Definición
Con la evolución de la tecnología y sus nuevas funcionalidades han aparecido, junto a nuevas vulnerabilidades, nuevas tareas técnicas las cuales hay que trabajar día a día para continuar mejorando. Con esta evolución han aparecido nuevos puestos de trabajo para mejorar el funcionamiento de las empresas. Hoy queremos hablaros de la figura del CISO dentro de una empresa.
Toda empresa que trabaje con una parte IT necesitará la figura del CISO en su organización. Para entender las funciones, su día a día, los problemas y errores que nunca debe cometer; es necesario entender y definir que es un CISO.
Hemos recurrido a la definición de Tech Target la cual dice: el Chief Information Security Officer (CISO) es un ejecutivo de alto nivel responsable de desarrollar e implementar un programa de seguridad de la información, que incluya procedimientos y políticas diseñadas para proteger las comunicaciones, los sistemas y los activos de la empresa de amenazas internas y externas. El CISO también puede trabajar junto con el director de información o CIO para adquirir productos y servicios de ciberseguridad y gestionar la recuperación de desastres y los planes de continuidad del negocio.
Para entender también que poder de decisión tiene un CISO es importante ver el cronograma habitual en una organización. Este variará según la escala de la empresa y sus necesidades. El CISO tiene un papel ejecutivo y trabaja bajo el mando del CSO (Chief Security Officer), a la vez, este informa al CEO (Chief Executive Officer) para tomar decisiones. Todo y la existencia de este cronograma la figura del CISO, en estos últimos años, está cogiendo peso en las decisiones de negocio. Es lógico el camino que está cogiendo viendo la importancia que ha cogido la ciberseguridad dentro de las estrategias de transformación digital.
Funciones
La función principal del CISO debe ser mejorar el sistema de seguridad IT siguiendo, de muy cerca, los pasos de mejora y evolución de la empresa. A la vez, para crecer de manera acorde con la organización, deberá entender los objetivos y las necesidades que tiene la empresa y adaptar la seguridad a esta para que pueda mejorar con seguridad y estabilidad. Con esto se logra obtener un menor riesgo de fuga o ataque. Los cambios o avances vendrán en medida de las posibilidades técnicas, humanas y económicas de la empresa.
Así pues las funciones específicas de un CISO según IEBS són:
- Alinear la estrategia de ciberseguridad con los objetivos de la empresa.
- Definir la normativa de seguridad y procurar que se cumpla.
- Prevenir, detectar y analizar vulnerabilidades.
- Informar y reportar a dirección cualquier cuestión relacionada con la ciberseguridad.
- Dar respuesta rápida ante cualquier incidente de ciberseguridad.
- Formar, concienciar y sensibilizar a la organización en materia de seguridad de la información.
- Establecer e implementar políticas relacionadas con la seguridad de la empresa.
- Garantizar la privacidad de los datos de la empresa.
- Llevar a cabo el descubrimiento electrónico y las investigaciones forenses digitales.
- Supervisar y gestionar la arquitectura, auditorías de seguridad y el control de acceso de información.
A la vez deberá ser capaz de desarrollar y formar a un equipo para el traspaso eficaz de tareas. El tiempo para el CISO es vital, en ciberseguridad cada segundo cuenta, es por eso que un buen traspaso de tareas dará más libertad para poder focalizarse en tareas prioritarias.
Otra función, aunque a veces no es considerada como tal, es la de convencer a la empresa correspondiente de la necesidad de invertir en seguridad de manera continuada. Esta inversión es de tiempo y dinero pero es necesaria para una evolución segura a largo plazo. Son muchos los expertos que piensan que solo existen dos tipos de empresas: ‘las que ya han sido atacadas y lo saben y las que han sido atacadas y no lo saben’. Para los CISOs es un problema la reticencia existente en muchas empresas a invertir en ciberseguridad. Es por eso que los CISOs deben focalizar su atención en la concienciación ya que aún son muchas de estas organizaciones las que empiezan a actuar cuando ya es tarde. Actuar cuando han sufrido un robo, desaparición de datos, detección de actividades sospechosas, salida de documentos confidenciales u otras, ya no sirve, el daño está hecho. Aquí recae la importancia de la concienciación.
También será importante dar a conocer a las empresas que recurrir a la ciberseguridad solo cuando tienen problemas con sus datos o quieren cumplir con lo que la ley marca, no es la solución. Las empresas resuelven el problema y no profundizan en su seguridad para mejorarla.
‘El 66% de los Ciso de todo el globo estima que su organización no está preparada para hacer frente a un ciberataque en la actualidad, un 53% en España’, según el estudio Voice of the Ciso, elaborado por Proofpoint
Tareas de un CISO
Las tareas que debe realizar el CISO son muy extensas e importantes y no puede estar todo el día revisando pequeños detalles y generando reportes. Estas tareas son muy importantes, pero esos procesos pueden ser llevados de manera automatizada o por el equipo. Por eso la importancia de un buen equipo. En ciberseguridad ningún elemento puede pararse y todos son necesarios.
Las tareas diarias fijas que un CISO debería realizar son:
- Reunirse con su equipo. No es necesario que sea una reunión física y ni que sea una reunión larga. Esta reunión es un primer contacto cada mañana para ver qué proyectos están en marcha, se asignan funciones y se asignan las tareas diarias, con sus plazos respectivos.
- Gestionar el correo electrónico. Esta gestión debe ser diaria y, el objetivo, es lograr tener la bandeja de entrada a cero.
- Reconocer el trabajo bien hecho. Es una tarea importante para mantener al equipo motivado y unido para que se sientan reconocidos y valorados.
- Pasar un tiempo trabajando solo. En el día a día de los CISOs no todo deben ser reuniones. También es necesario tiempo en soledad para analizar, pensar, revisar, definir estrategias, etc.
- Estar al día de las relaciones con clientes y proveedores. Aunque no parezca del todo necesario sería importante que, como mínimo, supiera los clientes con los que se está trabajando y sus necesidades. Para así poder crear o empezar proyectos a la escala o a las necesidades de los clientes.
Los CISOs en sus tareas diarias han pasado a pensar en el siguiente paradigma donde ponen en el centro la prevención para pasar a una detección y respuesta diaria.
Errores y problemas
En la posición de CISO cualquier error puede devenir en un desastre para la empresa. Es por eso que se debe estar preparado para cualquier situación, planificando con antelación y actuando adecuadamente.
La gente de CSO España realizó un documento con los ‘Errores clave que pasan factura al CISO’ donde nos muestran los 5 errores más comunes que se deben tener en cuenta. Entre estos encontramos:
- No evitar una filtración de datos. En la era donde la digitalización avanza con pasos agigantados los datos se han convertido en el bien más preciado de cualquier empresa. Será importante protegerlos y ser conscientes de la importancia de estos ya que puede afectar gravemente a la reputación.
- Responsabilizarse de los riesgos y no comunicarlos. Los CISOs que asumen toda la responsabilidad de la empresa respecto a las decisiones arriesgadas ponen su trabajo en peligro. Se debe valorar lo que tolerará y no tolerará la empresa desde el punto de vista de seguridad, riesgo y cumplimiento.
- Incapacidad para conseguir o mantener el cumplimiento. Los CISOs deben ser capaces de cumplir con las leyes regionales y nacionales como el GDPR o el LOPD. Se debe trabajar con todos los departamentos para que ninguno los incumpla.
- Conducta poco profesional. De el CISO y de sus trabajadores. Si este no es capaz de corregir o solucionar un comportamiento inapropiado, como acoso, eso puede provocar que se despida al CISO. Un comportamiento poco profesional también puede ser acciones como un tweet o expresar opiniones cuestionables en una red social.
- Incapacidad para proporcionar fiabilidad y disponibilidad. Cuando hay un problema informático muchas veces se debe parar la empresa, o parte de ella, generando no solo pérdidas económicas sino también temporales y, el tiempo, hoy en día, es dinero. Si un CISO no es capaz de la prevención o, en peor caso, recuperación de las partes dañadas podrían haber problemas.
Otro problema con el que se encuentran los CISOs es con la tendencia del BYOD (Bring Your Own Device). Con este nuevo modus operandi se crean muchas debilidades a causa de que los dispositivos propios se usan de manera simultánea para el trabajo y la vida cotidiana. Los dispositivos se deben proteger y es tarea del CISO concienciar a los empleados y proteger sus dispositivos de trabajo y, en consecuencia, cuidar la empresa. La organización deberá encargarse también de ceder sistemas de protección como antivirus para todos los dispositivos o dar programario directamente protegido.
El Shadow IT, también relacionado con el BYOD, también levanta temor. Shadow IT es todo aquel dispositivo, software o servicio informático, generalmente basado en la nube, que se utiliza en una organización pero que se encuentra fuera de control del departamento de informática de dicha organización o bien se emplea sin su conocimiento o aprobación. El CISO es el encargado de proteger sin dificultar el día a día de los empleados y de ofrecer herramientas que el negocio también apruebe. El uso de herramientas de compartición de terceros como el correo electrónico también da dolores de cabeza ya que, aunque es muy útil para la mensajería, no está dotado de la protección necesaria para las organizaciones.
Según Microsoft el 90% de los ciberataques empiezan con un correo.
El error humano también puede devenir en un proRblema grave dentro de una organización ya sea por la filtración de datos de forma deliberada, hacer clic en enlaces maliciosos (vía correo o web), descargar archivos comprometidos, contraseñas débiles, entre otras. Estas acciones ponen, a diario, en riesgo a las empresas.
Según Director TIC el 68 % de los CISO en España sigue considerando el error humano como la mayor vulnerabilidad en ciberseguridad de su organización.
Recomendaciones para los CISOs
Desde ComputerWorld afirman: las recomendaciones que se pueden hacer a todas y cada una de las empresas es que dediquen una parte del presupuesto anual a cubrir las necesidades de ciberseguridad de la empresa, que conciencien a todo el personal de los riesgos asociados y los formen de forma periódica en estos temas, que tengan y/o diseñen Planes Directores de Seguridad y que tengan personal propio o subcontratado cualificado para materias de ciberseguridad al cual poder consultar / recurrir en caso de necesidad.
Según una encuesta realizada por la consultora Ernst and Young, el 87% de las organizaciones que participaron dijeron que no contaban con presupuesto suficiente para alcanzar los niveles de ciberseguridad y resiliencia que buscaban. La falta de recursos significa que las empresas no pueden contratar suficientes talentos en ciberseguridad o que no pueden implementar las medidas técnicas que necesitan para contrarrestar los ataques.
Cada vez son más los CISOs que apuestan por la contratación de un ciberseguro. Estos sirven para una protección ‘after attack’. Ayudan a las organizaciones, no solo con una remuneración económica, sino, en caso de robo o extorsión, en la negociación.
Byte It nos da 4 recomendaciones para los CISOs:
1. Dar prioridad al riesgo.
2. Planificar las herramientas de ciberseguridad.
3. Afianzar los puntos básicos.
4. Obtener herramientas y capacidades a la escala adecuada.
La recomendación de Alex Manea (BlackBerry) es: «Mi consejo a los CIO y CISO es que piensen como un hacker»
Ya son muchos los CISOs que apuestan por herramientas externas para aumentar la protección de su empresa.
Tranxfer es la herramienta preferida de los CISOs para luchar contra el Shadow IT y reforzar su plan de director de seguridad para el intercambio de archivos, evitando sanciones por GDPR y fugas de información a través de herramientas qcloud:
- Envía y recibe archivos de forma segura
- Elige tus preferencias de envío y
- Visualización
- Previene la entrada y salida de Malware
- Controla la fuga de información
- Encriptación End to End
Más de 1 millón de usuarios licenciados
Más de 5 millones de receptores
Contáctanos para más información: [email protected]
O a través de nuestras redes sociales:
Fuentes:
https://cso.computerworld.es/alertas/errores-clave-que-pasan-factura-al-ciso
https://cso.computerworld.es/pubs/cso21/index.html?page=40
https://red.computerworld.es/actualidad/que-hace-un-ciso-en-su-dia-a-dia
https://cso.computerworld.es/tendencias/el-ciso-cada-vez-mas-presente-en-las-decisiones-de-negocio
https://searchdatacenter.techtarget.com/es/definicion/CISO-director-de-seguridad-de-la-informacion
https://www.audea.com/la-figura-del-ciso-funciones-e-importancia/
https://arandasoft.com/tareas-que-un-cio-debe-cumplir-todos-los-dias/