Evaluar Conozca los pros y contras de las tecnologías, productos y proyectos que está considerando.

Mejorar las habilidades de negocios, reto para el CISO

Aunque las tareas de un director de seguridad son cada vez más diversas, es imprescindible reforzar sus habilidades de negocios.

El día a día de un director de seguridad de TI o Chief Information Security Officer (CISO) es muy agitado. Para darle una idea, sus responsabilidades incluyen:

  • Desarrollar la estrategia de seguridad, supervisar las iniciativas y los programas de seguridad, y servir de enlace con la alineación de los procesos de negocio.
  • Asegurar que se realice una evaluación de riesgo e impacto del negocio.
  • Detectar y responder apropiadamente a los incidentes de seguridad.
  • Monitorear el uso y la eficacia de los recursos de seguridad para conocer si se están utilizando de manera óptima y si están cumpliendo con el propósito para el que fueron obtenidos.
  • Desarrollar e implantar métricas, controles y herramientas de monitorización que supervisen la seguridad de las actividades de la organización.
  • Desarrollar métodos para conocer la eficiencia y eficacia de las métricas y controles adoptados, para comprobar si las métricas y controles establecidos cumplen con el objetivo para el que fueron implantados.
  • Servir de enlace con los proveedores de seguridad, además de dar soporte a terceros.

Si tomamos en cuenta que a las empresas no les gusta invertir en seguridad porque no resulta fácil calcular el retorno de la inversión (ROI), es casi seguro que a estas tareas se les asigne un presupuesto reducido. Aquí encontramos la paradoja de la seguridad: Si no hay incidentes de seguridad en la empresa, ¿es porque el CISO realiza un buen trabajo o simplemente porque no hay amenazas reales? Entonces, ¿la empresa está perdiendo dinero al invertir en seguridad de información?  Si la alta dirección se hace esta pregunta, podemos imaginar cuál será la respuesta la mayoría de las veces.

En mi opinión, la manera de sustentar los presupuestos para invertir en herramientas o consultorías para la seguridad de información, es realizar un análisis de riesgo que presente el ROI, presentado en el idioma de la alta dirección (es decir, en sumas de dinero). Para ello, se necesita establecer un valor financiero para cada riesgo, justificándolos de manera correcta y teniendo en cuenta el contexto empresarial del riesgo.

Este no es un punto simple, porque no siempre es fácil tener la información y el conocimiento sobre el contexto empresarial de traducir correctamente los riesgos de seguridad de información a riesgos del negocio. Esto nos lleva a otro tema problemático en el mundo de los CISO: hay demasiados datos. Datos que vienen, por ejemplo, de dispositivos de seguridad, de sistemas y aplicaciones, resultados de análisis de vulnerabilidades, resultados de PenTest, nuevas vulnerabilidades, nuevas técnicas, nuevas tecnologías, nuevos proveedores, nuevas normas, reglamentos y leyes, entre otros.

Ser capaz de gestionar toda esta cantidad de datos y convertirlos en información útil es uno de los grandes retos que deben afrontar los departamentos de seguridad de la información en la actualidad. Centralizar, correlacionar y analizar a tiempo estos datos es importante para convertirlos en información útil de seguridad. Igualmente, se requiere inteligencia de seguridad para generar alertas que permitan reaccionar a tiempo ante incidentes de seguridad o para analizar tendencias y detectar anomalías.

Por lo tanto, el verdadero reto para el CISO es poder informar en tiempo real cuáles son los riesgos de negocio críticos que proporcionan los datos de actualización que les permiten tomar decisiones correctas, con información sobre todos los riesgos de su negocio (seguridad de la información, seguridad física, financiera riesgos, riesgos operativos, etc).

Una vez que el CISO tenga cómo transformar estos datos en una inteligencia de negocios de forma eficiente, su vida será más fácil, ya que sus presupuestos serán autojustificados. O, tal vez, la alta dirección ya tenga claro qué objetivos se deben revisar en seguridad de TI, y por lo tanto el CISO podrá asignar el presupuesto adecuado para cubrir lo solicitado.

Mientras tanto,los CISO deben preocuparse por equilibrar sus habilidades técnicas y de gestión, y por tener un buen conocimiento del negocio y sus riesgos.

Sobre el autor: Juan Chong es un profesional de tecnologías de la información con más de 20 años de experiencia. Actualmente se desempeña como auditor corporativo de TI en una corporación del Perú, y es responsable de realizar la auditoría de TI de empresas subsidiarias, así como de revisar el control interno, realizar pruebas automáticas de controles de ciclos de negocio y hacer auditoría de proyectos 6 Sigma. Anteriormente, trabajó en Ernst & Young (EY) brindando servicios de auditoría de TI, gestión de riesgos, gobierno y gestión de TI y consultoría de procesos en empresas del Perú y Colombia. Cuenta con certificaciones CISA y CRISC otorgadas por ISACA y es Black Belt en 6 Sigma.

Este artículo se actualizó por última vez en abril 2015

Profundice más

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close