Opiniones | Opinions | Editoriales | Editorials

¿Qué atributos son necesarios para tener éxito en el rol del CISO?

 
Picture of System Administrator
¿Qué atributos son necesarios para tener éxito en el rol del CISO?
by System Administrator - Saturday, 4 October 2014, 9:48 PM
Colaboradores y Partners

¿Qué atributos son necesarios para tener éxito en el rol del CISO?

por Joseph Granneman

El papel del director de seguridad de la información (CISO) es relativamente una nueva adición al equipo ejecutivo en la mayoría de las empresas y no es aún completamente comprendido. La mayoría de los ejecutivos entiende la necesidad de la seguridad de la información, pero siguen sin ser conscientes de las tareas operativas llevadas a cabo por el CISO para construir un entorno seguro. Esta no es una situación nueva para los ejecutivos de tecnología; el papel director de información (CIO) también tomó tiempo para ser entendido por otros ejecutivos. El CIO, sin embargo, tenía la ventaja de proporcionar las capacidades tangibles que vienen con la adopción de tecnologías de la información. El propósito de un CISO –mitigar el riesgo– es mucho más abstracto, por lo que es más difícil de entender.

Para otros ejecutivos, el CISO puede ser visto como alguien que pide gente y recursos financieros para evitar eventos técnicos y, posiblemente, incomprensibles. La percepción del papel del CISO cambiará a medida que la importancia de la seguridad de la información se vuelva más fácilmente apreciada entre los ejecutivos y el rol siga madurando. Mientras tanto, los CISO puede encontrarse con recursos limitados y sin una línea directa de autoridad sobre aquellos en la empresa que pueden afectar a los programas seguridad de la información.

Entonces, ¿cómo puede un CISO navegar en este campo minado político para construir un programa exitoso? En este consejo, vamos a discutir el conjunto específico de habilidades y circunstancias necesarias para tener éxito en el papel de CISO.

Ganar influencia con otros ejecutivos

En primer lugar, cualquier CISO que planee tener éxito tiene que ganar el apoyo de un ejecutivo o del equipo ejecutivo. Este apoyo solo se puede ganar mediante la construcción de relaciones con cada miembro del equipo ejecutivo y el establecimiento de su experiencia, tanto en asuntos de negocios como en seguridad de la información. El mayor activo de un CISO en la construcción de estas relaciones será escuchar las necesidades del ejecutivo y asociarlas con objetivos de seguridad de la información. Este paso es fundamental para el desarrollo de la autoridad necesaria para influir en los empleados en otras áreas. La autoridad no puede ser utilizada por sí misma para hacer el cambio, y el uso excesivo o el mal uso de la autoridad puede dañar la credibilidad de un CISO de manera irreparable.

Un CISO que gana la autoridad para hacer cambios luego tiene que saber cómo explicar estos cambios a otros empleados. Es poco probable que los usuarios típicos de la empresa tengan conocimientos técnicos, por lo que los ejecutivos de seguridad deben explicar cómo la seguridad de información afecta al negocio y, como consecuencia, a cada empleado. Tales actividades de extensión construyen la credibilidad del CISO y le ayudan a cerrar la brecha de conocimiento de seguridad de TI frente a los usuarios. Otro efecto secundario maravilloso es que el CISO escuchará de primera mano lo que es importante para el negocioy puede ajustar la estrategia de seguridad de la información en consecuencia.

Alcance del CISO

Cumplida la tarea de ganar autoridad, el CISO debe comenzar a enganchar al negocio activamente en las decisiones de seguridad informática. Esto se puede lograr mediante la creación de un órgano de gobierno con el fin de proporcionar retroalimentación sobre temas de actualidad y de actuar como caja de resonancia para posibles correcciones. El grupo de gobierno debe incluir a representantes de las áreas de recursos humanos, legal, técnica y de negocio de la compañía. Esto les permite tener la propiedad en cualquier decisión de seguridad de información que sea hecha y también sirve como una plataforma para la educación.

"El propósito del CISO –mitigar el riesgo– es mucho más abstracto, haciéndolo más difícil de comprender."

Por último, mientras los CISO obviamente necesitan tener visión para los negocios para tener éxito con los ejecutivos no técnicos y los usuarios, los ejecutivos de seguridad con solo habilidades de negocios tendrán problemas para convencer al equipo técnico de seguir su ejemplo. Los profesionales de TI pueden ser un grupo cínico y criticarán cualquier idea que venga de los tomadores de decisiones mal informados. Un CISO debe ser capaz de hablar y escuchar a un nivel técnico, lo que obtendrá la aceptación de los equipos técnicos.

Vender seguridad de la información

Si piensa que todas estas sugerencias suenan como si vinieran de un libro sobre el arte de vender, no está lejos de la verdad. Estas son simplemente formas de influenciar personas y venderles la importancia de la seguridad de la información, pero son fácilmente aplicables a cualquier otro campo con los ajustes correctos. En esencia, los CISO deben centrarse en la identificación de sus clientes objetivo (en este caso, otros ejecutivos y usuarios) y venderles ideas en su propio idioma.

El papel del CISO continuará madurando y logrará más aceptación con el tiempo, al igual que el rol del CIO lo ha hecho en años anteriores. Hasta entonces, los CISO deben pasar mucho tiempo educando a las empresas sobre el valor de la seguridad. Los CISO deben usar una variedad de técnicas para llegar a su público y ganar influencia. Solo entonces un CISO obtendrá acceso a los recursos fuera de su ámbito de control para construir un programa exitoso de seguridad de la información.

Acerca del autor: Joseph Granneman es experto residente de SearchSecurity.com sobre la gestión de seguridad de la información. Cuenta con más de 20 años de experiencia en tecnología, centrado principalmente en tecnología de la información en salud. Él es un activo autor independiente y presentador en los campos de tecnología de información de salud y seguridad de la información. Es frecuentemente consultado por los medios de comunicación y entrevistado sobre diversos temas de tecnología de información de salud y seguridad. Se ha centrado en cumplimiento y seguridad de la información en entornos de nube en la última década, con muchas implementaciones diferentes en la industria médica y de servicios financieros.

Link: http://searchdatacenter.techtarget.com

 

 

1014 words