Criado Indomable

Un intento de Blog de Sebastián D. Criado – 09 F9 11 02 9D 74 E3 5B D8 41 56 C5 63 56 88 C0

El rol del CISO: Chief Information Security Officer

Posted by Sebastián Criado en Miércoles, noviembre 14, 2007 18:13

SeguridadEn la actualidad las empresas producen un 60% más de información por año y el número de ataques a la misma se incrementa a pasos agigantados, sin embargo en muchos casos se sigue sin implementar políticas acorde a este crecimiento. Sin dudas, la información que genera una empresa es uno de los activos más importantes que esta posee. Tener control de las actividades que comprenden uso y generación de información requiere de políticas bien definidas en virtud de garantizar disponibilidad, integridad y confiabilidad de la misma así como contar con una persona que pueda llevar a cabo la planificación de las actividades necesarias para lograr estos objetivos.

De acuerdo a la “Encuesta Global 2007 de Seguridad & Privacidad” de la consultora Deloitte, el 80 % de los ataques que una organización recibe procede de errores humanos.
Al ranking de las brechas de seguridad lo lideran los ataques vía e-mail con un 52%. Luego más abajo se encuentra las actividades víricas, un 40%, las actividades de phishing con un 35%, la mala conducta de los empleados con un 31%, el spyware con 26% y la ingeniería social (17%). Es importante destacar que el informe menciona que la efectividad de los ataques internos producidos por los propios empleados es de un 39%.


El informe también menciona que más empresas están optando por tener entre sus filas el rol de CISO o Chief Information Security Officer. Si sumamos los datos enunciados anteriormente, se puede comprender mucho mejor el porque de esta decisión ya que viendo la seguridad de la información como proceso integral que comprende políticas, procesos orientados al riesgo y enfocados al negocio de la empresa, se requiere que la coordinación, planificación, organización y control de la información este en manos de una persona encargada de velar por el cumplimiento de los objetivos de la organización y que este rol tiene que estar en directa comunicación con el Directorio para poder realizar estas tareas.

Este rol que cumple el CISO tiene su actividad principal orientada a garantizar que la información de la organización sea fidedigna y accesible por los miembros de la empresa que tengan que acceder a ella en base a sus objetivos. Para ello, tiene que contar con la posibilidad de implementar las medidas de control que crea conveniente así como coordinar actividades centrado en su misión.

Se pueden detallar las siguientes actividades que estarán bajo el control del CISO de acuerdo a un revelamiento llevado a cabo entre las personas que están ocupando dichos cargos en latinoamerica durante el 1er CISO’s Meeting 2005 y que están ordenadas por orden de criticidad.

  1. concientización de usuarios internos y externos
  2. análisis de riesgos de negocio y tecnológicos
  3. business continuity plan
  4. administración de seguridad
  5. control proactivo
  6. monitoreo y reporting
  7. análisis de normativas y regulaciones
  8. definición de normativas internas
  9. seguridad física de centros de cómputos
  10. análisis de contingencias legales, forensics
  11. capacitación / actualización permanente
  12. gestión de mejoras en procesos
  13. sistema disciplinario junto a rr.hh.
  14. administración del área
  15. análisis de riesgos en nuevas tecnologías
  16. certificar
  17. integración con gestión de ti
  18. interacción con gerentes y usuarios diariamente
  19. justificación del presupuesto
  20. soporte a terceros

Durante mucho tiempo muchas de estas actividades estaban controladas principalmente por el área de sistemas (en el mejor de los casos), contando, en ocasiones, con personal que tuviera conocimientos de seguridad informática.
Las amenazas actuales así como la cantidad de información que se tiene que gestionar ha aumentado tan drásticamente que requiere de una verdadera centralización de las decisiones que garanticen lo mejor posible la protección de la información. Estas decisiones principalmente políticas dentro de la organización no tendrían que estar supeditada a la disponibilidad de un área que tiene múltiples actividades asociadas como es el área de sistemas.

Es importante entender que las actividades del CISO no son técnicas totalmente y tienen que ser comparadas con las actividades que puede desarrollar un CEO (Chief Executive Officer) dentro de la empresa, pero orientada a la información de la misma. Sus conocimientos si tienen que estar al alcance de comprender cuales son las políticas y procesos necesarios para cumplir con sus tareas.

Como antes se menciono, su contacto con el Directorio es algo muy importante a fin de que la comunicación sea directa y que se pueda contar con el apoyo necesario. Este tipo de organización de actores está incluyéndose actualmente como una de las buenas prácticas de seguridad. De esta forma, el Directorio también podrá estar permanentemente informado de los riesgos que se están incurriendo y así aplicar las medidas adecuadas en caso de ser necesario.

El CISO podrá contar, dependiendo de lo que entienda necesario, con un equipo a cargo de hacer cumplir las políticas y/o tercerizar la partes técnicas a empresas teniendo bajo su cargo el cumplimiento de los objetivos que comprendan las implementaciones que se requieran.
Este tipo de relación tiene virtudes muy importantes. Primeramente, la organización contará con una persona que vele por la seguridad de la información y segundo, reducirá sus costos al tercerizar las actividades de implementación al tiempo que podrá elegir los mejores actores para llevarlas a cabo.
Por el lado de la empresa que se haya contratado, esta contara con una persona de contacto que tiene poder de decisión dentro de la organización así como la información necesaria para poder realizar el trabajo en el menor tiempo posible y con los mejores resultados dado que no perderá recursos en tratar de dilucidar cuales son los requerimientos.

Como se vio en la lista de tareas enunciadas anteriormente, otra de las áreas que están a cargo del CISO son las referentes a la seguridad física (control de alarmas de incendio o robo, guardias de seguridad, cámaras, etc) dado que no solo es a través de actividades lógicas que se puede comprometer la seguridad. Para ello podrá contar con herramientas que le permita en todo momento conocer el estado de las distintas dependencias de la organización al tiempo que podrá dirigir las actividades y recursos físicos de seguridad para lograr su objetivo.

A fin de contar con toda la información requerida para cumplir con sus actividades, se puede contar con la implementación de herramientas como los tableros de control, que permitirán tener una visualización general de las actividades y de los incidentes reportados. Para poder mantener esta herramienta, es necesaria una concientización del personal a fin de que los mismos reporten las incidencias de seguridad. Por supuesto, el personal tiene que poder ver el beneficio de este tipo de reportes ya que si no, solo se sentirán controlados lo que originaría problemas internos al tiempo que podría propender a tratar de saltar los controles instituidos.

Se podrá observar que el rol del CISO es de extrema importancia en las decisiones tomadas por el directorio y que su consulta se hace necesaria para poder cumplir con los objetivos de la empresa al tiempo que se protegen sus activos. Siendo que el directorio o la alta gerencia no necesariamente tiene que conocer los aspectos fundamentales de la seguridad física y lógica, el contar con un actor como el CISO, permitirá concentrar sus esfuerzos en las actividades que permitan el crecimiento sin comprometer a la seguridad de la organización por el simple desconocimiento.

Deja un comentario

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

 
A %d blogueros les gusta esto: