{"id":19501,"date":"2019-10-23T17:26:15","date_gmt":"2019-10-23T15:26:15","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=19501"},"modified":"2019-11-22T10:45:42","modified_gmt":"2019-11-22T08:45:42","slug":"ciso-2019","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/ciso-2019\/19501\/","title":{"rendered":"La gesti\u00f3n de riesgos: una habilidad esencial para un CISO"},"content":{"rendered":"

El a\u00f1o pasado, al revisar las valoraciones de mis colegas<\/a> sobre los objetivos y problemas de la industria, tuve sentimientos encontrados. Un a\u00f1o despu\u00e9s, nos enteramos de que los resultados de nuestra encuesta (disponibles a continuaci\u00f3n) son mucho m\u00e1s interesantes.<\/p>\n

La primera impresi\u00f3n que se obtiene al mirar los resultados de estos dos estudios es la siguiente: la seguridad de la informaci\u00f3n en general, y el papel del CISO en particular, cada vez son m\u00e1s importantes para las empresas, de acuerdo con al menos aproximadamente 300 de mis colegas del sector de la seguridad de la informaci\u00f3n. Y esto, en definitiva, es una buena se\u00f1al. Tambi\u00e9n lo es el hecho de que muchos encuestados sit\u00faen la \u201cgesti\u00f3n de riesgos\u201d y otras habilidades empresariales entre los esenciales para desempe\u00f1ar sus cargos.<\/p>\n

A pesar de todo, hay un tema en el que no coincido con mis colegas. Algunos todav\u00eda opinan que las competencias t\u00e9cnicas y el conocimiento profundo de los sistemas corporativos de TI son habilidades clave para realizar su trabajo y desarrollarse. Yo creo que, aunque los conocimientos t\u00e9cnicos son un requisito b\u00e1sico para un CISO (y aunque deben conocer las nuevas tecnolog\u00edas), la industria debe darse cuenta de que los sistemas modernos inform\u00e1ticos son muy complejos como para que los CISO tengan una idea general en t\u00e9rminos t\u00e9cnicos.<\/p>\n

Adem\u00e1s, los sistemas de la informaci\u00f3n se volver\u00e1n a\u00fan m\u00e1s sofisticados (algo que la mayor\u00eda de los encuestados espera). Por lo tanto, las competencias t\u00e9cnicas de un CISO, aunque son importantes, quedan en segundo lugar frente al desarrollo de habilidades como la gesti\u00f3n de riesgos, un manejo eficiente del personal y la comunicaci\u00f3n empresarial. Hoy en d\u00eda, el personal es primordial.<\/p>\n

Entendamos a las personas, no a los sistemas<\/h3>\n

De hecho, los sistemas y las tecnolog\u00edas de seguridad de TI son ahora lo suficientemente sofisticados como para liberar a los profesionales y permitirles tomar decisiones empresariales cr\u00edticas. Por supuesto, ese cambio hace que la confianza en el personal sea cada vez m\u00e1s importante. Por un lado, el director del departamento de seguridad de la informaci\u00f3n debe ser capaz de confiar en sus especialistas. Ellos, por otra parte, deben confiar tambi\u00e9n en el juicio y las decisiones del CISO, no ciegamente o sin la capacidad de emitir sus propias opiniones, pero siempre bajo una causa com\u00fan y guardando el mutuo respecto profesional.<\/p>\n

De acuerdo con los encuestados, en ocasiones es m\u00e1s f\u00e1cil obtener un aumento de presupuesto para adquirir sistemas que contratar m\u00e1s profesionales de la seguridad de la informaci\u00f3n. Comprar nuevos y flamantes sistemas puede sonar genial, pero es mucho m\u00e1s importante identificar las habilidades clave y las competencias imprescindibles para los expertos in-house<\/em> y los que pueden contratarse por medio de profesionales externos. De hecho, dado la escasez de especialistas en el mercado, creo que es una buena idea considerar la subcontrataci\u00f3n como una oportunidad para ampliar las capacidades del departamento y responder a las necesidades del negocio de forma m\u00e1s r\u00e1pida.<\/p>\n

De la respuesta a incidentes a la gesti\u00f3n de riesgos<\/h3>\n

Si bien el rol del CISO ha ganado importancia para las principales partes interesadas (por ejemplo, la junta directiva o el CEO), al igual que antes, la mayor parte del tiempo se solicita ayuda despu\u00e9s de que algo haya sucedido. (Afortunadamente, esto parece ocurrirle sobre todo a la competencia o a los colegas de la industria. No obstante, esto demuestra que muchas empresas no consideran la seguridad de la informaci\u00f3n como una herramienta de gesti\u00f3n de riesgos del negocio). Y cuando se le pregunta a los CISO sobre el modo en que la administraci\u00f3n mide el desempe\u00f1o de la SI (seguridad de la informaci\u00f3n), muchos de ellos todav\u00eda dicen que el n\u00famero de incidentes o el tiempo de respuesta a incidentes son los indicadores clave.<\/p>\n

Se trata de factores importantes, sin lugar a duda, pero seg\u00fan el concepto actual de ciberinmunidad al que se ci\u00f1e Kaspersky, una empresa bien protegida no es la que reduce al m\u00ednimo el n\u00famero de ataques nocivos o la que investiga de inmediato los incidentes, sino aquella que puede desarrollar sus negocios con \u00e9xito a pesar de los incidentes.<\/p>\n

Despu\u00e9s de todo, los riesgos tolerables y las p\u00e9rdidas potenciales aceptables por obra de los incidentes son diferentes para cada empresa. A veces, vale la pena suavizar las medidas de seguridad con el fin de impulsar el desarrollo del negocio. En otras situaciones, esto no es una opci\u00f3n. El n\u00famero de incidentes no puede servir como medida absoluta del desempe\u00f1o de la SI. Asimismo, es importante el modo en que las mediciones de SI afectan el coste y la velocidad de procesamiento de las tareas empresariales. Por tanto, creo que, ante todo, los CISO deben ser capaces de evaluar adecuadamente los riesgos y construir sistemas de seguridad de la informaci\u00f3n adaptados a sus negocios y procesos empresariales, en lugar de centrarse demasiado en la protecci\u00f3n contra incidentes.<\/p>\n