chombosan - stock.adobe.com

Gestionar Aprenda a aplicar las mejores prácticas y optimizar sus operaciones.

Cómo llenar una posición de CISO en la era digital

A medida que las empresas trasladan las operaciones de TI a la nube, el rol de jefe de ciberseguridad también está cambiando, dice Greg Arnette, del proveedor de servicios de nube Sonian.

Los desafíos de seguridad cibernética a los que se enfrentan las organizaciones en la actualidad son prodigiosos, lo que le da al rol de CISO más prominencia y peso que nunca antes. Pero, ¿qué hace a un CISO adecuado en la era digital? Para la respuesta, SearchCIO recurrió a un proveedor de computación en la nube, en el que cada vez más empresas confían para mantener y hacer crecer sus negocios.

Los proveedores de servicios en la nube tienen mucho de qué preocuparse cuando se trata de ciberseguridad. Deben mantener sus propios datos seguros, una tarea no menor ya que los cibercriminales innovan y agudizan sus ataques. Y, para garantizar que permanezcan en el negocio, los proveedores de nube deben mantener seguros los datos de sus clientes. Eso hace que su perspectiva sobre la experiencia y las habilidades necesarias para ocupar un puesto de CISO hoy sea mucho más crítica.

Greg Arnette, cofundador de Sonian, proveedor de servicios de analítica y archivo de correo electrónico en la nube, adquirido este mes por Barracuda Networks Inc., dijo que la seguridad de TI hoy se centra en la nube, la cual las empresas buscan para una parte o incluso para todas sus operaciones de TI. Por esa razón, la experiencia en la nube también debe figurar en gran medida en las habilidades y experiencia de un CISO.

"Debe ser bueno para leer contratos y leer acuerdos de licencia, y es menos de tuercas y tornillos o de enchufar cables", dijo Arnette, director de tecnología de Sonian y ahora director de estrategia de plataforma de protección de datos en Barracuda. "Se trata de hacer cumplir los contratos, vigilar las vulnerabilidades que se pueden informar en la prensa, y se trata de la seguridad desde un ángulo diferente".

Arnette habló con SearchCIO acerca de las cosas correctas para un puesto de CISO, incluida la necesidad de evaluar la seguridad de las nuevas tecnologías como la plataforma de cómputo sin servidor Amazon Web Services (AWS) Lambda, y si un ejecutivo de seguridad de TI debe tener mentalidad empresarial, mentalidad tecnológica o ambas. Los siguientes son extractos de esa conversación.

¿Qué habilidades, experiencia y características son importantes para el puesto de CISO hoy?

Greg Arnette

Greg Arnette: Abarca todo el software como servicio [SaaS] y la nube como plataforma principal que acompaña el procesamiento de datos y las funciones de back-office, y menos acerca de los servidores locales y las salas y tarjetas de los centros de datos físicos, y ese tipo de cosas. La seguridad se está moviendo desde el aspecto físico del software de protección de datos y pensar en el firewall y el rack, a: "Nuestra compañía ahora se está suscribiendo a tres o cuatro aplicaciones principales SaaS, y ahí es donde viven todos los sistemas de verdad", [ por ejemplo], Salesforce y ZenDesk y Workday e Intact para contabilidad, y Concur para viajes.

Ese es el nuevo back office, y todo es externo a usted. Es ser capaz de evaluar a cada uno de esos proveedores para asegurarse de que están implementando las mejores prácticas, por lo que debe tener una mente analítica. Tiene que ser bueno en la lectura de contratos y leer los acuerdos de licencia, y hay menos tuercas y tornillos o enchufar los cables. Es más un pensamiento de mayor valor agregado alrededor de la seguridad, de una manera holística. Es hacer cumplir los contratos, vigilar las vulnerabilidades que podrían aparecer en la prensa, y pensar en la seguridad desde un ángulo diferente. Eso tiende a aprovechar lo que vemos como una mentalidad más joven en comparación con una mentalidad heredada, sin entrar en cuestiones de discriminación por edad dentro de TI. Es alguien que tiene que ser más abierto de mente de lo que hemos visto en el pasado sobre cómo piensan acerca de la seguridad. Es menos sobre lo físico; es todo virtual.

Y luego, de forma secundaria, realmente entendiendo cómo las principales plataformas de nube –como Amazon, Google, [Microsoft] Azure e [IBM] SoftLayer– cómo implementan la seguridad. Todos ellos nos dan las herramientas crudas básicas, pero cada uno de ellos tiene diferentes formas de desarrollar un entorno altamente seguro. Esa es toda una especialidad por sí misma. Solo asegurar Amazon es toda una especialidad, solo asegurar Google, solo asegurar Azure es una especialidad completa.

¿Cuán necesario es para alguien en el puesto de CISO evaluar cómo una tecnología emergente podría afectar la ciberseguridad general de una compañía?

Arnette: Creo que eso es algo clave. Incluso poniendo en marcha un sistema y una tecnología para alertar cuando aparece algo nuevo. [AWS] Lambda sin servidor es un buen ejemplo. Todos quieren usar Lambda en estos días porque es más rápido poner algo frente a su cliente. Pero Lambda como una forma de solo ejecutar su aplicación no se entiende lo suficiente porque es nuevo, [y no sabemos] cuáles podrían ser los problemas de seguridad con una arquitectura centrada en Lambda. El CISO debe poder ser alertado de que Lambda es un servicio nuevo, el valor examinado, especialmente sancionarlo para su aprobación como una forma de ejecutar el código. Y [el CISO debe mantenerse] al tanto de todas las ofertas nuevas, porque hay tantas ofertas nuevas en el mercado en estos días, ya sea un servicio como Lambda o un software de código abierto que se está volviendo muy popular muy rápidamente. Como Docker, por ejemplo. Todo el mundo quiere hacer contenedores, y ¿quién conoce los problemas de seguridad en Docker? Tiene que sumergirse realmente en eso.

¿Debe un CISO ser técnico, de mentalidad empresarial o ambos?

Arnette: Son igual de importantes, y creo que es único encontrar a una sola persona que pueda cubrir ambas áreas bien. A veces, una persona altamente técnica que está interesada en el código profundo que busca vulnerabilidades de seguridad puede no ser el mejor comunicador de tecnología para una persona no técnica. Entonces, ves al menos dos personas atendiendo eso. Por ejemplo, nuestro arquitecto jefe es un tipo de persona interna que tiene una gran mentalidad de seguridad, pero probablemente no lo pondría frente a un cliente. Y viceversa: no le pediría a una persona que esté orientada al cliente que se involucre en el código, porque están enfocados en los acuerdos de proceso y lectura, el lado comercial de las cosas. Usted verá más de esa bifurcación de una manera positiva. Pero un equipo como nosotros u otros necesita ambas habilidades.

Próximos pasos

Más sobre CISO:

¿Cuál es la forma de reafirmar el liderazgo en seguridad?

La importancia de un órgano de gobierno de seguridad de TI

No invertir en ciberseguridad tiene ‘ROI inverso’

¿Qué certificaciones son más importantes para los CISO?

Este artículo se actualizó por última vez en diciembre 2017

Profundice más

PRO+

Contenido

Encuentre más contenido PRO+ y otras ofertas exclusivas para miembros, aquí.

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Enviando esta solicitud usted acepta recibir correos electrónicos de TechTarget y sus socios. Si usted reside afuera de Estados Unidos, esta dando autorización para que transfiramos y procesemos su información personal en Estados Unidos.Privacidad

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close