En esta oportunidad he escrito sobre un tema que me pareció más que interesante y del cual no se ha escrito demasiado, el cual es ni más ni menos que el rol que debería tener un CISO (Chief Information Security Officer) o ISO (Information Security Officer).
Históricamente, en sus comienzos, cuando de a poco la seguridad de la información empezaba a tener mayor peso, se solía designar a una persona del área de tecnología para que configurara la seguridad de los sistemas. Con el paso del tiempo este sistema se cayó por su propio peso, y empezó a aparecer la figura del CISO.
¿Por qué se empezó entonces a dar de esta manera evolutiva? Por una simple razón, porque la seguridad se convirtió en algo más que configurar un firewall o forzar una GPO en el Active Directory.
La seguridad de la información creció realmente en forma exponencial en los últimos 8 años y por consiguiente también, los diferentes estándares y compliances de auditoría que la empresas tenían y tienen que empezar a cumplir.
Las empresas se dieron cuenta que la seguridad es en si, un proceso que debe acompañar al modelo de negocio. Por ende, y dado este cambio de paradigma, se hizo necesario la presencia de una persona que pudiese acompañar y administrar este proceso, una persona que entienda “al negocio” y sepa acompañarlo con las decisiones correctas.
En este cambio, se termina la persona que sólo se ocupa netamente de la consola de línea de comando, de denegar o habilitar reglas de firewall o inclusive de restringir permisos con la actitud del llanero solitario.
El nuevo rol que entra en el nuevo paradigma es de una persona de alto nivel que entiende la seguridad cómo un todo, que más allá de no saber que botón exactamente tocar en determinada herramienta para crackear una password, si entiende las implicancias del riesgo que dicha actividad tiene.
La persona que ocupe el rol de CISO debe ser una persona con muy buenas habilidades interpersonales y muy buenas habilidades blandas en general. Tiene que tener la habilidad de poder comunicar a la alta gerencia los riesgos a los que están expuestos en un lenguaje entendible y fluido.
Debe tener la habilidad de poder transmitir de una forma entendible y creíble los aspectos de la seguridad para poder asi evangelizar sobre la misma y lograr asi, el sponsoreo de la alta gerencia.
Es una realidad que las empresas hoy producen casi un 60% más de información por año y el número de ataques a la misma se incrementa a pasos agigantados, y sin embargo en muchísimos casos, se sigue sin implementar una correcta política acorde a este crecimiento.
De las últimas encuestas vinculadas a la posición del CISO, en particular la ofrecida por Deloitte:
7ma Encuesta Anual de Seguridad Global en la Industria Financiera (Deloitte 2012)
6ta Encuesta Anual de Seguridad Global en la Industria Financiera (Deloitte 2010)
Se puede observar entre los principales aptitudes que el CISO debe tener se corresponden a la capacidad de planeamiento e implementación de diferentes políticas y medidas de seguridad.
El rol del CISO, queda más que claro que es complejo en si mismo y que se corresponde con una persona que no solamente tenga experiencia y competencia en la materia, sino también las habilidades blandas (inteligencia emocional) necesarias para entender la visión de negocio y saber interrelacionarse con las diferentes área de la compañía.
De acuerdo a los distintos relevamientos que se realizan y expuestos en la Conferencia Latinoamericana para CISOs, los puntos que competen (o que al menos deberían) a un CISO son los siguientes de acuerdo a como se ve en el siguiente gráfico:
El rol del CISO
Desde ya que el rol y sus competencias puede varias de acuerdo a la estructura interna de una determinada compañía en cuestión, pero la realidad del día a día y los constantes problemas de seguridad que se registran a diario, dan cuenta del papel necesario de este rol y sus respectivas competencias mencionadas.
Espero que en esta pequeña nota haya podido disiparles un poco las posibles dudas que pudiesen existir al respecto.
Por Diego G. Bruno – Consultor y Analista Senior en Seguridad Informática e Infraestructura.
