La gestión de riesgos es una habilidad esencial para un CISO

24 Oct 2019

El año pasado, al revisar los comentarios de mis colegas  sobre los objetivos y problemas de la industria, tuve sentimientos encontrados. Un año después, nos enteramos de que los resultados de nuestra encuesta (disponibles a continuación) son mucho más interesantes.

La primera impresión que se obtiene al mirar los resultados de estos dos estudios es la siguiente: la seguridad de la información en general, y el papel del CISO (director de seguridad de la información, por sus siglas en inglés) en particular, se están convirtiendo en cosas cada vez más importantes para las empresas, de acuerdo con al menos aproximadamente 300 de mis colegas en el sector de la seguridad de la información. Y esto, en definitiva, es una buena señal. También lo es el hecho de que muchos encuestados refirieron la “gestión de riesgos” y otras habilidades empresariales entre las esenciales para desempeñar sus cargos.

Pese a esto, hay un tema en el que no estoy de acuerdo con muchos de mis colegas. Algunos todavía opinan que las competencias técnicas y el conocimiento profundo de los sistemas corporativos de TI son habilidades clave para realizar su trabajo y desarrollarse posteriormente. Me parece que incluso si el conocimiento técnico es un requisito básico para un CISO (y si bien no necesita ser un conocedor de las nuevas tecnologías), la industria debe darse cuenta de que los sistemas modernos de TI son tan complejos para los CISO como para siquiera tengan, incluso de modo potencial, una idea general en términos técnicos.

Por otra parte, los sistemas de la información se volverán aún más sofisticados (algo que la mayoría de los encuestados espera). Por lo tanto, las competencias técnicas de un CISO, aunque son importantes, se vuelven secundarias en términos del desarrollo de habilidades como la gestión de riesgos, el manejo eficaz del personal y la comunicación empresarial. Hoy en día, el personal es primordial.

Entendamos a las personas, no los sistemas

De hecho, los sistemas y las tecnologías de seguridad de TI son ahora lo suficientemente sofisticadas para liberar a los profesionales y permitirles tomar decisiones empresariales críticas. Por supuesto, ese cambio hace que la confianza en el personal sea cada vez más importante. Por una parte, el director del departamento de seguridad de la información debe ser capaz de confiar en los especialistas entre su personal. Ellos, por otra parte, deben confiar también en el juicio y las decisiones del CISO, no ciegamente o sin la capacidad de emitir sus opiniones, pero siempre bajo una causa común y guardando el mutuo respecto profesional.

De acuerdo con los encuestados, en ocasiones es más fácil obtener un aumento de presupuesto para adquirir sistemas que contratar más profesionales de la seguridad de la información. Comprar nuevos y flamantes sistemas tanto como sea posible puede sonar genial, pero es mucho más importante identificar las habilidades clave y las competencias imprescindibles para los expertos in-house y los que pueden contratarse por medio de outsourcing. De hecho, dado la escasez de especialistas en el mercado, creo que es una buena idea considerar el outsourcing como una oportunidad para ampliar las capacidades del departamento y responder a las necesidades del negocio de manera más rápida.

De la respuesta a incidentes a la gestión de riesgos

Si bien el rol del CISO ha ganado la importancia para las principales partes interesadas (por ejemplo, la junta directiva o el CEO), lo mismo que antes, la mayor parte del tiempo solicitan ayuda después de que algo ha sucedido. (Afortunadamente, esto parece ocurrirle sobre todo a la competencia o los colegas en la industria. No obstante, esto demuestra que muchas empresas no consideran la seguridad de la información como una herramienta de gestión de riesgos empresariales). Y cuando se le pregunta a los CISO sobre el modo en que la administración mide el desempeño de la SI (seguridad de la información), muchos de ellos todavía dirán que el número de incidentes o el tiempo de respuesta a incidentes son los indicadores clave.

Aquellos son factores importantes, sin lugar a duda, pero en el concepto moderno de ciberinmunidad al cual se ciñe Kaspersky, una empresa bien protegida no es la que reduce al mínimo el número de ataques nocivos o la que investiga de inmediato los incidentes, sino aquella cuyos negocios pueden desarrollarse exitosamente pese a aquellos incidentes.

Después de todo, los riesgos tolerables y las pérdidas potenciales aceptables por obra de los incidentes son diferentes para cada empresa. A veces, resulta benéfico suavizar las rígidas medidas de seguridad con el fin de impulsar el desarrollo del negocio. En otras situaciones, esto no es una opción. El número de incidentes no puede servir como medida absoluta del desempeño de la SI. Asimismo, es importante el modo en que las mediciones de SI afectan el costo y la velocidad de procesamiento de las tareas empresariales. Por lo tanto, en mi opinión, los CISO deben por encima de todo ser capaces de evaluar adecuadamente los riesgos y construir sistemas de seguridad de la información adaptados perfectamente a sus negocios y procesos empresariales, en lugar de centrarse demasiado en la protección contra incidentes.

Mayor tiempo invertido con abogados

Otra cosa que llamó mi atención fueron las respuestas acerca de la importancia de la comunicación con otros departamentos al interior de la empresa.  Los abogados deben gozar de mayor prioridad de la que tienen. En la actualidad, la creciente complejidad de los sistemas de TI y sus interrelaciones con servicios externos, por una parte, y las leyes internacionales, por otros, significa que uno no puede ignorar las posibles consecuencias legales de las decisiones de los profesionales de la seguridad de la información.

Los encuestados dieron el cuarto lugar al contacto con abogados, detrás de los gerentes financieros, la junta directiva y los colegas del departamento de TI. Creo que el contacto con los abogados debe tener mayor prioridad, al menor por encima del contacto con los gerentes financieros. Resulta lógico que consideres la seguridad de la información como una herramienta de gestión de riesgos empresariales.