El CISO – Un Gerente de Negocios primero, luego un tecnólogo

La disrupción tecnológica y la ciberseguridad son temas claves en las juntas directivas de todo el mundo (Paredes, 2016). Estos objetivos plantean dos exigencias particulares a las organizaciones: La primera es nombrar un profesional adecuado para guiar a la organización en un camino bien protegido que asegure la protección  y permitir que el ejecutivo y el Directorio estén debidamente informados del estado de seguridad de la organización, capaz de tomar decisiones óptimas relacionadas con la seguridad (Val Hooper , McKissack , 2016), esta posición está relacionada con el CISO o Chief Information Security Officer.

 Dada la mayor conciencia de la seguridad informática / ciberseguridad y el reconocimiento de la importancia de salvaguardar sus activos de información, las organizaciones han establecido posiciones independientes de CISO, los cuales por lo general, pero no en la mayoría de los casos, están reportando directamente al CEO (Val Hooper , McKissack, 2016), con la finalidad que sea un puente entre los aspectos de negocio y los asuntos técnicos de seguridad. Aún cuando en la práctica, podemos encontrar que la posición de CISO puede depender de un CFO (Chief Financial Officer), CIO (Chief Information Officer) o de un CRO (Chief Risk Officer).

 Existen pocos estudios empíricos que definen el rol o roles del CISO en las organizaciones, la literatura académica es escasa, sin embargo, proporciona alguna información en relación a las responsabilidades y habilidades requeridas.

 Algunas publicaciones han sugerido que la prioridad de los CISO debe ser el negocio y en segundo lugar los aspectos técnicos de la seguridad de la información (Ioma, 2005). Si consideramos la dimensión del negocio, los CISO debieran estar evaluando los métodos para aumentar el valor del negocio e integrar las necesidades de seguridad con las metas y objetivos del negocio, obviamente esto va mucho más allá de proteger los activos de información (Witheen, 2005). El trabajo de un CISO se ha descrito como un profesional de negocio que puede integrar las habilidades de seguridad con el negocio (Kubilus, 2004).

 Una investigación académica (Witheen, 2008) reflejó que los CISO debieran tener principalmente siete deberes o responsabilidades y cinco habilidades o experiencia. Las responsabilidades o deberes se relacionan a la implementación de una política de seguridad de la información, la educación continua, la gestión, la relación con proveedores, el mantenimiento del modelo de seguridad actual, la planificación de recuperación de desastres y las investigaciones sobre violaciones o brechas de seguridad. En relación a las habilidades, éstas se relacionan con experiencia en seguridad TI, habilidades de comunicación, liderazgo, conocimientos en sistemas y habilidades de investigación.

 El CISO debiera ser una posición de nivel estratégico, responsable de asegurar que los activos de información y los sistemas de TI estén protegidos y seguros, y que dicha protección esté en línea con la dirección estratégica de la organización. Es imprescindible que el CISO trabaje bien con la gente y tenga una buena comprensión del negocio. Demasiado énfasis en la experiencia técnica, sin un equilibrio de conocimientos empresariales y habilidades interpersonales podría ser perjudicial para la organización (Whitman y Mattord, 2010), incluso la sobreespecialización puede ser realmente un inconveniente, el CISO es un gerente de negocios primero y luego un tecnólogo (Whitman y Mattord, 2010).

 Por: José Antonio Lagos, Socio principal de Cybertrust

 

Referencias

·     Ioma (2005) So You Want to Be a CISO? The Pay’s Good-But It’s Not Easy. Security Director’s Report. 5(7) 1,-10.

·     Kubilus,  N.  (2004)  IT  and  Security:  Converging Roles. ComputerWorld. Nov 22, 2004. pp. 44.

·      Paredes, D. (2016). Tech disruption and cybersecurity top board- room agenda in NZ. CIO. Retrieved from http://www.cio.co.nz/article/593402/tech-disruption-cybersecurity-top- boardroom-agenda-nz/

·      Val Hooper , McKissack (2016) The emerging role of the CISO Victoria University of  Wellington,  P.O.  Box  600,  Wellington 6014,  New Zealand

·      Whitten (2005), The Chief Information Secuirty Officer: An Analysis of the Skills Required for Success

·     Whitman, M. E., & Mattord, H. J. (2010). The management of   information   security   (3rd   ed.).   Boston Learning.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

Create a website or blog at WordPress.com

Up ↑

%d bloggers like this: