CEO, CTO, COO, CMO, CDO… y así hasta casi el infinito. Las siglas que tejen el entramado empresarial a nivel de puestos directivos son cuantiosas y en ocasiones un tanto complicadas de descifrar hasta para los más experimentados. El CEO o director ejecutivo es, por supuesto, el jefe supremo de la compañía ante quien responden todos los escalafones. El CTO o jefe de tecnología cubre la parte más técnica, como bien cabe esperar. El COO o jefe de operaciones demuestra su maestría con los números. El CMO o jefe de marketing supervisa las actividades publicitarias de la marca. Y el CDO puede ser el jefe de diseño, el experto digital, el responsable de los datos o incluso el encargado de la parte de desarrollo, dependiendo del contexto.
Primera regla: Hablar el mismo idioma
El propio término política de seguridad es un factor a tener en cuenta por el CISO. No todos los jefes de seguridad se preocupan por alimentar comportamientos saludables entre sus empleados mediante reglas de buena conducta y planes de contingencia, aunque deberían hacerlo. Así lo recomienda IBM en su Estudio CISO, que recoge la experiencia de 41 altos ejecutivos que desempeñan precisamente tareas de seguridad de la información en muy diversas áreas, principalmente en grandes organizaciones. Uno de ellos es muy específico al apuntar que “los responsables de seguridad deben ser inteligentes, entendidos” o, lo que resultaría más práctico todavía, “pensar como un usuario”, ya que ésta será la única forma de adelantarse a los problemas.
Al mismo tiempo, la comunicación con el resto de miembros de la compañía debe ser fluida. Y es que el correcto funcionamiento de los otros departamentos dependerá en buena parte del trabajo que esté realizando el CISO. Esto quiere decir que las reuniones con el Consejo Directivo y demás cuerpos de responsabilidad dentro de una organización se fijen de forma periódica, a poder ser cada tres meses, poniendo al CISO al día de las inquietudes de sus interlocutores e informando a éstos de las medidas que ya se están tomando. Trazar una estrategia, ser coherente con la política establecida y gestionar las crisis con una visión integral son tres pautas fundamentales.
Lo que no hay que hacer es centrar todos los esfuerzos en un único problema, sobre todo en estos tiempos de exigencia máxima. ¿Que al CEO le preocupa no perjudicar la reputación de marca y mantener los niveles de confianza lo más altos posible? La obligación del CISO es ser versátil, esto es, responder a este miedo y a los que atemorizan al resto de compañeros. Por un lado, comenzará estudiando las consecuencias que una vulnerabilidad, un fallo del sistema u otro tipo de circunstancias desfavorables tendrían en la imagen que se proyecta al exterior para dedicarle los recursos precisos. Aunque éste es justo uno de los grandes retos que el Director de Seguridad de la Información tiene por delante, según IBM. Por otro, necesita aprender a expresarse con realismo.
Segunda regla: Ir un paso más allá
Si quieren cumplir con sus tareas de la forma adecuada, los CISOs sólo tienen que seguir una serie de trucos. Uno de los consejos más valiosos es rodearse de la gente adecuada. O como dice otro de los entrevistados por IBM en su Estudio CISO, “formar o contratar a profesionales con experiencia” ya que “es imposible proteger algo si se desconoce cómo hacerlo”. Un paso adelante, complementando la ayuda personal, se encuentra la propia tecnología de seguridad, que es básica e incluye cuanto menos herramientas para el control de identidades y de acceso, la actuación ante intrusiones, la inspección de fallos en la red y el examen a bases de datos. A mayores cubre las tareas para descubrir malware, analizar con cabeza y aplicar autenticación alternativa.
Dentro de todo este cordón de seguridad hay un tipo concreto de soluciones que está ganando enteros: las dirigidas a dispositivos móviles y a la nube. Eso sí, queda bastante por andar en esta dirección. Sólo 4 de cada 10 empresas habrían puesto en marcha a día de hoy medidas para responder a la tendencia de BYOD (otras siglas del mundillo corporativo que se refieren a “bring your own device” o “trae tu propio dispositivo a la oficina). Durante lo que queda de año, un 39% estaría comprometido a hacer lo mismo y otro 37% se apuntará al campo de las incidencias para gadgets personales, o al menos ésas son sus promesas.
Tercera regla: Cuantificar el riesgo
Saber lo que se quiere, entrenar al equipo personal y tener las soluciones tecnológicas necesarias para enfrentarse a problemas no servirá de nada si al final no se incorporan las métricas sobre el funcionamiento del negocio en la propia gestión de riesgos, algo que ahora mismo hace menos de la mitad de las empresas. Es esencial por complejo que pueda parecer. Y significa que apostar por los análisis constituye el tercer gran paso a seguir por los CISOs en su labor diaria. Lo ideal es que el trabajo de medición acabe por mejorar los procesos de comunicación e impactar en los resultados económicos y no sólo sirva para argumentar la necesidad de invertir en nuevas tecnologías.
En definitiva, sólo aquel CISO que combine una estrategia teórica con una práctica que piense en la movilidad y el cloud, cubra las exigencias básicas sin desatender implementaciones tecnológicas de nueva generación, evalúe el impacto de la seguridad a nivel económico, eduque a los empleados e implique al resto del equipo de expertos, comenzará a reconducir la dirección de la seguridad con un comportamiento más eficaz. Los Directores de Seguridad de la Información están llamados a convertirse en verdaderos especialistas en riesgos. “Mantenerse al día de los riesgos de seguridad, que cambian constantemente” y “gestionar activamente aquellos riesgos que pudieran afectar al crecimiento y a la innovación” son dos últimos objetivos a considerar, de acuerdo con los propios CISOs.
La compañía ha registrado durante el tercer trimestre incrementos del 20 % en ingresos por…
Fujitsu Kozuchi AI Agent se ofrecerá a través de la plataforma Fujitsu Data Intelligence PaaS.
De momento han sido certificados los modelos TOUGHBOOK 55mk3 y TOUGHBOOK 33mk4.
El objetivo de esta compañía, especializada en productos digitales, es ayudar a las organizaciones combinando…
Entre sus cometidos están supervisar la implementación de proyectos y el desarrollo de iniciativas de…
Así lo afirma un 71 % de los consumidores encuestados por GoDaddy. Hasta una cuarta…