En el mundo actual de la Internet de todo, estamos más conectados que nunca antes, lo que significa más oportunidades para las amenazas a la seguridad y las violaciones de datos. Para concienciar sobre la importancia de la seguridad, celebraremos el Mes Nacional de Concienciación sobre la Seguridad Cibernética (NCSAM) compartiendo durante todo el mes contenido centrado en la seguridad. Cada lunes de octubre, compartiremos una nueva entrada del blog de seguridad de nuestros expertos. Disfrútelo!
Únete a la conversación en Twitter con #NCSAM y #CyberAware.
—–
Yahoo. Objetivo. DropBox. Home Depot. LinkedIn. Incluso el Gobierno Federal de los Estados Unidos.
¿Qué tienen en común todas estas organizaciones? A menos que hayan vivido fuera de la red por algún tiempo, la respuesta es que han sido víctimas de violaciones masivas de seguridad. Parece que no pasa una semana sin que se revele una nueva violación de seguridad masiva que pone millones (a veces cientos de millones) de datos privados de los clientes en manos de los ciberdelincuentes.
¿Y las brechas de arriba? Esas son sólo las brechas de alto perfil que salieron en las noticias. Cada día, los hackers acceden a datos privados de docenas de pequeñas empresas y organizaciones, poniendo en riesgo a los clientes y las operaciones comerciales. Casi nunca oímos hablar de eso.
Para adelantarse a este grave riesgo, las organizaciones que se preocupan por la seguridad suelen nombrar a un Oficial Jefe de Seguridad de la Información (OSI) para que dirija la visión y la estrategia de gestión de la seguridad y los riesgos. El papel típicamente incluye la responsabilidad de la tecnología, el cumplimiento, la seguridad de los datos y la privacidad. Dependiendo de la organización, también pueden participar en algunas actividades de infraestructura, arquitectura y seguridad física. Esto puede parecer un sinónimo de otros puestos de nivel C, pero no lo es. He aquí cómo un CISO es diferente.
Oficial Jefe de Seguridad de la Información… ¿no es otro nombre para el CTO o CIO?
Si bien algunas organizaciones más pequeñas combinan ambas funciones en una sola, cada vez más empresas están dividiendo las funciones a medida que se dan cuenta de que las responsabilidades de cada puesto son fundamentalmente diferentes y, a veces, conflictivas. Mientras que los jefes de tecnología e información son los responsables de entregar los productos técnicos, el papel del oficial de seguridad va más allá del equipo de TI, ya que comprende cómo, dónde y por qué una empresa recoge, accede o almacena datos, en línea o fuera de ella.
Al separar la tecnología de la información y la seguridad, su CISO puede centrarse en los elementos de la ciberseguridad, como: vectores potenciales de ataque a sus sistemas, aplicaciones y lugares; privacidad de la información; cumplimiento normativo; gestión de riesgos; controles de tecnología; arquitectura de seguridad; y gestión de la identidad y el acceso. Y la tecnología de la información puede ofrecer iniciativas de productos técnicos que impulsen el negocio. Contratar a alguien para que se centre exclusivamente en la seguridad, en lugar de ser sólo una parte más de su trabajo, es una medida inteligente que ayuda a mitigar los posibles conflictos de intereses y ofrece la oportunidad de hacer de las mejoras de seguridad una prioridad constante.
Por qué las empresas están contratando a los CISO ahora
El papel del Jefe de Seguridad de la Información es relativamente nuevo (se remonta a mediados de los 90). Sin embargo, la proliferación de datos, un mundo siempre conectado y el surgimiento de nuevas amenazas han obligado a las empresas que crean y guardan datos a tomarse en serio la seguridad.
Hace unos años, las organizaciones habrían puesto estas responsabilidades bajo la dirección del Oficial Jefe de Información o en el departamento de informática. Sin embargo, a medida que la importancia de la seguridad de los datos ha ido creciendo, muchas empresas han respondido contratando a un CISO que es independiente de un CIO, CTO o de la dirección de TI. Elevar esta posición al C-suite enfatiza su importancia y envía un mensaje al resto de la organización: la seguridad es una prioridad. Aunque son independientes, necesitan trabajar estrechamente con, y en muchos casos los equipos se integran con, el desarrollo y las operaciones de TI en un esfuerzo por ofrecer una experiencia de usuario segura y sin problemas.
La mayoría de los candidatos a la CISO tienen experiencia previa como ingenieros y auditores de seguridad, aunque algunos provienen del mundo de las operaciones de TI, la ingeniería y el desarrollo de productos como directores de proyectos, desarrolladores o arquitectos, que se han centrado en la seguridad como un componente de sus funciones. En cualquier caso, existe una brecha considerable entre el número de profesionales de seguridad que se necesitan en las empresas digitales de hoy en día y el número de profesionales capaces de desempeñar esas funciones. Para cerrar esta brecha, hemos creado una categoría completamente nueva de formación dedicada específicamente a la seguridad.
¿Listo para contratar o promocionar a un CISO? Esto es lo que hay que buscar.
Si crea, recopila o almacena datos que son valiosos para personas ajenas a su empresa, el papel de la CISO, o al menos la mentalidad, es fundamental para el futuro de su organización. Para ocupar el puesto en su empresa, asegúrese de que los candidatos calificados tengan experiencia real en cosas como pruebas de penetración, forenses digitales, respuesta a incidentes y auditoría de seguridad. Su CISO necesitará una amplia comprensión de los datos, los activos digitales y los lenguajes de consulta asociados. Necesitarán entender los principios de diseño y codificación seguros, y sentirse cómodos con la programación. Esto permitirá a un CISO apoyar los sistemas existentes, así como crear herramientas para garantizar la seguridad de los códigos y los datos en algunos casos.
Finalmente, un buen CISO trabajará con personas influyentes en toda su organización. Hacer las cosas a través de las líneas departamentales y estructurales requiere de liderazgo y habilidades de desarrollo de equipo. Una fuerte capacidad de comunicación y la comprensión de cómo las cambiantes necesidades empresariales impulsan la innovación en seguridad son también habilidades que querrá en un líder de alto nivel.
Pero, no todas las empresas están listas para un CISO
Dependiendo de la madurez de su organización en cuanto a TI y seguridad, su negocio podría no estar listo para un CISO dedicado. Y eso está bien, todavía tiene la oportunidad de mejorar el perfil de seguridad de su organización; sólo que tiene que ser enfocado de manera diferente. Si su empresa aún no está lista, aquí tiene algunas cosas que debe considerar mientras tanto:
- Designe a un experto en seguridad de toda la compañía. Esta persona debe ser lo suficientemente influyente y confiable para implementar cambios en todo el equipo.
- Entrene a sus equipos de TI actuales en las mejores prácticas de seguridad. A veces se trata de no saber lo que no se sabe. Al enseñar al equipo las amenazas a la seguridad y las formas de mitigar los riesgos de seguridad, puede descubrir que son capaces de implementar prácticas más seguras directamente en su día a día. Además, puede ser muy divertido jugar al «chico malo» o «espía» y hacer pruebas de lápiz con las aplicaciones y ofertas de su propio equipo.
- Construir un gremio de concienciación de seguridad. Reúne regularmente a los evangelistas de seguridad de toda la organización para discutir y educar a los demás sobre los riesgos y las formas en que los diferentes equipos los manejan. Luego pídales que difundan esa información en toda la organización.
Llevar la mentalidad de la CISO a la organización antes de la CISO – hacer de la formación y la educación en seguridad su política de seguridad más importante en toda la empresa. Esto hará que tu organización sea más segura mientras la preparas para un eventual equipo de seguridad para incrementar los esfuerzos en el futuro.
El beneficio real de tener un CISO
Los datos de su organización son increíblemente valiosos, ya sea su propiedad intelectual, los datos personales de sus clientes o las comunicaciones internas, pero todos esos datos crean una responsabilidad. Contar con un oficial de seguridad dedicado en el equipo de liderazgo de su empresa ayudará a impulsar las políticas y comportamientos que, en última instancia, protegerán a su organización de una embarazosa pérdida de datos, y las posibles pérdidas adicionales que se deriven de las multas o demandas judiciales que se produzcan.
No es suficiente con contratar a un CISO. Necesitas darles el poder de impulsar cambios que protejan a tu organización de estos riesgos tan reales. Aunque pueden ser capaces de abogar por el cambio como miembros de un equipo particular, elevar al oficial de seguridad a un puesto de liderazgo de nivel C les da la autoridad que necesitan para alinear las necesidades de seguridad con los objetivos de su negocio.
Con cada nuevo anuncio de un fallo de seguridad o de datos robados, las prácticas de seguridad de su organización se vuelven aún más críticas. Puede ser el momento de que le dé a la seguridad la atención y el énfasis que merece contratando a su propio CISO.
Aprenda más sobre cómo puede mantener su organización segura con nuestra capacitación en información y ciberseguridad.
Contenidos
- Oficial Jefe de Seguridad de la Información… ¿no es otro nombre para el CTO o CIO?
- Por qué las empresas están contratando a los CISO ahora
- ¿Listo para contratar o promocionar a un CISO? Esto es lo que hay que buscar.
- Pero, no todas las empresas están listas para un CISO
- El beneficio real de tener un CISO