CISO
El año pasado, al revisar las valoraciones de mis colegas sobre los objetivos y problemas de la industria, tuve sentimientos encontrados. Un año después, nos enteramos de que los resultados de nuestra encuesta (disponibles a continuación) son mucho más interesantes.
La primera impresión que se obtiene al mirar los resultados de estos dos estudios es la siguiente: la seguridad de la información en general, y el papel del CISO en particular, cada vez son más importantes para las empresas, de acuerdo con al menos aproximadamente 300 de mis colegas del sector de la seguridad de la información. Y esto, en definitiva, es una buena señal. También lo es el hecho de que muchos encuestados sitúen la “gestión de riesgos” y otras habilidades empresariales entre los esenciales para desempeñar sus cargos.
A pesar de todo, hay un tema en el que no coincido con mis colegas. Algunos todavía opinan que las competencias técnicas y el conocimiento profundo de los sistemas corporativos de TI son habilidades clave para realizar su trabajo y desarrollarse. Yo creo que, aunque los conocimientos técnicos son un requisito básico para un CISO (y aunque deben conocer las nuevas tecnologías), la industria debe darse cuenta de que los sistemas modernos informáticos son muy complejos como para que los CISO tengan una idea general en términos técnicos.
Además, los sistemas de la información se volverán aún más sofisticados (algo que la mayoría de los encuestados espera). Por lo tanto, las competencias técnicas de un CISO, aunque son importantes, quedan en segundo lugar frente al desarrollo de habilidades como la gestión de riesgos, un manejo eficiente del personal y la comunicación empresarial. Hoy en día, el personal es primordial.
Entendamos a las personas, no a los sistemas
De hecho, los sistemas y las tecnologías de seguridad de TI son ahora lo suficientemente sofisticados como para liberar a los profesionales y permitirles tomar decisiones empresariales críticas. Por supuesto, ese cambio hace que la confianza en el personal sea cada vez más importante. Por un lado, el director del departamento de seguridad de la información debe ser capaz de confiar en sus especialistas. Ellos, por otra parte, deben confiar también en el juicio y las decisiones del CISO, no ciegamente o sin la capacidad de emitir sus propias opiniones, pero siempre bajo una causa común y guardando el mutuo respecto profesional.
De acuerdo con los encuestados, en ocasiones es más fácil obtener un aumento de presupuesto para adquirir sistemas que contratar más profesionales de la seguridad de la información. Comprar nuevos y flamantes sistemas puede sonar genial, pero es mucho más importante identificar las habilidades clave y las competencias imprescindibles para los expertos in-house y los que pueden contratarse por medio de profesionales externos. De hecho, dado la escasez de especialistas en el mercado, creo que es una buena idea considerar la subcontratación como una oportunidad para ampliar las capacidades del departamento y responder a las necesidades del negocio de forma más rápida.
De la respuesta a incidentes a la gestión de riesgos
Si bien el rol del CISO ha ganado importancia para las principales partes interesadas (por ejemplo, la junta directiva o el CEO), al igual que antes, la mayor parte del tiempo se solicita ayuda después de que algo haya sucedido. (Afortunadamente, esto parece ocurrirle sobre todo a la competencia o a los colegas de la industria. No obstante, esto demuestra que muchas empresas no consideran la seguridad de la información como una herramienta de gestión de riesgos del negocio). Y cuando se le pregunta a los CISO sobre el modo en que la administración mide el desempeño de la SI (seguridad de la información), muchos de ellos todavía dicen que el número de incidentes o el tiempo de respuesta a incidentes son los indicadores clave.
Se trata de factores importantes, sin lugar a duda, pero según el concepto actual de ciberinmunidad al que se ciñe Kaspersky, una empresa bien protegida no es la que reduce al mínimo el número de ataques nocivos o la que investiga de inmediato los incidentes, sino aquella que puede desarrollar sus negocios con éxito a pesar de los incidentes.
Después de todo, los riesgos tolerables y las pérdidas potenciales aceptables por obra de los incidentes son diferentes para cada empresa. A veces, vale la pena suavizar las medidas de seguridad con el fin de impulsar el desarrollo del negocio. En otras situaciones, esto no es una opción. El número de incidentes no puede servir como medida absoluta del desempeño de la SI. Asimismo, es importante el modo en que las mediciones de SI afectan el coste y la velocidad de procesamiento de las tareas empresariales. Por tanto, creo que, ante todo, los CISO deben ser capaces de evaluar adecuadamente los riesgos y construir sistemas de seguridad de la información adaptados a sus negocios y procesos empresariales, en lugar de centrarse demasiado en la protección contra incidentes.
Invertir más tiempo con los abogados
Otra cosa que llamó mi atención fueron las respuestas acerca de la importancia de la comunicación con otros departamentos dentro de la empresa. Se debe otorgar más prioridad a los abogados. En la actualidad, la creciente complejidad de los sistemas de TI y sus interrelaciones con servicios externos, por una parte, y las leyes internacionales, por otra, implica que uno no puede ignorar las posibles consecuencias legales de las decisiones de los profesionales de la seguridad de la información.
Los encuestados situaron en cuarta posición el contacto con los abogados, detrás de los gerentes financieros, la junta directiva y los colegas del departamento de TI. Considero que el contacto con los abogados debe tener mayor prioridad, al menos por encima del contacto con los gerentes financieros. Por lo que, resulta lógico que consideres que la seguridad de la información es una herramienta de gestión de riesgos empresarial.
La encuesta ofrece muchos datos adicionales e interesantes, así que recomiendo leer el texto en su totalidad. Puedes descargar el informe completo rellenando el siguiente formulario:
