Tranxfer
Tranxfer

CISO: Concienciación, Seguridad y Análisis

Compartir post

Definición

Con la evolución de la tecnología y sus nuevas funcionalidades han aparecido, junto a nuevas vulnerabilidades, nuevas tareas técnicas las cuales hay que trabajar día a día para continuar mejorando. Con esta evolución han aparecido nuevos puestos de trabajo para mejorar el funcionamiento de las empresas. Hoy queremos hablaros de la figura del CISO dentro de una empresa.

Toda empresa que trabaje con una parte IT necesitará la figura del CISO en su organización. Para entender las funciones, su día a día, los problemas y errores que nunca debe cometer; es necesario entender y definir que es un CISO. 

Hemos recurrido a la definición de Tech Target la cual dice: el Chief Information Security Officer (CISO) es un ejecutivo de alto nivel responsable de desarrollar e implementar un programa de seguridad de la información, que incluya procedimientos y políticas diseñadas para proteger las comunicaciones, los sistemas y los activos de la empresa de amenazas internas y externas. El CISO también puede trabajar junto con el director de información o CIO para adquirir productos y servicios de ciberseguridad y gestionar la recuperación de desastres y los planes de continuidad del negocio.

Para entender también que poder de decisión tiene un CISO es importante ver el cronograma habitual en una organización. Este variará según la escala de la empresa y sus necesidades. El CISO tiene un papel ejecutivo y trabaja bajo el mando del CSO (Chief Security Officer), a la vez, este informa al CEO (Chief Executive Officer) para tomar decisiones. Todo y la existencia de este cronograma la figura del CISO, en estos últimos años, está cogiendo peso en las decisiones de negocio. Es lógico el camino que está cogiendo viendo la importancia que ha cogido la ciberseguridad dentro de las estrategias de transformación digital.

Funciones

La función principal del CISO debe ser mejorar el sistema de seguridad IT siguiendo, de muy cerca, los pasos de mejora y evolución de la empresa. A la vez, para crecer de manera acorde con la organización, deberá entender los objetivos y las necesidades que tiene la empresa y adaptar la seguridad a esta para que pueda mejorar con seguridad y estabilidad. Con esto se logra obtener un menor riesgo de fuga o ataque. Los cambios o avances vendrán en medida de las posibilidades técnicas, humanas y económicas de la empresa.

 

Así pues las funciones específicas de un CISO según IEBS són: 

  • Alinear la estrategia de ciberseguridad con los objetivos de la empresa.
  • Definir la normativa de seguridad y procurar que se cumpla. 
  • Prevenir, detectar y analizar vulnerabilidades.
  • Informar y reportar a dirección cualquier cuestión relacionada con la ciberseguridad.
  • Dar respuesta rápida ante cualquier incidente de ciberseguridad.
  • Formar, concienciar y sensibilizar a la organización en materia de seguridad de la información.
  • Establecer e implementar políticas relacionadas con la seguridad de la empresa.
  • Garantizar la privacidad de los datos de la empresa.
  • Llevar a cabo el descubrimiento electrónico y las investigaciones forenses digitales. 
  • Supervisar y gestionar la arquitectura, auditorías de seguridad y el control de acceso de información.

 

A la vez deberá ser capaz de desarrollar y formar a un equipo para el traspaso eficaz de tareas. El tiempo para el CISO es vital, en ciberseguridad cada segundo cuenta, es por eso que un buen traspaso de tareas dará más libertad para poder focalizarse en tareas prioritarias.

 

Otra función, aunque a veces no es considerada como tal, es la de convencer a la empresa correspondiente de la necesidad de invertir en seguridad de manera continuada. Esta inversión es de tiempo y dinero pero es necesaria para una evolución segura a largo plazo. Son muchos los expertos que piensan que solo existen dos tipos de empresas: ‘las que ya han sido atacadas y lo saben y las que han sido atacadas y no lo saben’. Para los CISOs es un problema la reticencia existente en muchas empresas a invertir en ciberseguridad. Es por eso que los CISOs deben focalizar su atención en la concienciación ya que aún son muchas de estas organizaciones las que empiezan a actuar cuando ya es tarde. Actuar cuando han sufrido un robo, desaparición de datos, detección de actividades sospechosas, salida de documentos confidenciales u otras, ya no sirve, el daño está hecho. Aquí recae la importancia de la concienciación.

 

También será importante dar a conocer a las empresas que recurrir a la ciberseguridad solo cuando tienen problemas con sus datos o quieren cumplir con lo que la ley marca, no es la solución. Las empresas resuelven el problema y no profundizan en su seguridad para mejorarla.

‘El 66% de los Ciso de todo el globo estima que su organización no está preparada para hacer frente a un ciberataque en la actualidad, un 53% en España’, según el estudio Voice of the Ciso, elaborado por Proofpoint

Tareas de un CISO

Las tareas que debe realizar el CISO son muy extensas e importantes y no puede estar todo el día revisando pequeños detalles y generando reportes. Estas tareas son muy importantes, pero esos procesos pueden ser llevados de manera automatizada o por el equipo. Por eso la importancia de un buen equipo. En ciberseguridad ningún elemento puede pararse y todos son necesarios.

 

Las tareas diarias fijas que un CISO debería realizar son: 

  • Reunirse con su equipo. No es necesario que sea una reunión física y ni que sea una reunión larga. Esta reunión es un primer contacto cada mañana para ver qué proyectos están en marcha, se asignan funciones y se asignan las tareas diarias, con sus plazos respectivos.
  • Gestionar el correo electrónico. Esta gestión debe ser diaria y, el objetivo, es lograr tener la bandeja de entrada a cero.  
  • Reconocer el trabajo bien hecho. Es una tarea importante para mantener al equipo motivado y unido para que se sientan reconocidos y valorados.
  • Pasar un tiempo trabajando solo. En el día a día de los CISOs no todo deben ser reuniones. También es necesario tiempo en soledad para analizar, pensar, revisar, definir estrategias, etc.
  • Estar al día de las relaciones con clientes y proveedores. Aunque no parezca del todo necesario sería importante que, como mínimo, supiera los clientes con los que se está trabajando y sus necesidades. Para así poder crear o empezar proyectos a la escala o a las necesidades de los clientes.

 

Los CISOs en sus tareas diarias han pasado a pensar en el siguiente paradigma donde ponen en el centro la prevención para pasar a una detección y respuesta diaria

Errores y problemas 

En la posición de CISO cualquier error puede devenir en un desastre para la empresa. Es por eso que se debe estar preparado para cualquier situación, planificando con antelación y actuando adecuadamente. 

 

La gente de CSO España realizó un documento con los ‘Errores clave que pasan factura al CISO’ donde nos muestran los 5 errores más comunes que se deben tener en cuenta. Entre estos encontramos:

  • No evitar una filtración de datos. En la era donde la digitalización avanza con pasos agigantados los datos se han convertido en el bien más preciado de cualquier empresa. Será importante protegerlos y ser conscientes de la importancia de estos ya que puede afectar gravemente a la reputación.


  • Responsabilizarse de los riesgos y no comunicarlos. Los CISOs que asumen toda la responsabilidad de la empresa respecto a las decisiones arriesgadas ponen su trabajo en peligro. Se debe valorar lo que tolerará y no tolerará la empresa desde el punto de vista de seguridad, riesgo y cumplimiento.


  • Incapacidad para conseguir o mantener el cumplimiento. Los CISOs deben ser capaces de cumplir con las leyes regionales y nacionales como el GDPR o el LOPD. Se debe trabajar con todos los departamentos para que ninguno los incumpla.


  • Conducta poco profesional. De el CISO y de sus trabajadores. Si este no es capaz de corregir o solucionar un comportamiento inapropiado, como acoso, eso puede provocar que se despida al CISO. Un comportamiento poco profesional también puede ser acciones como un tweet o expresar opiniones cuestionables en una red social.


  • Incapacidad para proporcionar fiabilidad y disponibilidad. Cuando hay un problema informático muchas veces se debe parar la empresa, o parte de ella, generando no solo pérdidas económicas sino también temporales y, el tiempo, hoy en día, es dinero. Si un CISO no es capaz de la prevención o, en peor caso, recuperación de las partes dañadas podrían haber problemas.

 

Otro problema con el que se encuentran los CISOs es con la tendencia del BYOD (Bring Your Own Device). Con este nuevo modus operandi se crean muchas debilidades a causa de que los dispositivos propios se usan de manera simultánea para el trabajo y la vida cotidiana. Los dispositivos se deben proteger y es tarea del CISO concienciar a los empleados y proteger sus dispositivos de trabajo y, en consecuencia, cuidar la empresa. La organización deberá encargarse también de ceder sistemas de protección como antivirus para todos los dispositivos o dar programario directamente protegido.

 

El Shadow IT, también relacionado con el BYOD, también levanta temor. Shadow IT es todo aquel dispositivo, software o servicio informático, generalmente basado en la nube, que se utiliza en una organización pero que se encuentra fuera de control del departamento de informática de dicha organización o bien se emplea sin su conocimiento o aprobación. El CISO es el encargado de proteger sin dificultar el día a día de los empleados y de ofrecer herramientas que el negocio también apruebe. El uso de herramientas de compartición de terceros como el correo electrónico también da dolores de cabeza ya que, aunque es muy útil para la mensajería, no está dotado de la protección necesaria para las organizaciones. 

Según Microsoft el 90% de los ciberataques empiezan con un correo.

 

El error humano también puede devenir en un proRblema grave dentro de una organización ya sea por la filtración de datos de forma deliberada, hacer clic en enlaces maliciosos (vía correo o web), descargar archivos comprometidos, contraseñas débiles, entre otras. Estas acciones ponen, a diario, en riesgo a las empresas.

Según Director TIC el 68 % de los CISO en España sigue considerando el error humano como la mayor vulnerabilidad en ciberseguridad de su organización.

Recomendaciones para los CISOs

Desde ComputerWorld afirman: las recomendaciones que se pueden hacer a todas y cada una de las empresas es que dediquen una parte del presupuesto anual a cubrir las necesidades de ciberseguridad de la empresa, que conciencien a todo el personal de los riesgos asociados y los formen de forma periódica en estos temas, que tengan y/o diseñen Planes Directores de Seguridad y que tengan personal propio o subcontratado cualificado para materias de ciberseguridad al cual poder consultar / recurrir en caso de necesidad.

Según una encuesta realizada por la consultora Ernst and Young, el 87% de las organizaciones que participaron dijeron que no contaban con presupuesto suficiente para alcanzar los niveles de ciberseguridad y resiliencia que buscaban. La falta de recursos significa que las empresas no pueden contratar suficientes talentos en ciberseguridad o que no pueden implementar las medidas técnicas que necesitan para contrarrestar los ataques.

 

Cada vez son más los CISOs que apuestan por la contratación de un ciberseguro. Estos sirven para una protección ‘after attack’. Ayudan a las organizaciones, no solo con una remuneración económica, sino, en caso de robo o extorsión, en la negociación.

 

Byte It nos da 4 recomendaciones para los CISOs:

     1. Dar prioridad al riesgo.

     2. Planificar las herramientas de ciberseguridad.

     3. Afianzar los puntos básicos.

     4. Obtener herramientas y capacidades a la escala adecuada.

 

La recomendación de Alex Manea (BlackBerry) es: «Mi consejo a los CIO y CISO es que piensen como un hacker» 

 

Ya son muchos los CISOs que apuestan por herramientas externas para aumentar la protección de su empresa. 

 

Tranxfer es la herramienta preferida de los CISOs para luchar contra el Shadow IT y reforzar su plan de director de seguridad para el intercambio de archivos, evitando sanciones por GDPR y fugas de información a través de herramientas qcloud:

  • Envía y recibe archivos de forma segura 
  • Elige tus preferencias de envío y 
  • Visualización 
  • Previene la entrada y salida de Malware 
  • Controla la fuga de información 
  • Encriptación End to End

Más de 1 millón de usuarios licenciados

Más de 5 millones de receptores 

Contáctanos para más información: [email protected]

O a través de nuestras redes sociales:

Linkedin Logo | LOGOS de MARCASLinkedin y Twitter  Twitter Logo - PNG y Vector

 

Fuentes:

https://cso.computerworld.es/alertas/errores-clave-que-pasan-factura-al-ciso

https://cso.computerworld.es/pubs/cso21/index.html?page=40

https://red.computerworld.es/actualidad/que-hace-un-ciso-en-su-dia-a-dia 

https://cso.computerworld.es/tendencias/el-ciso-cada-vez-mas-presente-en-las-decisiones-de-negocio 

https://cso.computerworld.es/actualidad/alex-manea-blackberry-mi-consejo-a-los-cio-y-ciso-es-que-piensen-como-un-hacker

https://searchdatacenter.techtarget.com/es/definicion/CISO-director-de-seguridad-de-la-informacion 

https://www.audea.com/la-figura-del-ciso-funciones-e-importancia/ 

https://directortic.es/noticias/la-mitad-de-los-cisos-espanoles-cree-que-su-empresa-no-esta-preparada-frente-a-un-ciberataque-2021051728168.htm 

https://arandasoft.com/tareas-que-un-cio-debe-cumplir-todos-los-dias/

 

Más artículos

Patrocinador del 18Enise

Tranxfer, patrocinador del 18ENISE

Tranxfer, patrocinador del 18ENISE, el evento de ciberseguridad organizado por el Instituto Nacional de Ciberseguridad Los próximos 21, 22 y 23 de octubre llega la decimoctava edición del ENISE, el principal encuentro anual que organiza el Instituto Nacional de Ciberseguridad. En su ya largo recorrido de ediciones, se ha convertido en una cita ineludible en la agenda de la ciberseguridad nacional e internacional, siendo año tras año el punto de encuentro para la industria de un sector en constante crecimiento. Cada vez con más presencia internacional, este encuentro es la oportunidad perfecta para el debate e intercambio de ideas y conocimientos sobre la innovación, el emprendimiento, la internacionalización y las últimas tendencias del sector. El evento cuenta con más de 70 expositores, y podéis asistir de  forma gratuita haciendo el registro aquí. En Tranxfer, siendo conscientes de la importancia de esta nueva cita con la ciberseguridad. Este año tampoco hemos querido perder la oportunidad de ser partícipes, y poder dar a conocer nuestras nuevas soluciones a todos los asistentes. En la zona de exposición, contamos con un stand físico en el cual podéis pasar a saludarnos y os resolveremos cualquier duda que tengáis. Puedes reservar tu cita accediendo al calendario.   18Enise: El Evento Y si te interesa  estar al día de todas las novedades en transferencia segura de archivos, no puedes perderte la sesión. “Tranxfer: Transferencia segura de archivos con externos” impartida por Rosalía Río de Vega y Marco Pérez, especialistas en soluciones de transferencia segura de archivos. Este espacio está diseñado especialmente para organizaciones que buscan fortalecer la seguridad en sus transferencias con colaboradores externos y, en general, para todos aquellos interesados en las innovaciones más recientes en ciberseguridad. No dejes pasar esta oportunidad de mejorar tus procesos y mantenerte a la vanguardia en la protección de datos. Os esperamos en el stand 138 del 22 al 23 de octubre. Anota también en tu agenda el día a las 17:00h. para no perderte nada de la sesión a cargo del equipo de expertos de Tranxfer. Podéis consultar toda la información en la página web del congreso

Read More »
Mtics Colombia

Somos Sponsors del Mtics Cybersecurity Bank & Government en Colombia

Nos complace anunciar nuestra segunda participación como patrocinadores destacados en el evento ‘Cybersecurity Bank & Government’ que se llevará a cabo en Bogotá, Colombia. Este importante encuentro tendrá lugar el 19 de septiembre en el Hotel Marriott Bogotá y es organizado por Mtics Producciones. En esta ocasión, nuestra directora comercial, Eli Bernal, presentará una charla a las 12:50 h titulada ‘Tranxfer: Banking MFT Security as a Service, Desafíos y retos normativos en el tratamiento de la información‘. Invitamos a todos los líderes del sector a acompañarnos para explorar juntos las últimas tendencias, desafíos y regulaciones relacionadas con la seguridad en el manejo de la información. Este evento, que celebra su 12ª edición, se ha convertido en una cita ineludible para innovadores, tecnólogos y líderes empresariales en el ámbito de la Ciberseguridad para Bancos y Gobiernos en América Latina, Centroamérica y el Caribe. Su principal objetivo es fortalecer la protección de redes y activos en un entorno digital que es cada vez más complejo y desafiante. Detalles del evento La edición de este año del Mtics Cybersecurity Bank & Government se realizará el 19 de septiembre en el Hotel Marriott Bogotá, un lugar que ha albergado a más de 30,000 participantes a lo largo de las ediciones anteriores, consolidándose como el evento de ciberseguridad más destacado en la región. Entendemos la importancia de este evento, que reúne a los actores más influyentes del sector, y por eso estamos emocionados de ser parte de él, compartiendo nuestras soluciones de Tranxfer con todos los asistentes. Como patrocinadores, tendremos la oportunidad de ofrecer una presentación sobre los desafíos normativos en el tratamiento de la información. Eli Bernal explicará las nuevas regulaciones que afectan al sector y cómo las empresas pueden adaptarse para cumplir con ellas. Regístrate y ven a conocernos Si te interesa el mundo de la ciberseguridad, te invitamos a inscribirte y asistir presencialmente al Cybersecurity Bank & Government en Bogotá. Si no puedes estar presente, también habrá una plataforma virtual que te permitirá seguir el evento a distancia. A través de esta plataforma podrás acceder a todas las charlas y actividades. Encuentra toda la información en la página web del congreso. ¡No te lo pierdas!

Read More »
Marketplace de Microsoft

Tranxfer ya disponible en el marketplace de Azure

La integración de Tranxfer en el Marketplace de Azure marca un hito significativo para nuestra empresa. Este logro no solo destaca la robustez y la calidad de los productos de Tranxfer, sino que también abre nuevas oportunidades para las organizaciones que buscan soluciones eficientes y seguras. La inclusión de Tranxfer en Azure Marketplace facilita la adquisición de sus soluciones, proporcionando un acceso más sencillo y directo a las herramientas que necesitan las empresas para proteger y gestionar su información. Además, también somos “elegible” para Co-sell y MACC (Microsoft Azure Consumption Commitment), nuestros productos pueden ser adquiridos utilizando los fondos de los contratos MACC, lo que añade una capa adicional de conveniencia para los clientes de Azure. Certificación y Validación de Tranxfer por Microsoft Hemos pasado por un riguroso proceso de certificación y validación por parte del equipo de Microsoft. Este proceso asegura que todos los productos cumplan con los altosaestándares de seguridad, compatibilidad y rendimiento establecidos por Microsoft. El proceso de certificación, involucra múltiples fases de pruebas y evaluaciones técnicas para garantizar que las soluciones no solo funcionen correctamente en la plataforma Azure, sino que también cumplan con las expectativas esperadas de los clientes..  Esta validación también refuerza la confianza en que Tranxfer puede manejar las demandas y los desafíos de un entorno empresarial moderno y dinámico. Beneficios de Tener Tranxfer en Azure Marketplace La disponibilidad de Tranxfer en Azure Marketplace ofrece múltiples beneficios tanto para la empresa como para sus usuarios. En primer lugar, facilita el proceso de adquisición. Los usuarios pueden buscar y comprar los productos directamente desde el Marketplace, eliminando los procesos de compra más tediosos o intermediarios. Además, esta integración asegura que las soluciones de Tranxfer sean compatibles con una amplia gama de servicios y aplicaciones de Azure. Esto permite a las organizaciones construir entornos más cohesivos y eficientes, utilizando el canal seguro de Tranxfer para mejorar la seguridad y la gestión de la información. Finalmente, la elegibilidad para Co-sell y MACC significa que las organizaciones pueden utilizar sus compromisos de consumo de Azure para adquirir los productos de Tranxfer, lo que resulta en una mayor flexibilidad en la gestión de presupuestos. Elegibilidad Co-Sell y MACC de Tranxfer El hecho de ser Co-sell y MACC en Azure Marketplace añade una capa adicional de valor para los clientes. “Co-sell Elegible” se refiere a la capacidad de vender conjuntamente con Microsoft, lo que significa que las soluciones de Tranxfer son promovidas y vendidas en colaboración con el equipo de ventas de Microsoft. Esto no solo aumenta la visibilidad y la credibilidad de los productos, sino que también facilita el acceso a una base de clientes mucho más amplia. Por otro lado, “MACC Elegible” (Microsoft Azure Consumption Commitment) permite a las organizaciones utilizar los fondos comprometidos en sus contratos de consumo de Azure para adquirir los productos de Tranxfer. Este beneficio es particularmente valioso para las empresas que ya tienen compromisos significativos con Azure, ya que pueden optimizar su inversión y utilizar sus fondos de manera más estratégica, y así usar las ventajas de cobro que ofrece Microsoft. Conclusión: Ventajas Competitivas de Tranxfer en Azure Marketplace En conclusión, la inclusión de Tranxfer en el Marketplace de Azure ofrece numerosas ventajas competitivas. La certificación y validación por parte de Microsoft garantizan la calidad y fiabilidad de los productos con los estándares de Microsoft, mientras que la facilidad de adquisición y la elegibilidad para Cosell y MACC mejoran significativamente la experiencia de contratación, al poder consumirse usando los fondos ya reservados para consumo en Azure. Estas ventajas aseguran que las organizaciones puedan aprovechar al máximo sus inversiones en tecnología.

Read More »