ESC

Escribe para buscar entre todos los artículos

Volver al archivo
· 4 min de lectura

CISO Hashtag del 2018

Reflexión sobre lo que significa ser un CISO en 2018, las expectativas versus la realidad del rol, y las certificaciones clave para convertirse en uno.

Pareciese ser que al año 2018 es una loca carrera por validar los conocimientos de seguridad de la información, puesto que es el tema que se ha posicionado más rápido en los medios. Todos vimos y ya no queremos seguir viendo y escuchando en las conferencias ITSEC sobre WannaCry. Has been enough!

  • Es tan atractivo el tema que hasta la Ingeniería en Ciberseguridad vio la luz.
  • Como país, recientemente en mayo del presente año lanzamos la “Política de Ciberseguridad” a través de una consulta pública donde más de 150 expertos contribuyeron a materializarla.

Pero la seguridad de la información no es un tema nuevo; desde el origen de la tecnología han existido personas intentando proteger y otras atacar. Es parte de la naturaleza misma del ser humano.

¿Por qué quieres ser un CISO?

Hoy, donde la palabra “ciber” es altamente atractiva, toma un especial interés, pero también desde un punto de vista holístico la seguridad de la información en general no ha tenido mucha importancia, sobre todo en Chile, salvo cuando “pasa algo”. Siempre son medidas reactivas para parchear algo que “se ha echado a perder”, los presupuestos siempre son escasos y la defensa de las inversiones debe ser sublime para lograr aprobación.

Hoy rápidamente muchos perfiles se han posicionado en dicha dirección. Me gustaría dar un pequeño vistazo, con base en mi experiencia, a lo que significa ser un CISO fuera de las expectativas por querer ser uno, para que quienes deseen tomar dicha dirección sepan qué realmente hacemos los CISO.

La seguridad de la información no es una carrera con un final: tiene un inicio conociendo el estado actual y no tiene término, solo mejora continua en el tiempo.

Un CISO (Chief Information Security Officer) es el oficial de seguridad de la información de una organización, quien como deber principal debe alinear la estrategia de seguridad con el negocio o core de lo que se dedica la organización.

Un CISO debe velar porque se cree una estrategia de seguridad, se gestionen los riesgos de seguridad de la información, crear un plan director de seguridad, políticas de seguridad de la información, procedimientos de seguridad informática y que también administren esas políticas, información, activos asociados con ellas, y creen programas de planes de concientización que tengan real impacto en la organización.

¿Cuál es el perfil de un CISO?

No hay un camino corto o rápido para convertirse en un CISO en una organización pública o privada.

Muchos profesionales comienzan desde la seguridad informática y se abren camino mejorando sus habilidades de gestión.

Desde la formación de pre y posgrado que le permite obtener los conocimientos técnicos necesarios.

El perfil apropiado parece ser 50 % técnico —al menos conozca términos como “APT”, “defensa en profundidad”, “IPS/IDS”—. Eso significa que el individuo comprende el tema de la seguridad informática, y personalmente creo que el otro 50 % es liderazgo y gestión de personas, ya que la conversación generalmente es orientada a la alta gerencia o niveles directivos.

Un CISO debe conocer las partes técnicas porque debe poder hablar sin problemas con los administradores y analistas de seguridad, así como con los gerentes de la organización. En lenguaje técnico y lenguaje gerencial, su comunicación debe ser clara y efectiva dependiendo de cada caso.

Considerando y comprendiendo cuán rápido avanza la tecnología en la era de la información, la computación en la nube, las ciudades inteligentes, Internet de las Cosas, la Industria 4.0 y, desde el otro punto de vista, el malware como servicio, es imperativo que las organizaciones tomen medidas para ser precisas y claras en la búsqueda de cuidar mejor los activos de información. En casos recientes hemos visto comprometida la información de los ciudadanos.

La seguridad de la información parte de convencer a la alta dirección sobre la importancia de una protección efectiva de los activos de información, en un lenguaje claro y preciso, en el lenguaje comercial.

Sin el apoyo del negocio, cualquier política será insuficiente. No olvidemos que quienes son responsables de cumplir con las políticas son las personas, y si no tienen el mandato o la motivación para hacerlo, francamente no inicien una campaña de sensibilización para alcanzarlo.

Finalmente, ser un CISO no es una tarea simple. Es una que requiere un esfuerzo constante y una dedicación a los estudios, así como la certificación en las mejores prácticas del mercado. Siempre hay que estar pendiente de las amenazas, ya que estas nunca descansan.

¿Qué certificaciones sirven para convertirse en CISO?

En primer lugar, CISM de ISACA: es por excelencia la certificación líder del mercado que prepara a los profesionales en ámbitos de la gerencia de la seguridad de la información.

En segundo lugar, C|CISO: profesionales expertos en administración de la seguridad de la información, pero no cuentan con la popularidad y difusión aún en nuestro país.

En tercer lugar, CISSP: siempre he tenido gran admiración por quienes poseen dicha certificación, puesto que al conocer los dominios y los contenidos —que pasan por gestión hasta criptografía— es un nivel muy completo orientado al ámbito de profesional experto en seguridad de la información.

PALABRAS CLAVE: CISM, CISSP, C|CISO, Seguridad de la Información, Seguridad Informática, ISO 27001:2013, Oficial de Seguridad, Mejores Prácticas

SV
Autor

Sebastián Vargas

CISO & Fundador de TTPSEC SpA. Más de 15 años en ciberseguridad, governance, riesgo y compliance. Escribiendo sobre seguridad de la información desde 2018.

LinkedIn Medium

¿Te sirve el contenido?

Recomendarme en LinkedIn
Volver al archivo