Un director de seguridad de la información (CISO, por sus siglas en inglés) es la máxima autoridad en seguridad IT en una empresa. Este ejecutivo establece políticas, estándares y procedimientos de seguridad corporativa que deben ser cumplidos por todo el personal; es consciente, además, del rol que juegan desde los miembros del Consejo directivo hasta el último empleado en la protección de la información en la organización.
En un país como México (el más afectado por ataques cibernéticos a nivel mundial) este rol se está volviendo cada vez más necesario: En 2018 más de 55% de las empresas mexicanas fueron víctimas de los ciberdelincuentes, de acuerdo con datos de la encuesta The impossible puzzle of Cyber security. Esto no ha pasado desapercibido en las organizaciones, ya que el 71% dice tener una posición especialmente dedicada a la seguridad de la información en sus organigramas, de acuerdo con la más reciente IT Masters Mind Survey.
Pero la labor de quien desempeña esta posición en las organizaciones va más allá de lidiar con datos amenazados. ¿Qué habilidades y responsabilidades definen a un CISO y cómo interactúa con el resto de la organización? IT Masters Mag entrevistó a ejecutivos de firmas de consultoría y proveedores de soluciones de seguridad que expresaron algunos criterios para definir la labor de este profesional.
Donde se toman las decisiones
En un modelo ideal el CISO está fuera del área IT, es un ejecutivo de alto nivel y pertenece al comité de dirección. Reporta al director general, presidente o consejero delegado, según se tenga en la empresa. En este planteamiento se considera a la seguridad de la información como algo necesario e imprescindible para el desarrollo del negocio.
En la edición 2018 del Sondeo de seguridad empresarial de American Chamber —que por primera una vez incluyó un apartado a propósito de la seguridad de la información—, 41.7% de los participantes dijeron que la alta dirección da gran apoyo a temas de seguridad, ya que programan reuniones periódicas y hay un seguimiento continuo de la estrategia.
Carlos Chalico, especialista en ciberseguridad y privacidad de la información en EY Canadá, subrayó la importancia del papel que juega el CISO en el organigrama: “El CISO reporta a la junta directiva o al director de la empresa: está en el C-Level. Trabaja en paralelo con el director IT, pero no depende de él”.
El reporte Las preocupaciones del CISO. El estado de la ciberseguridad en el 2019, de Deloitte España, encontró que casi 80% de los CISO considera que debería reportar directamente a la alta dirección. No obstante, el estudio mostró que casi 60% reporta en realidad al director IT. La consultora considera que esto refleja una gran disparidad entre el árbol de dependencia actual y el deseado.
Tener conocimiento del negocio, de sus estrategias y objetivos es vital para el CISO. Carlos Ortiz, director de F5 en México, indicó que no basta con tener las credenciales de “general máximo en seguridad”, porque si el ejecutivo no conoce el negocio, no podrá plantear la seguridad adecuada.
El directivo destacó que la interacción que se tiene al ser parte del Consejo permite al CISO conocer la estrategia y la inversión que se planea para alcanzar determinados resultados. “Carecer de esa perspectiva hace que pierda sensibilidad, sus gestiones se vuelven limitadas. El temor de ser hackeado puede determinar sus acciones y hacerle tomar decisiones incorrectas, porque no forma parte de las estrategias de la empresa”, consideró Ortiz.
Libertad de acción y trabajo conjunto
Reportar al director general de la compañía o al Consejo implica que el CISO tiene independencia en sus decisiones, que no está a merced del director IT. Sin embargo, es importante que ambos ejecutivos realicen una labor en paralelo. Francisco Pantoja, gerente de Integración de S21sec para América Latina, considera que el CISO debe trabajar hombro con hombro con el director IT.
“Cuando ambos están de acuerdo en que los productos de ciberseguridad adquiridos por la empresa estén enfocados en recuperación de desastres y en la continuidad del negocio, podrá obtenerse mejor resultado de una labor que actualmente es crucial para cumplir con los parámetros que buscan las compañías”, indicó Pantoja.
Experiencia y diálogo son cruciales
A pesar de ser una posición relativamente nueva, el Sondeo de seguridad empresarial de American Chamber encontró que 42.3% de los titulares de seguridad de la información tiene 10 o más años de experiencia en la materia.
Al respecto, Arnulfo Espinosa, responsable del programa de Ciberseguridad en ISACA Monterrey y vicepresidente de Tecnología y Ciberseguridad en CT IMEF, señaló que “la responsabilidad que involucra la posición de CISO requiere que el ejecutivo tenga experiencia previa en equipos de seguridad IT”.
Espinosa consideró que el CISO tiene que estar templado para un manejo de crisis. Será ideal que previamente haya sido responsable de seguridad de información. Además, subrayó como una ventaja que el ejecutivo tenga el reconocimiento de sus colegas en asociaciones o foros del ramo, “porque mantiene al día sus habilidades para prevenir, detectar y corregir incidentes de seguridad”.
Otro elemento que aporta la trayectoria previa de un CISO es que le permite integrar sus equipos para brindar respuestas ágiles ante incidentes. Alejandra García, directora de Sophos en México, destacó la importancia de que el CISO tenga en su equipo “gente que sepa más que él, porque es imposible que una sola persona sepa todo al detalle. Incluso puede encontrar una mezcla interesante tanto con gente millennial como con elementos más experimentados”.
En este punto, Juan Carlos Vázquez, gerente de Ventas para América Latina de Attivo Networks, dijo que la labor del CISO considera también el desarrollo de políticas en torno a incidentes de seguridad y que su equipo de trabajo debe estar listo para actuar en caso de una vulneración.
Manejo de crisis y certificaciones
Para Espinosa es muy importante que el CISO conozca metodologías de riesgos, gestión de crisis/incidentes y marcos de seguridad de información para entender y controlar infraestructuras, aplicaciones, servicios y procesos de tecnología.
Al respecto, Maricarmen García de Ureña, cofundadora y directora general de Secure Information Technologies, se refirió a la importancia de que tenga certificaciones: “CISA (Certified Information Systems Auditor), CISM (Certified Information Security Manager), CISP (Certified Information Systems Security Professional) o ISO 270001 son certificados de competencia de las personas, te hablan de la preparación de los profesionales de seguridad IT”. En opinión de García, el CISO debe tener muchas “horas de vuelo en el mercado”, experiencia que se suma a sus competencias.
Las 10 certificaciones IT mejor cotizadas en las organizaciones en 2020
Un CISO, múltiples facetas
Sergio Solís, gerente senior de Servicios de Ciber riesgos en Deloitte, dijo durante un seminario acerca del Panorama de Ciberseguridad que el CISO tiene tres cualidades: es una persona segura, vigilante y resiliente.
Solís afirmó que el CISO debe ser estratega, asesor, guardián y tecnólogo. En la primera faceta impulsa la alineación de la estrategia de ciber-riesgo con el negocio, promueve la innovación e inicia la transición para administrar el riesgo a través de inversiones de valor.
Como asesor es parte integral del negocio para educar, asesorar e influenciar en las actividades con implicaciones de ciber-riesgo; en su función de guardián protege los activos del negocio al entender el entorno de amenazas y administra la efectividad del programa de ciber riesgos; mientras que como tecnólogo evalúa e implementa tecnologías y estándares de seguridad para construir capacidades organizacionales.
Por su parte, Luis Arturo Vázquez, director general y Miguel Ángel Mendoza, investigador de seguridad de ESET, afirmaron que estos especialistas deben comprender el entorno de los ataques cibernéticos actuales y su evolución para adoptar estrategias sólidas que permitan a la empresa estar preparada ante cualquier incidente.
Además, destacaron que el trabajo del CISO debe tener un alcance interdisciplinario, tanto con la alta dirección como con los encargados de los diferentes departamentos como Finanzas, Recursos Humanos, Ventas, Mercadotecnia y otros, para así hacer una gestión eficiente de los riesgos y de la seguridad de la información.
Mantener buena comunicación
No menos importante son las habilidades de comunicación del ejecutivo, ya que en el día a día tiene que traducir los beneficios que ofrecerán aspectos técnicos para cubrir los objetivos del negocio. Sameer Sait, CISO de Forcepoint, afirmó que parte de la labor de un CISO es convencer a los altos directivos de la empresa del valor que aporta la tecnología y crear conciencia de los riesgos a los que está expuesta la información.
Aunque el rol del CISO como la máxima autoridad en seguridad de la información cada día es más necesario en las compañías, esta posición no existe en todos los organigramas. ¿Estarán descuidando estas empresas uno de los aspectos que más deberían salvaguardar del negocio?
