Chief Information Security Officer:
¿por qué todas las empresas deben contar con un CISO?
El CISO es la persona que se encarga de velar por la seguridad de uno de los recursos más importantes de las empresas en la actualidad: la información.
A medida que aumentan los riesgos de ciberataques y tomamos conciencia de la importancia de la ciberseguridad, se crean más puestos específicos para trabajarlo de forma interna en las empresas: el CISO es uno de ellos.
En esta nota te explicaremos qué es un CISO, qué funciones cumple en una organización, y qué debes tener en cuenta si deseas trabajar con una persona en este puesto. ¡Vamos a verlo!
Te puede interesar: ¿Qué es la ciberseguridad y por qué es tan importante?
¿Qué es el CISO en una empresa?
El CISO es el profesional encargado de llevar el control de la ciberseguridad de una organización. El significado de CISO llega por sus siglas en inglés: Chief Information Security Officer, que puede ser conocido también como director de seguridad de información.
Como máximo encargado de la seguridad digital e informática, el CISO es quien se encarga de diseñar la estrategia de ciberseguridad, los procedimientos, los procesos y las políticas que protegen los sistemas de las compañías que los contraten.
En sus inicios, el trabajo de proteger la seguridad informática era un puesto meramente técnico. Sin embargo, a medida que la aceleración digital se intensificó, y sobre todo durante los períodos de cuarentena, el CISO ha escalado en las jerarquías empresariales y hoy se ubica como un profesional muy importante para el desarrollo estratégico de una compañía.
Por eso hoy un CISO tiene certificación de un ejecutivo de alto nivel.
Diferencias entre CISO, CIO, CSO y CTO
Las compañías tienen distintas estructuras. Según el organigrama, el CISO puede tener el título de arquitecto de seguridad, director de seguridad, o director de seguridad de la información. El rol, sin embargo, es cada vez más importante a nivel internacional.
Pedro Adamovic es el CISO de Banco Galicia y el único argentino galardonado en el Global Top CISO 100 Awards de 2021. Reconoce que en Argentina el puesto “todavía no explotó en su totalidad, pero en mercados del exterior es una posición senior. Quienes realizamos este trabajo por lo general somos perfiles técnicos que nos transformamos y adaptamos a este puesto que combina técnica con liderazgo”.
A medida que el puesto se estabiliza y se establece, también se relaciona con puestos similares que tienen funciones similares. Esto puede llevar a algunas confusiones. Para no caer en ellas, es importante reconocer qué hace un CISO que lo diferencia de otros puestos circundantes.
- CISO (Chief Information Security Officer): dirige la seguridad de la información y alinea su estrategia con las necesidades de negocio.
- CSO (Chief Security Officer): es el responsable de la seguridad general de la organización. Si bien no interfiere en el trabajo del CISO, es quien establece los lineamientos de seguridad que el CISO debe tener en cuenta.
- CIO (Chief Information Officer): el gerente de sistemas e información se encarga de controlar que los objetivos de la organización se correspondan con la tecnología de la información disponible, trabaja junto al CISO.
- CTO (Chief Technology Officer): es un rol similar al anterior, pero tiene una cotidianeidad de trabajos técnicos, ya que gestiona y supervisa diariamente las tecnologías de la información de la compañía.
¡Seguinos en YouTube para ser un experto en ciberseguridad!
¿Cuáles son las funciones del CISO en una empresa?
A nivel general, el CISO en una empresa se encarga de diseñar, coordinar, implementar, registrar y evaluar la estrategia de ciberseguridad de una compañía.
Cada organización tiene objetivos, necesidades y posibilidades diferentes, por lo que las tareas del CISO variarán según su empresa. Sin embargo, aquí repasamos las principales responsabilidades que un CISO cumple en una organización:
Define la estrategia de ciberseguridad y guía su implementación, a partir de políticas y estándares de seguridad.
Define normativas y procedimientos de seguridad.
Lidera junto al CIO los equipos encargados de la seguridad informática.
Busca, detecta y corrige vulnerabilidades.
Genera protocolos de respuesta ante caídas de la seguridad.
Desarrolla estrategias de recomposición y defensa ante situaciones de vulneración.
Garantiza la privacidad de los datos y las redes de la compañía.
Lidera la respuesta ante los incidentes de ciberseguridad.
Reporta al CIO el estado de las cuestiones relacionadas a ciberseguridad.
Genera informes que son reportados directamente a la suite ejecutiva.
Comanda las investigaciones forenses digitales.
Desarrolla planes de capacitación y sensibilización en materia de ciberseguridad para el interior de la empresa.
Supervisa la administración de accesos y permisos de la información y las redes de la compañía.
El CISO debe asegurar la confidencialidad de los sistemas y la información de la compañía y conjurar sus amenazas, tanto internas como externas. Pero no solo identifica, previene y reduce daños, sino que es muy importante que estén en constante capacitación para que ninguna amenaza los tome desprevenidos.
¿Por qué es importante el rol del CISO?
Como vimos, los trabajos que realiza un CISO son variados. Dirige los equipos de seguridad y alinea los objetivos comerciales con los estándares de seguridad cibernética y las posibilidades de la empresa.
Sin embargo, la importancia del CISO en una compañía va más allá de eso, y los conocimientos del CISO no deben ser solamente técnicos. Ya que se encarga de dirigir equipos y forma parte de la suite ejecutiva, debe tener habilidades blandas y competencias comunicativas para llevar su trabajo de forma ideal.
Es decir, contar un CISO en las filas de la organización es importante porque el profesional combina cuatro áreas de conocimiento y aplicación que lo ayudarán a desarrollar su labor:
Conocimiento en ciberseguridad:
Un CISO es un experto en tecnologías de la información y protocolos de ciberseguridad, y los domina técnicamente.
Habilidades comunicativas:
Un CISO debe ser capaz de traducir el lenguaje técnico para comunicarse con el resto de los equipos y con los directivos, así como para desarrollar planes de capacitación.
Competencias comerciales:
el CISO debe tener nociones de operaciones comerciales para tomar decisiones comparando riesgos y beneficios potenciales, y para incorporar una perspectiva que pondere la no interrupción comercial en casos de vulneración.
Participación ejecutiva: el CISO, por último, debe ser capaz de aglutinar su conocimiento y ponerlo a disposición de la suite ejecutiva, de la que forma parte, para colaborar con el crecimiento y el desarrollo empresarial.
¿Qué es la ciberseguridad y por qué es tan importante?
Solo dominando estas cuatro áreas, el CISO llegará a ser el profesional que la empresa necesita. Cuando lo logra, su trabajo puede ofrecerle a las compañías muchos beneficios, entre ellos:
Mejora la gestión y protección de datos.
Colabora en la construcción de imágen de marca.
Optimiza los recursos empresariales.
Disminuye las brechas de seguridad.
Impulsa la innovación y el desarrollo en ciberseguridad.
Sean cuales sean los métodos que el CISO prefiera, si cumple con estas condiciones, será un pieza que represente un gran impulso en las compañías que confíen en su labor.
¿Cómo contratar un CISO?
Hemos visto qué hace y ahora sabemos por qué contratar un CISO es una buena idea. Su labor hará que todos los sistemas de la compañía estén más seguros.
Sin embargo, también hemos visto que el puesto como tal no está tan desarrollado, y las habilidades del CISO pueden encontrarse en profesionales con diferentes titulaciones. También sabemos que, al ser áreas de negocio relativamente modernas, es posible que personas sin títulos sean más habilidosas y competentes que personas tituladas.
Por eso, si estás pensando en contratar un CISO para incorporarlos tu estructura corporativa, no te olvides de reapasar estos requerimientos, esperables en cualquier especialista de ciberseguridad, extraídos del programa de reclutamiento de LinkedIn:
Entre 3 y 5 años de experiencia en ciberseguridad en negocios medianos o grandes.
Sólidos conocimientos en tecnologías de la información, incluyendo hardware, software y redes informáticas.
Orientación al detalle y meticulosidad, capacidad de ser multifunción en un ambiente de trabajo ágil.
Excelentes competencias de comunicación oral y escrita.
Habilidades de pensamiento crítico, resolución de problemas e investigación.
Capacidad de trabajar tanto de forma individual como grupal.
“Pensamiento de hacker”, es decir, la posibilidad de pensar como un cibercriminal, para adelantarse a sus acciones en casos de conflicto.
El sueldo de un CISO es elevado, correspondiente a una jerarquía importante y a un puesto altamente especializado. Sin embargo, ya lo sabemos, es mejor prevenir que lamentar. No solamente el gasto que implica recuperarse de un ataque cibernético, sino también la pausa en la producción y los daños de imagen, siempre representarán una suma mayor que un sueldo, por más abultado que sea.
Un último consejo: es posible que al buscar un profesional como un CISO, uno pierda mucho tiempo y no encuentre a la persona indicada. Por eso, antes de comenzar un proceso de reclutamiento, es importante revisar si esa persona no se encuentra ya en tu empresa, y solamente necesita confianza y capacitación.
Los recursos humanos son los más importantes de las compañías: representan un potencial de crecimiento que es más orgánico y beneficioso que las contrataciones. Por eso, si necesitas un CISO, quizás solo tengas que formar a alguien que ya está trabajando contigo.
También existe otra opción: trabajá de la mano con especialistas.
Desde Brotek ofrecemos servicios de ciberseguridad, datacenter y migración cloud para acompañar tu proceso de digitalización.
Es posible que tu mejor CISO se encuentre entre nosotros. ¡No dudes en consultarnos!
Esta entrada tiene un comentario
Pingback: ¿Qué es un análisis de vulnerabilidades y por qué es importante? | Brotek
Comentarios cerrados.