidentes, los ataques y los métodos de protección en los canales más estratégicos: la infraestructura web externa, las redes, las aplicaciones heredadas críticas para el negocio y las experiencias de acceso interno, como las violaciones de acceso y la actividad de las cuentas privilegiadas.

El objetivo es informar y educar a los ejecutivos para que, en caso de producirse un ataque, conozcan el protocolo de seguridad adecuado, gestionando el incidente de forma pragmática y eficiente. De este modo, el CISO evita que se le atribuyan culpas y responsabilidades que no dependen de él, sino de los márgenes de riesgo inherentes a las TIC.

2) El valor de una política actualizada

El segundo objetivo es alinear las iniciativas de seguridad con los programas corporativos y los objetivos empresariales, garantizando así que los activos y las tecnologías de la información estén adecuadamente protegidos.

Esto implica que las iniciativas de seguridad se basan en la gestión estratégica del negocio, aceptando un margen de riesgo y considerando el TCO (Costoe Total de Propiedad) de los activos a proteger. Esta es la base de un programa de protección, que es mucho más estratégico que una mera actividad de control. Este tipo de información también debe incluirse en el informe mensual de seguridad.

3) El carácter estratégico de un marco

El tercer objetivo es utilizar un marco establecido para la seguridad de la información. Se trata básicamente de un enfoque para diseñar un sistema de protección capaz de reducir los riesgos y las vulnerabilidades.

Dependiendo del modelo de negocio, del cumplimiento de la normativa y de la estructura informática, el marco debe configurarse ad hoc. Hay varias opciones para elegir: ISO 27001, COBIT y NIST 800-53, por ejemplo. Este tipo de marco garantiza que el programa de seguridad sea completo y esté bien estructurado, incluyendo el cumplimiento alineado con la empresa.

¿Qué hace el jefe de seguridad de la información?

El director de seguridad de la información es responsable de definir una estrategia de seguridad de la información. Tiene que aplicar programas de protección y diseñar procedimientos para mitigar los ciberriesgos. Esta figura, normalmente, como hemos visto, enmarcada en el nivel ejecutivo, debe ser capaz de comunicar continuamente las acciones y atenciones necesarias para supervisar la continuidad del negocio de la empresa. Debe tener contacto directo con los altos ejecutivos de la empresa y mantener una alineación constante. Además de la visibilidad necesaria para la gestión ejecutiva de todos los temas de seguridad de la información.

Independencia, poder y posición

Sin un perfil tan preciso de la oficina de la empresa, un director de seguridad de la información tendrá dificultades para conseguir los mismos resultados. Y las claves para que un CISO tenga un papel clave en la empresa son tres: independencia, poder y posición.

«El Director de Seguridad de la Información se encuentra con que es responsable no sólo del Riesgo de Seguridad (Security), en un It con cuestiones básicamente defensivas, sino también del Riesgo de Protección (Safety) y de la Calidad de Ejecución, en una tecnología operativa y de Internet de las Cosas estrechamente conectada con las aplicaciones de negocio», afirmaba hace un tiempo Peter Sondergaard Vicepresidente Senior y Jefe de Investigación de Gartner.

Con el auge de los negocios digitales basados en la Inteligencia Artificial, en los aparatos inteligentes y las redes sociales, claramente los riesgos son mayores. Sin duda, estamos entrando en una fase donde hay nuevos riesgos incluso éticos.

El factor humano

Es importante recordar que hoy en día, el principal eslabón débil en la gestión de la cadena de seguridad es el factor humano. La distracción de los empleados y la falta de concienciación son problemas críticos que predomina en muchas empresas. Es crucial que los empleados y colaboradores sean conscientes de estas cuestiones. El valor del CISO como gestor de la ciberseguridad es tener un enfoque basado en el riesgo. Tienen que ser capaces de entender cuánto dinero tendrá que invertir la empresa en seguridad, y formar al personal.

El enfoque de cumplimiento de la normativa no suele ser suficiente. Según Gartner, se necesita una mentalidad empresarial para garantizar la seguridad y habilidades de varios tipos. Podemos incluir aquí las habilidades de liderazgo, así como habilidades legales y de gestión de riesgos empresariales.

Fuente: Wallarm 

CISO y GDPR

El papel del CISO también se refiere a todos los aspectos relacionados con la protección de la privacidad y los datos sensibles.

En este sentido, el GDPR -Reglamento General de Protección de Datos- aprobado por la Unión Europea, estipula la presencia obligatoria en muchos tipos de empresas del DPO -Oficial de Protección de Datos-, que debe colaborar precisamente con el resto de responsables de seguridad informática (empezando, por supuesto, por el CISO) para el desarrollo de sus actividades de protección de las infraestructuras y, en general, de los activos de la empresa.

Cómo convertirse en jefe de seguridad de la información y qué habilidades hay que tener

El CISO debe tener los conocimientos técnicos relacionados con la seguridad informática, a los que se puede añadir una certificación específica como la CCISO expedida por el instituto estadounidense EC-Council.

Los profesionales que obtengan esta certificación tendrán competencias en Gobernanza; Gestión de controles y auditoría de la SI; o Gestión – Proyectos y Operaciones. También contarán con  competencias básicas de seguridad de la información; Planificación estratégica y finanzas.

Todo esto significa que las competencias del CISO deben abarcar desde la definición e implementación de un programa de gobierno y control de la seguridad de la información para su empresa, hasta la identificación de los procesos operativos para saber cuál puede ser el nivel de tolerancia al riesgo, pasando por la definición de las actividades a realizar y a qué recursos asignarlas, hasta la capacidad de controlar los gastos en proyectos de seguridad y su ROI – Return on Investment.

En la actualidad, de acuerdo a un estudio de Heidrick & Struggles, solo el 4% de los CISO (Directores de Seguridad de la Información) forman parte de una junta corporativa. Este dato deja en evidencia lo lento que avanza la incorporación de la ciberseguridad en los directorios, pese a que las organizaciones cada vez tienen mayor dependencia de la tecnología por el trabajo remoto y la transformación digital, y hay un claro recrudecimiento y sofisticación de los ciberataques. 

De todas maneras, para 2025 la consultora internacional Gartner proyecta que el 40% de los directorios tendrá un comité de ciberseguridad dedicado. 

Al respecto, el especialista Cristian Rojas dice que “el riesgo de ciberseguridad es un riesgo empresarial, ya que las violaciones de datos involucran gastos devastadores”. Y aquí no solo hace alusión al dinero que se utiliza para los rescates, que según él son solo una parte, sino que también los gastos de recuperación, negocios perdidos y daños de reputación. 

Por eso, entiende que planificar proactivamente la prevención y la incorporación de la seguridad informática en las decisiones comerciales y las políticas de trabajo remoto, es súper necesario y vital para los tiempos que corren. 

Por qué sumar un CISO al directorio 

Incorporando un Director de Seguridad de la Información, especialistas consultados por InnovaciónDigital360 describen que no solo se gana seguridad empresarial, sino que también aumentar las posibilidades de crear productos y procesos organizativos seguros desde el comienzo. “Esto favorece obtener mejores KPI, estimular una fuerte cultura de ciberseguridad y crear nuevas posibilidades al lograr que el plan de ciberseguridad de la empresa se alinee con los objetivos comerciales, entre otras ventajas”, señalan. 

En ese sentido, remarcan que para proteger sus empresas, los directorios pueden tomar varias acciones. Una de ellas es, por ejemplo, implementar una estrategia de ciberseguridad y supervisión de riesgos; tener un plan de respuesta a incidentes planificado, actualizado y con contingencias para escenarios extremos; y desarrollar una cultura de ciberseguridad proactiva en la empresa. 

@RESERVADOS TODOS LOS DERECHOS
Temas principales

Especificaciones

C
CIO
E
Empresas
T
tecnología

Nota 1 de 5