BACKGROUND IMAGE: iSTOCK/GETTY IMAGES

Este contenido es parte de Guía Esencial: Guía Esencial: Cambia la gestión de las amenazas en las empresas
Gestionar Aprenda a aplicar las mejores prácticas y optimizar sus operaciones.

El rol de los CISOs evoluciona en las organizaciones

La industria de seguridad de la información en América Latina apuesta por los directores de seguridad de la información (CISOs) y el cumplimiento de estándares.

Nuestro entorno es cada vez más digital, eso nos trae grandes beneficios, pero mientras más dependemos de la tecnología, también se incrementa el número de amenazas cibernéticas que acechan.

Éstas varían de pequeñas acciones que van desde un robo de contraseñas, pasando por una posesión de equipo, hasta desastres catastróficos, como la pérdida o secuestro total de los datos. Y a medida que estas amenazas evolucionan, también vemos el desarrollo de un personaje anteriormente ignorado: el Director de Seguridad de la Información, o CISO (Chief Information Security Officer).

No sólo el papel del CISO está cambiando, sino también su relación con la organización en la que trabaja. Antes, ellos reportaban al CIO, ahora reportan directamente al CEO o al Consejo Administrativo. En su nuevo papel, el CISO también necesita de nuevas habilidades.

El cargo fue introducido por primera vez en la organización comercial moderna para monitorear y analizar posibles riesgos de seguridad para la empresa. Tradicionalmente, estos profesionales vinieron del lado más técnico y no requerían entender todo el negocio. Habilidades como liderazgo, comunicación y administración de empresas no eran necesarios, pero hoy en día esto está cambiando.

Con amenazas cada vez más avanzadas, los directivos corporativos están viendo la importancia de la seguridad cibernética. El desafío para el CISO es discutir los problemas del negocio que causan los desafíos de seguridad (y no solo aquellos que implican cuestiones relacionadas a la tecnología).

Cuando los CISOs presentan sus ideas a los jefes de las organizaciones, las deben plantear en términos de elecciones e integración con el negocio, esto con el objetivo de incrementar las probabilidades de acercamiento y corrección.

Los papeles del CIO y del CISO son diferentes. Ambos están involucrados con la tecnología de la información, pero desde diferentes ángulos. El papel del CIO es asegurar la disponibilidad de la información para administrar el negocio; el del CISO es garantizar la seguridad sin afectar la disponibilidad de los servicios empresariales. Esta podría gestar una relación compleja, pero si se aborda adecuadamente puede funcionar muy bien.

Toda organización gestiona la seguridad de forma diferente, con base en sus necesidades y estructura interna. El CIO tradicionalmente trabaja junto a la gestión de una empresa y se centra en la operación interna. El CISO, por su parte, se dirige hacia fuera. Además, como el CISO a menudo reportaba al CIO, no siempre eran vistos como pares. Una percepción es que los CIOs son veteranos y líderes experimentados, y los CISO son más jóvenes y más especializados.

El papel del CISO se hizo más elevado debido a la importancia de la gestión de datos en la era digital. Sin la seguridad cibernética, una empresa puede ser seriamente comprometida, tanto monetariamente como en su reputación. Para muchas empresas, información y seguridad no forman parte del negocio; son el negocio.

El CISO también se ha convertido en el responsable de trabajar con los proveedores de seguridad cibernética. Como existen miles de empresas de seguridad de diferentes tamaños y ámbitos, su función incluye hacer que los diferentes tipos de software funcionen juntos. Una vez que esto se realiza, también necesita comunicar cómo las herramientas están actuando con la clasificación y almacenamiento de datos.

Actualmente los CISOs deben mirar al negocio como un todo y no concentrarse en la tecnología. Si se enfocan sólo en las opciones técnicas, se puede considerar la seguridad cibernética como un costo. Es necesario un enfoque adecuado para concentrarse en el negocio y gestionar el medio ambiente, además de comunicar cómo la seguridad es importante para el éxito de la empresa.

La gestión de Seguridad de la Información debe seguir estándares y reglas

El CISO en la actualidad tiene un papel importante y amplio en la gestión de la seguridad de la empresa.  Además de ser un buen líder y comunicador, también debe implementar un Sistema de Gestión de Seguridad de la Información (SGSI) que generalmente consiste en una detección proactiva de amenazas. De igual forma debe hacer énfasis en los aspectos que deben ser considerados antes de la implementación de la ISO 27001, particularmente durante las fases de planificación y operación.

La gestión de la seguridad de la información constituye un conjunto de engranajes compuestos por diferentes factores y elementos. En principio, esto significa diseñar, implementar y mantener una serie de procesos que permitan la administración eficiente de la información, garantizando así la integridad, la confidencialidad y la disponibilidad.

Aunque no hay una guía sobre cómo implementar una gestión estándar, existen factores esenciales para una mejor proyección de los esfuerzos y la obtención de resultados aceptables, los cuales podemos enlistar de la siguiente manera:

Soporte y recursos por parte de la dirección

El principal elemento que debe tenerse en cuenta antes de la implementación es el respaldo de la alta administración en relación con las actividades de seguridad de la información, especialmente al iniciar la operación de un SGSI.

El soporte y el compromiso de esta área reflejan un esfuerzo conjunto, a diferencia de un proyecto aislado y administrado por un único colaborador. Igualmente, la formación de estructuras complejas dentro de las organizaciones es útil, lo que permite la cooperación de los representantes de diferentes áreas en funciones relevantes.

Gobernanza clara para la toma de decisiones

Una buena práctica es desarrollar la estructura adecuada para la toma de decisiones entorno al sistema de gestión. Con la creación de un foro o comité de seguridad, es posible realizar lo que se haya determinado como gobernanza de la seguridad de la información, es decir, todas las responsabilidades y acciones ejercidas por la alta administración en términos de seguridad.

Estudio de posibles fisuras

El análisis de brechas o Gap Analysis es un estudio preliminar que permite conocer la manera en que una organización se ocupa de la seguridad de la información. Realizar un estudio detallado establece la diferencia entre el rendimiento actual y el deseado. Aunque este diagnóstico es aplicable a cualquier norma certificable, generalmente se realiza para nuevos esquemas de certificación, que son los que generan más dudas.

Análisis de impacto en el negocio

El análisis de impacto del negocio (BIA, en inglés) es un elemento usado para predecir las consecuencias en caso de incidente o desastre dentro de una organización. El objetivo principal es proporcionar una base para identificar los procesos críticos para la operación de una organización y la priorización de ese conjunto de procesos, siguiendo el criterio de cuanto mayor sea el impacto, mayor será la prioridad.

Aplicar la ISO 27001

La ISO/IEC 27000 contiene el glosario de todos los términos utilizados en la serie 27000, un resumen general de esta familia de estándares, así como una introducción al SGSI. Cada implementación es diferente debido a las condiciones, necesidades y recursos de cada organización. Sin embargo, estos elementos se pueden aplicar de forma general, ya que los patrones definen lo que se debe hacer, pero no la manera de hacerlo.

Este artículo se actualizó por última vez en febrero 2018

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close