Guía Esencial

Navegue en las secciones

BACKGROUND IMAGE: iSTOCK/GETTY IMAGES

Este contenido es parte de Guía Esencial: Guía Esencial: Evolución de la seguridad de la información
P
Resolver Problemas Consiga ayuda para problemas específicos con sus proyectos, procesos y tecnologías.

¿Cuál es la forma de reafirmar el liderazgo en seguridad?

Este artículo ofrece argumentos para reafirmar la importancia del liderazgo de seguridad de la información dentro de la empresa.

Parece que muchas empresas están poniendo más recursos detrás de seguridad de la información, pero en mi organización, los líderes empresariales a menudo han "hecho oídos sordos" a la seguridad. Quisiera que este no siga siendo el caso, proporcionando liderazgo en seguridad de la información. ¿Qué puede hacer un CISO para afirmar la importancia del liderazgo de la seguridad informática en una cultura que no la valora de manera inherente?

El éxito en la construcción de un programa duradero de seguridad de la información sólo puede lograrse a través de influir en la cultura organizacional. No es diferente de cuando una empresa contrata a un nuevo director general para dar la vuelta una empresa que no es rentable. Se requiere un fuerte liderazgo y la capacidad de vender la importancia de la seguridad de la información en la organización. Aún con todos estos rasgos de liderazgo en seguridad, un nuevo CISO aún puede fallar para cambiar la cultura, al igual que un nuevo CEO puede fallar en su intento de renovar una compañía. El éxito en el cambio cultural requiere de otros varios factores que pueden estar fuera del control del CISO.

El principal indicador de la preparación para el cambio cultural, probablemente estará en el apoyo que se otorgue al programa de seguridad de la información por parte de otros líderes ejecutivos. Muchos CISOs han rechazado potenciales oportunidades de carrera después de entrevistarse con los ejecutivos y ver signos de la falta de flexibilidad corporativa. Algunas organizaciones están adoptando la seguridad de la información sólo a regañadientes como respuesta al aumento de las infracciones y al cumplimiento normativo. El CISO no tendrá la autoridad para efectuar cualquier cambio, debido a la limitación en el reclutamiento de personal, bajos recursos o malos informes sobre las relaciones en estas situaciones. Puede que sea el momento de pasar a la siguiente oportunidad de carrera en lugar de ser sólo una casilla de verificación en un informe de auditoría.

Sin embargo, si el CISO puede encontrar incluso algunos aliados a nivel ejecutivo que estén dispuestos a escuchar, hay una buena probabilidad de que el cambio de cultura organizacional tendrá éxito. Es fundamental para el CISO construir relaciones con todos los ejecutivos y darles una voz sobre cómo se desarrolla el programa de seguridad de la información. Un comité de gobierno de la seguridad de TI es una gran manera de comenzar a conseguir que se involucren y generar capital político para soportar el programa. La cultura empezará a cambiar a medida que el CISO crea conciencia ejecutiva y se extiende hacia abajo, al resto de la compañía.

Una técnica alternativa para cambiar la cultura organizacional es un enfoque de abajo hacia arriba. Este método consiste en la construcción de relaciones sólidas con el personal de TI con el fin de generar una oleada de apoyo para el programa de seguridad de la información. Los desarrolladores pueden estar interesados en cómo construir código más seguro, y los administradores de sistemas pueden estar interesados en cómo los atacantes ven su infraestructura. Los CISOs deben poseer fuertes habilidades interpersonales al jugar este papel de evangelista de seguridad. Deben escuchar al personal de TI y ser comprensivos, no críticos. El enfoque de abajo hacia arriba es más difícil, pero puede producir los cambios culturales necesarios para construir un programa eficaz de seguridad de la información.

El factor más importante para cualquier CISO que intenta crear un programa de seguridad de la información es la capacidad de cambiar la cultura de la organización. Los principales indicadores de la disposición de una organización para el cambio cultural serán la existencia o falta de apoyo ejecutivo. Un CISO que es un líder fuerte no será capaz de lograr tanto sin este tipo de apoyo. El enfoque de abajo hacia arriba es un método alternativo de generar soporte para un programa de seguridad de la información, pero puede ser más difícil de lograr. Hay algunas organizaciones que todavía hablan solamente de crear un programa de seguridad de la información, y un CISO pueden no tener éxito en estas circunstancias. Al final, un buena CISO tendrá que hacer un juicio duro sobre si se debe ir a otra organización o asumir el riesgo de convertirse en el chivo expiatorio cuando se produzca un fallo de seguridad.

¿Qué necesita resolver?

Por favor, añada un título para su pregunta

Obtenga respuestas de un experto de TechTarget en lo que sea que necesite resolver

Usted será capaz de añadir detalles en la siguiente página

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close