El CISO un Gerente de Negocios Primero, luego un Tecnólogo

Por: José Antonio Lagos, Socio principal de Cybertrust

La disrupción tecnológica y la ciberseguridad son temas claves en las juntas directivas de todo el mundo (Paredes, 2016). Estos objetivos plantean dos exigencias particulares a las organizaciones: La primera es nombrar un profesional adecuado para guiar a la organización en un camino bien protegido que asegure la protección  y permitir que el ejecutivo y el Directorio estén debidamente informados del estado de seguridad de la organización, capaz de tomar decisiones óptimas relacionadas con la seguridad (Val Hooper , McKissack , 2016), esta posición está relacionada con el CISO o Chief Information Security Officer.

 Dada la mayor conciencia de la seguridad informática / ciberseguridad y el reconocimiento de la importancia de salvaguardar sus activos de información, las organizaciones han establecido posiciones independientes de CISO, los cuales por lo general, pero no en la mayoría de los casos, están reportando directamente al CEO (Val Hooper , McKissack, 2016), con la finalidad que sea un puente entre los aspectos de negocio y los asuntos técnicos de seguridad. Aún cuando en la práctica, podemos encontrar que la posición de CISO puede depender de un CFO (Chief Financial Officer), CIO (Chief Information Officer) o de un CRO (Chief Risk Officer).

 Existen pocos estudios empíricos que definen el rol o roles del CISO en las organizaciones, la literatura académica es escasa, sin embargo, proporciona alguna información en relación a las responsabilidades y habilidades requeridas.

 Algunas publicaciones han sugerido que la prioridad de los CISO debe ser el negocio y en segundo lugar los aspectos técnicos de la seguridad de la información (Ioma, 2005). Si consideramos la dimensión del negocio, los CISO debieran estar evaluando los métodos para aumentar el valor del negocio e integrar las necesidades de seguridad con las metas y objetivos del negocio, obviamente esto va mucho más allá de proteger los activos de información (Witheen, 2005). El trabajo de un CISO se ha descrito como un profesional de negocio que puede integrar las habilidades de seguridad con el negocio (Kubilus, 2004).

 Una investigación académica (Witheen, 2008) reflejó que los CISO debieran tener principalmente siete deberes o responsabilidades y cinco habilidades o experiencia. Las responsabilidades o deberes se relacionan a la implementación de una política de seguridad de la información, la educación continua, la gestión, la relación con proveedores, el mantenimiento del modelo de seguridad actual, la planificación de recuperación de desastres y las investigaciones sobre violaciones o brechas de seguridad. En relación a las habilidades, éstas se relacionan con experiencia en seguridad TI, habilidades de comunicación, liderazgo, conocimientos en sistemas y habilidades de investigación.

 El CISO debiera ser una posición de nivel estratégico, responsable de asegurar que los activos de información y los sistemas de TI estén protegidos y seguros, y que dicha protección esté en línea con la dirección estratégica de la organización. Es imprescindible que el CISO trabaje bien con la gente y tenga una buena comprensión del negocio. Demasiado énfasis en la experiencia técnica, sin un equilibrio de conocimientos empresariales y habilidades interpersonales podría ser perjudicial para la organización (Whitman y Mattord, 2010), incluso la sobreespecialización puede ser realmente un inconveniente, el CISO es un gerente de negocios primero y luego un tecnólogo (Whitman y Mattord, 2010).

 

 
 

Share this post

No comments

Add yours