Los desafíos de un CISO

El oficial de seguridad de la información de una organización actualmente enfrenta múltiples desafíos combinando especializaciones técnicas de alta complejidad mucho dinamismo con el desarrollo de habilidades blandas que le permita posicionar la importancia de la Seguridad de la información con sus pares, el directorio y los socios de la Organización.

El Director de Seguridad de la Información, Oficial de Seguridad de la Información o Chif Information Security Officer (CISO), entre otras denominaciones, es el responsable de desarrollar la seguridad de la información en una organización. Es un rol clave hoy en día en todas las organizaciones, independientemente del rubro o los mercados donde opera. Todas las organizaciones dependen fuertemente las TIC. Cualquier incidente podría paralizar una organización en forma total o parcial y/o afectar la relación con sus clientes y socios ocasionando pérdidas que podrían ser catastróficas.

Un incidente no tiene por qué ser un ataque informático, cualquier evento o secuencia de eventos que comprometa o amenace la integridad, disponibilidad o confidencialidad de la información se considera un incidente. Una inundación podría representar un incidente informático si compromete la disponibilidad de la información.

La seguridad de la información debe abordarse con un enfoque integral a la organización, teniendo en cuenta las necesidades del negocio. Justamente, las necesidades del negocio pueden ser muy amplias, desde aspectos normativos como leyes relativas a los mercados donde la organización opera (ejemplo: ley de protección de datos personales), acuerdos y compromisos con clientes y socios y otros aspectos culturales más intangibles pero muy importantes. Esto implica que el CISO debe dominar todos estos temas, algunos son más explícitos que otros como las leyes o los contratos con clientes, otros son más difíciles de ver, dado que son cuestiones culturales que tienen que ver con qué es aceptado o bien visto y qué no es aceptado en una sociedad. Un incidente de seguridad que afecte determinado valor cultural puede implicar un fuerte rechazo en la comunidad o parte de la comunidad y esto podría repercutir en pérdidas de mercado y demandas judiciales, entre otros.

Una organización posee diversos activos digitales que comercializa y/o los utiliza como herramientas para desarrollar y comercializar sus productos y servicios. El CISO debe identificarlos, conocerlos y categorizarlas en términos de criticidad con respecto a la integridad, disponibilidad y confidencialidad de la información. Puede haber activos que sean críticos desde el punto de vista de la disponibilidad, pero no tan críticos desde el punto de vista de la confidencialidad. Todos los activos poseen riesgos que, de materializarse, podría afectar la integridad, disponibilidad o confidencialidad y con esto lograr impactos negativos a nivel de negocio, afectando socios, clientes y mercados.

La gestión de riesgos es clave para desarrollar la seguridad de la información, cada riesgo debe tener asociado una probabilidad e impacto con el fin de poder cuantificarlos. Desarrollar la seguridad implica planificar, ejecutar y controlar un portafolio de proyectos que tiene como objetivo llevar los riesgos a niveles tolerables de impacto para el negocio. Los niveles tolerables lo deben definir la alta dirección con el asesoramiento del CISO. Claramente lo deseable sería nulo, pero esto no es posible, es extremadamente costoso o implica demasiadas limitaciones para el negocio. El CISO debe articular, negociar y empatizar con todas las partes para lograr un acuerdo para definir la tolerancia y llevar a cabo un plan.

Finalmente, y no menos importante, el CISO debe conocer la plataforma tecnológica, los procedimientos, la cultura, las personas y las herramientas de la organización para personalizar el plan, que sea viable y eficiente.

En grandes términos, el CISO debe estar continuamente desarrollando las siguientes habilidades:

  • Conocimiento de los mercados, la normativa, los compromisos con los clientes y socios y los factores culturales que están en juego en el ecosistema de la organización.
  • Conocimiento de la estrategia de la organización, los productos y servicios que desarrolla y ofrece la organización, las necesidades de sus clientes, la competencia y las tendencias a nivel de mercados y las tecnologías involucradas.
  • Habilidades de liderazgo para desarrollar la seguridad de la información en toda la organización.
  • Habilidades de negociación con sus pares para lograr acuerdos, definir parámetros y objetivos que permitan diseñar y ejecutar un plan, en continua evolución.
  • Planificación, monitoreo y ejecución de portafolios, gestión de riesgos.
  • Conocimiento interno de la organización, factores culturales, procesos y personas.
  • Amplio conocimiento de la plataforma tecnológica, las soluciones digitales y las fuentes de información que posee la organización. Conocimiento de productos y tendencias que puedan ser de interés para la organización.
  • Amplio conocimiento de seguridad de la información, normas, estándares y buenas prácticas para desarrollar la seguridad de la información de forma integral y organizada. Políticas, procedimientos, sensibilización y capacitación, entre otros.
  • Amplio conocimiento de ciberseguridad. Dependiendo de las necesidades de la organización, se podría contar con un equipo de especialistas en diferentes temas: seguridad en redes, seguridad en desarrollo de software, seguridad para la adquisición de productos y servicios, gestión de incidentes, continuidad del negocio, control de acceso, data center, nubes, entre otros.
  • Conocimiento del ecosistema de seguridad de la información a nivel nacional, regional y global. Capacidad para analizar e investigar sobre tendencias relativas a la ciberseguridad.

Se trata de un rol clave en cualquier organización, totalmente necesario. Es un gran desafío desarrollar a una persona o un equipo para lograr gestionar los riesgos relativos a la seguridad de la información y concentrarse en ofrecer mejores productos y servicios a sus clientes.


Volver