CISO, un rol central en pleno cambio

La forma en la que los CISO alrededor del mundo tratan la “Seguridad de la Información” es una cuestión cultural condicionada por el contexto, la actividad y las personas.

En USA, el CISO dejó de ser un director de Seguridad de la Información

El puesto del CISO se transforma cada vez más en un consejero independiente de TI, que interactúa con la mesa directiva o el comité ejecutivo, y es garante por administrar las decisiones del negocio con un enfoque para proteger los datos que se usan en los procesos críticos del negocio, y asegurar que el negocio considera adecuadamente los posibles riesgos de nuevas iniciativas.

Un cambio que dinamiza a la organización

Este cambio de enfoque subraya que el CISO no esta para proteger a TI.  El CISO es sin duda el driver del negocio.

De la misma forma que el CFO es parte del equipo ejecutivo para dar soporte a la operación y al director general (CEO) en temas de finanzas, el CISO no solo cumple el mismo rol para temas de seguridad de la información, también tiene poder de veto para nuevos desarrollos que no se ajusten a los parámetros de su actividad.

Este cambio ubica al dato en el centro de los procesos de negocio dentro de las economías más desarrolladas del planeta.

En América Latina, el CISO ocupa un rol técnico, y reporta al área de TI en lugar de controlarlo, es responsable de coordinar las tareas de seguridad en TI, y de responder a las auditorias sobre cumplimiento con los controles de reglamentos y leyes con las que se tiene alcanzar la conformidad.

Confidencialidad, Integridad, Disponibilidad, y Privacidad

En el marco de la nueva economía, el CISO debe apoyarse en los 4 pilares de seguridad, para tamizar las posibles decisiones de los ejecutivos, y ayudarlos a sortear las amenazas sobre los procesos críticos del negocio.

  • Confidencialidad, el CISO debe garantizar que la clasificación de datos relevantes a los procesos de negocio: se crean, se manipulan, y se almacenan considerando la confidencialidad de rigor.

Regularmente esto requiere herramientas de cifrado tanto para datos en reposo como en movimiento, y administrar las identidades y credenciales de los colaboradores para certificar que solo los que tienen una necesidad de tener acceso a los datos lo tienen.

  • Integridad, tiene el compromiso de asegurar la sustentabilidad del dato. Esto garantiza que los lideres de cada proceso de negocio puedan confiar totalmente en los números y datos para tomar decisiones.
  • Disponibilidad, el CISO es un actor fundamental para dar cumplimiento de los protocolos de continuidad de negocio, y para desplegar plan de recuperación de desastres. El CISO, por sus destrezas en administración de riesgo, debe ser un líder en el desarrollo y pruebas de estos protocolos.
  • Privacidad, GDPR ha cambiado para siempre las reglas del juego sumado a las leyes en cada país, si la empresa es multi-nacionales tienen que considerar como entregar el control sobre la privacidad y el uso de sus datos a cada cliente o usuario. Ante el incumplimiento normativo las multas pueden llegar a 4% de los ingresos mundiales.

La evolución del CISO

El CISO está evolucionando como respuesta a los desafíos de la nueva economía, al contexto global y la necesidad de un modelo ágil para sobrevivir al cambio, su importancia es radical y resulta central para la toma de decisiones de negocios.

Sin dudas existe una relación directa entre el éxito y la distancia del CISO con la mesa de directorio de una compañía, cuanto más se aleja el CISO, más se aleja el éxito.

 

Por Daniel Molina | Business Strategy | CyberSecurity | Risk | Virtual CISO | Speaker | Evangelist