Llegamos a ustedes gracias a:



Reportajes y análisis

CISO: Responsabilidades y requisitos para este rol vital

[30/01/2019] El chief information security officer (CISO) es el ejecutivo responsable de la seguridad de la información y los datos de una organización. Si bien en el pasado el rol se definió de manera bastante restringida en ese sentido, en la actualidad el título se usa indistintamente con CSO y vicepresidente de seguridad, lo que indica un rol más amplio en la organización.

Puede que los profesionales de seguridad ambiciosos que buscan ascender en el mundo corporativo tengan la posición de CISO como objetivo. Echemos un vistazo a lo que puede hacer para mejorar sus posibilidades de conseguir un trabajo como CISO, y lo que implicarán sus deberes si obtiene este papel fundamental. Y si está buscando agregar un CISO a la lista de su organización, quizás por primera vez, también le interesará seguir leyendo.

Responsabilidades de un CISO

¿Qué hace un CISO? Quizás la mejor manera de entender el trabajo de un CISO es aprender qué responsabilidades cotidianas se encuentran bajo su cuidado. Si bien no existen dos trabajos exactamente iguales, Stephen Katz, quien fue pionero en el rol de CISO en Citigroup durante la década de los noventa, describió las áreas de responsabilidad de los CISO en una entrevista con MSNBC. Él divide estas responsabilidades en las siguientes categorías:

  • Operaciones de seguridad: Análisis en tiempo real de las amenazas inmediatas y su clasificación cuando algo sale mal.
  • Ciberriesgo y ciberinteligencia: Mantenerse al tanto del desarrollo de las amenazas a la seguridad y ayudar al directorio a comprender los posibles problemas de seguridad que pueden surgir de las adquisiciones u otras grandes acciones del negocio.
  • Pérdida de datos y prevención de fraude: Asegurarse de que el personal interno no haga mal uso ni robe datos.
  • Arquitectura de la seguridad: Planear, comprar y desplegar hardware y software de seguridad, así como asegurar que la infraestructura de red y de TI esté diseñada de acuerdo a las mejores prácticas de seguridad.
  • Gestión de identidad y acceso: Garantizar que solo las personas autorizadas tengan acceso a los datos y sistemas restringidos.
  • Gestión de programas: Anticipar las necesidades de seguridad mediante la implementación de programas o proyectos que mitiguen los riesgos -por ejemplo, las actualizaciones regulares del sistema.
  • Investigaciones y análisis forense: Determinar qué salió mal en una infiltración, tratar con los responsables si son internos, y planear maneras de evitar que la misma crisis se repita.
  • Gobernanza: Asegurarse de que todas las iniciativas anteriores se realicen sin problemas y obtengan la financiación que necesitan -y que el liderazgo corporativo entienda su importancia.

Si desea un conocimiento más profundo, consulte el documento técnico de SANS, Mixing Technology and Business: The Roles and Responsibilities of the Chief Information Security Officer.

Requisitos de un CISO

¿Qué se necesita para ser considerado para esta posición? En términos generales, un CISO necesita una base técnica sólida. Cyberdegrees.org afirma que, normalmente, se espera que un candidato tenga una licenciatura en ciencias de la computación o un campo relacionado, entre 7 y 12 años de experiencia laboral (incluyendo al menos cinco en una función de gestión); así como maestrías técnicas con un enfoque en seguridad, las cuales son una tendencia creciente. 

También hay una larga lista de habilidades técnicas esperadas: más allá de los conceptos básicos de programación y administración de sistemas que cualquier ejecutivo de tecnología de alto nivel debería tener, también debe comprender alguna tecnología especializada en seguridad, como DNS, routing, autenticación, VPN, servicios de proxy y tecnologías de mitigación DDOS; prácticas de codificación, hacking ético y modelado de amenazas; además de firewalls y protocolos de detección/prevención de intrusos. Y como se espera que los CISO ayuden con el cumplimiento regulatorio, también debe conocer las evaluaciones de cumplimiento de PCI, HIPAA, NIST, GLBA y SOX.

Pero el conocimiento técnico no es el único requisito para conseguir el trabajo -y puede que ni siquiera sea el más importante. Después de todo, gran parte del trabajo de un CISO implica la gestión y la defensa de la seguridad dentro del liderazgo de la empresa. El investigador de TI, Larry Ponemon, hablando con SecureWorld, afirmó que "los CISO más destacados tienen una buena base técnica, pero a menudo tienen antecedentes comerciales, un MBA y las habilidades necesarias para comunicarse con otros ejecutivos de la alta gerencia y el directorio.

Paul Wallenberg, gerente de la Unidad de Servicios Tecnológicos de la agencia de selección de personal LaSalle Network, afirma que la combinación de habilidades técnicas y no técnicas, según las cuales se juzga a un candidato para el puesto de CISO, puede variar según la compañía que realice la contratación. "En términos generales, las empresas que tienen un alcance global o internacional como negocio, buscarán candidatos con un fondo de seguridad holístico y funcional, además de adoptar el enfoque de evaluación de las habilidades de liderazgo que simultáneamente comprenden la progresión de la carrera y los logros históricos, afirma. "Por otro lado, las compañías que tienen un negocio más centrado en la web y el producto, se inclinan por la contratación de habilidades específicas en torno a la seguridad de las aplicaciones y la web.

Las certificaciones de un CISO

Mientras se encuentra en ascenso hacia el rol de CISO, le conviene pulir su currículum con certificaciones. Como lo indica Information Security, "estas calificaciones refrescan la memoria, invocan nuevos pensamientos, aumentan la credibilidad y son una parte obligatoria de cualquier plan de estudios de capacitación interna. Pero existe un número un tanto desconcertante para elegir: Cyberdegrees.org enumera siete. Le preguntamos a Wallenberg de Lasalle Network por lo que elegiría y él nos dio las tres que considera las mejores:

CISO vs. CIO vs. CSO

Inevitablemente, la seguridad es un rol que se confronta con otros dentro de una organización, puesto que los instintos de un profesional de la seguridad son bloquear los sistemas y hacer que sea más difícil acceder a ellos. Esto puede generar conflictos con el trabajo de TI, que se encarga de hacer que la información y las aplicaciones estén disponibles sin fricción. En la parte superior del organigrama, este conflicto puede manifestarse en una batalla entre un CISO y un CIO, y los contornos de esa lucha a menudo se establecen por las líneas de información dentro de una organización. 

Aunque ambos títulos tienen una "C en el nombre, es relativamente común que los CISO reporten a los CIO, lo que puede restringir la capacidad de ejecución estratégica del CISO, ya que su visión termina estando subordinada a la estrategia general de TI proveniente del CIO. Los CISO definitivamente ganan influencia cuando reportan directamente al CEO o al directorio, lo que se está convirtiendo en una práctica cada vez más común. Esto podría implicar un cambio de título. Según la Global State of Information Survey 2018, es más probable que los CISO estén subordinados a un CIO, mientras que es más probable que el ejecutivo de seguridad con el título de chief security officer (CSO) esté en el mismo nivel que el CIO -y que tenga responsabilidades básicas de seguridad que no estén relacionadas a tecnología.

CISO, CSO

Poner a los CIO y CISO en pie de igualdad puede ayudar a aplacar el conflicto, sobre todo porque le trasmite una señal sobre lo importante que es la seguridad a toda la organización. Pero también significa que el CISO no puede ser simplemente un controlador de acceso que vete las iniciativas técnicas. Como el CIO de Ducati, Piergiorgio Grossi, le expresó a la revista i-CIO, "depende del CISO ayudar a que el equipo de TI proporcione productos y servicios más robustos, en lugar de simplemente decir 'no'. Esta responsabilidad compartida de las iniciativas estratégicas cambia la dinámica de la relación .y puede significar la diferencia entre el éxito y el fracaso de los nuevos CISO.

Descripción del trabajo de un CISO

Si forma parte de la búsqueda de un CISO prometedor para su organización, parte de eso implica escribir una descripción del trabajo -y gran parte de lo que hemos discutido hasta ahora es la base de cómo enfocarlo. "Las empresas primero deciden si desean contratar un CISO y obtienen las aprobaciones para el nivel, la estructura de reportes y el título oficial para el puesto -en las empresas más pequeñas, los CISO pueden ser vicepresidentes o directores de seguridad, afirma Wallenberg de Lasalle Network. "También deben establecer los requisitos mínimos y las calificaciones del rol, y luego ir al mercado para buscar candidatos externos o para postulantes internos.

El editor senior de CSO, Michael Nadeau, explica en detalle cómo debería abordar la descripción de un trabajo de CISO. Una de las cosas importantes que señala es que su descripción, desde el principio, debe hacer que el compromiso de su organización con la seguridad sea muy claro, porque así es como atraerá a un candidato de alta calidad. Para realmente aclarar este punto, debe resaltar dónde terminará el nuevo CISO en el organigrama y cuánta interacción tendrá con el directorio. Otro punto importante que resalta es mantener actualizada la descripción del trabajo, incluso si tiene a alguien en el cargo -después de todo, nunca se sabe cuándo esa persona cambiará a un nuevo puesto, y este es un trabajo crucial que no querrá dejar desocupado.

Puede ver también