{"id":15587,"date":"2019-10-24T08:05:23","date_gmt":"2019-10-24T14:05:23","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=15587"},"modified":"2020-08-11T12:16:11","modified_gmt":"2020-08-11T18:16:11","slug":"ciso-2019","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/ciso-2019\/15587\/","title":{"rendered":"La gesti\u00f3n de riesgos es una habilidad esencial para un CISO"},"content":{"rendered":"

El a\u00f1o pasado, al revisar los comentarios de mis colegas <\/a>\u00a0sobre los objetivos y problemas de la industria, tuve sentimientos encontrados. Un a\u00f1o despu\u00e9s, nos enteramos de que los resultados de nuestra encuesta (disponibles a continuaci\u00f3n) son mucho m\u00e1s interesantes.<\/p>\n

La primera impresi\u00f3n que se obtiene al mirar los resultados de estos dos estudios es la siguiente: la seguridad de la informaci\u00f3n en general, y el papel del CISO (director de seguridad de la informaci\u00f3n, por sus siglas en ingl\u00e9s) en particular, se est\u00e1n convirtiendo en cosas cada vez m\u00e1s importantes para las empresas, de acuerdo con al menos aproximadamente 300 de mis colegas en el sector de la seguridad de la informaci\u00f3n. Y esto, en definitiva, es una buena se\u00f1al. Tambi\u00e9n lo es el hecho de que muchos encuestados refirieron la \u201cgesti\u00f3n de riesgos\u201d y otras habilidades empresariales entre las esenciales para desempe\u00f1ar sus cargos.<\/p>\n

Pese a esto, hay un tema en el que no estoy de acuerdo con muchos de mis colegas. Algunos todav\u00eda opinan que las competencias t\u00e9cnicas y el conocimiento profundo de los sistemas corporativos de TI son habilidades clave para realizar su trabajo y desarrollarse posteriormente. Me parece que incluso si el conocimiento t\u00e9cnico es un requisito b\u00e1sico para un CISO (y si bien no necesita ser un conocedor de las nuevas tecnolog\u00edas), la industria debe darse cuenta de que los sistemas modernos de TI son tan complejos para los CISO como para siquiera tengan, incluso de modo potencial, una idea general en t\u00e9rminos t\u00e9cnicos.<\/p>\n

Por otra parte, los sistemas de la informaci\u00f3n se volver\u00e1n a\u00fan m\u00e1s sofisticados (algo que la mayor\u00eda de los encuestados espera). Por lo tanto, las competencias t\u00e9cnicas de un CISO, aunque son importantes, se vuelven secundarias en t\u00e9rminos del desarrollo de habilidades como la gesti\u00f3n de riesgos, el manejo eficaz del personal y la comunicaci\u00f3n empresarial. Hoy en d\u00eda, el personal es primordial.<\/p>\n

Entendamos a las personas, no los sistemas<\/h2>\n

De hecho, los sistemas y las tecnolog\u00edas de seguridad de TI son ahora lo suficientemente sofisticadas para liberar a los profesionales y permitirles tomar decisiones empresariales cr\u00edticas. Por supuesto, ese cambio hace que la confianza en el personal sea cada vez m\u00e1s importante. Por una parte, el director del departamento de seguridad de la informaci\u00f3n debe ser capaz de confiar en los especialistas entre su personal. Ellos, por otra parte, deben confiar tambi\u00e9n en el juicio y las decisiones del CISO, no ciegamente o sin la capacidad de emitir sus opiniones, pero siempre bajo una causa com\u00fan y guardando el mutuo respecto profesional.<\/p>\n

De acuerdo con los encuestados, en ocasiones es m\u00e1s f\u00e1cil obtener un aumento de presupuesto para adquirir sistemas que contratar m\u00e1s profesionales de la seguridad de la informaci\u00f3n. Comprar nuevos y flamantes sistemas tanto como sea posible puede sonar genial, pero es mucho m\u00e1s importante identificar las habilidades clave y las competencias imprescindibles para los expertos in-house<\/em> y los que pueden contratarse por medio de outsourcing<\/em>. De hecho, dado la escasez de especialistas en el mercado, creo que es una buena idea considerar el outsourcing<\/em> como una oportunidad para ampliar las capacidades del departamento y responder a las necesidades del negocio de manera m\u00e1s r\u00e1pida.<\/p>\n

De la respuesta a incidentes a la gesti\u00f3n de riesgos<\/h2>\n

Si bien el rol del CISO ha ganado la importancia para las principales partes interesadas (por ejemplo, la junta directiva o el CEO), lo mismo que antes, la mayor parte del tiempo solicitan ayuda despu\u00e9s de que algo ha sucedido. (Afortunadamente, esto parece ocurrirle sobre todo a la competencia o los colegas en la industria. No obstante, esto demuestra que muchas empresas no consideran la seguridad de la informaci\u00f3n como una herramienta de gesti\u00f3n de riesgos empresariales). Y cuando se le pregunta a los CISO sobre el modo en que la administraci\u00f3n mide el desempe\u00f1o de la SI (seguridad de la informaci\u00f3n), muchos de ellos todav\u00eda dir\u00e1n que el n\u00famero de incidentes o el tiempo de respuesta a incidentes son los indicadores clave.<\/p>\n

Aquellos son factores importantes, sin lugar a duda, pero en el concepto moderno de ciberinmunidad al cual se ci\u00f1e Kaspersky, una empresa bien protegida no es la que reduce al m\u00ednimo el n\u00famero de ataques nocivos o la que investiga de inmediato los incidentes, sino aquella cuyos negocios pueden desarrollarse exitosamente pese a aquellos incidentes.<\/p>\n

Despu\u00e9s de todo, los riesgos tolerables y las p\u00e9rdidas potenciales aceptables por obra de los incidentes son diferentes para cada empresa. A veces, resulta ben\u00e9fico suavizar las r\u00edgidas medidas de seguridad con el fin de impulsar el desarrollo del negocio. En otras situaciones, esto no es una opci\u00f3n. El n\u00famero de incidentes no puede servir como medida absoluta del desempe\u00f1o de la SI. Asimismo, es importante el modo en que las mediciones de SI afectan el costo y la velocidad de procesamiento de las tareas empresariales. Por lo tanto, en mi opini\u00f3n, los CISO deben por encima de todo ser capaces de evaluar adecuadamente los riesgos y construir sistemas de seguridad de la informaci\u00f3n adaptados perfectamente a sus negocios y procesos empresariales, en lugar de centrarse demasiado en la protecci\u00f3n contra incidentes.<\/p>\n

Mayor tiempo invertido con abogados<\/h2>\n

Otra cosa que llam\u00f3 mi atenci\u00f3n fueron las respuestas acerca de la importancia de la comunicaci\u00f3n con otros departamentos al interior de la empresa.\u00a0 Los abogados deben gozar de mayor prioridad de la que tienen. En la actualidad, la creciente complejidad de los sistemas de TI y sus interrelaciones con servicios externos, por una parte, y las leyes internacionales, por otros, significa que uno no puede ignorar las posibles consecuencias legales de las decisiones de los profesionales de la seguridad de la informaci\u00f3n.<\/p>\n

Los encuestados dieron el cuarto lugar al contacto con abogados, detr\u00e1s de los gerentes financieros, la junta directiva y los colegas del departamento de TI. Creo que el contacto con los abogados debe tener mayor prioridad, al menor por encima del contacto con los gerentes financieros. Resulta l\u00f3gico que consideres la seguridad de la informaci\u00f3n como una herramienta de gesti\u00f3n de riesgos empresariales.<\/p>\n

<\/form>