Los oficiales de seguridad de la información son una especie relativamente rara. La seguridad de la información es, después de todo, una adición bastante reciente o un subconjunto de TI; y aunque la mayoría de las grandes organizaciones ahora alegan tener un CISO, CSO o jefe de seguridad de la información, muchos aún no lo hacen. De hecho, a menudo pasa que una empresa nombra su primer CISO luego de una violación de datos -como Target hizo en el 2014, o Sony en el 2011.
Sin embargo, conseguir un CISO, y uno bueno, no es sencillo.
Está bien documentado que el panorama de InfoSec tiene una gran brecha de habilidades, con Cisco, el cuerpo de entrenamiento ISC2 y otras autoridades, que calculan una escasez de 1.5 a dos millones de personas, e ISACA, que habla de una “generación desaparecida” de personal de seguridad.
Esta escasez -aunque cuestionada por algunos, incluyendo el Departamento de Seguridad Nacional- se siente con mayor intensidad con los analistas de redes y, cada vez más, con los científicos de datos; pero también afecta a las empresas a nivel de CISO.
Para empezar, hay elecciones limitadas. Los mejores CISOs son caros, elegidos por los competidores o constantemente perseguidos por reclutadores que buscan comisiones; mientras que los malos rebotan de un trabajo a otro sin falta de recomendaciones de “contentos de deshacerse de ti”.
Todo esto crea un panorama quizás más desprovisto de talento de CISOs de lo que los medios de comunicación hacen parecer. De hecho, según el Informe Anual de Seguridad 2015 de Cisco, mientras que el 91% de las empresas cuentan con un ejecutivo directamente responsable de la seguridad, solo el 29% de ellas tienen un CISO. Como era de esperar, las empresas con un CISO en su lugar registraron los niveles más altos de confianza en su postura de seguridad.
Entonces, ¿qué debe hacer si no tiene un CISO? Bueno, aquí es donde los CISOs virtuales juegan un papel importante. Este experimentado personal de seguridad, que por lo general opera remotamente, es asequible, está disponible y altamente calificado -lo que significa que pueden comenzar a trabajar inmediatamente.
“Un CISO virtual es una función de asesoramiento de un Consejo Externo, muy parecido a un director no ejecutivo”, señaló Tim Holman, presidente de ISSA-UK y CEO de 2Sec, que ofrece servicios virtuales de CISO a sus clientes. “Hoy en día se puede conseguir prácticamente cualquier cosa virtual, desde un Asistente Personal Virtual hasta un Director Financiero Virtual. El término virtual tiende a referirse a un recurso que no está físicamente presente, o empleado por su empresa directamente”.
“La escasez de habilidades de ciberseguridad ha ayudado a que la industria de los CISOs virtuales crezca; donde un asesor experto puede ayudar a un número de empresas a la vez. Sin embargo, a menudo, son llamados a último minuto donde las empresas son impulsadas por la demanda legal o reguladora. O una violación de seguridad”.
Jane Frankland, empresaria en serie de seguridad cibernética y asesora de CISO, añadió que un CISO virtual “es alguien que ha pasado años en la industria, tiene una gran experiencia habiendo tratado una amplia variedad de escenarios, y consulta sobre la gestión de la información de seguridad de una organización”.
“Normalmente se dedican a diseñar la estrategia de seguridad de la organización, y algunos administran la implementación. Muchos también presentan a la junta directiva los principales interesados y los reguladores. Trabajan a tiempo parcial, unas pocas horas al mes, y típicamente a distancia”, añadió.
Brian Honan es CEO de BH Consulting, cuyo propio servicio virtual de CISO ofrece a los clientes “acceso a nuestros experimentados consultores de seguridad cibernética para proporcionar servicios de asesoría continua sobre cómo el cliente debe implementar su marco de seguridad cibernética para proteger sus datos y sistemas.
“Típicamente, esto implicaría que aceptemos un programa de acción mediante el cual se identifiquen iniciativas clave para luego administrar la implementación. También estamos a disposición del equipo directivo superior… para proporcionar asesoramiento y orientación sobre cómo el negocio debería gestionar las amenazas a sus sistemas y los riesgos cibernéticos”.
Los beneficios van más allá del costo
Los CISOs virtuales realmente tienen sentido. ¿Cómo? Bueno, para empezar, de acuerdo a estimaciones de la industria, son considerablemente más barato (alrededor del 30% de los costos anuales).
Puede configurar un retenedor para un cierto número de horas, o contratar a alguien para cada proyecto individual. Incluso, puede comprar un conjunto de horas de asistencia y utilizarlas cuando las necesita. En resumen, es una forma de obtener el mejor talento de seguridad cuando lo necesita, y a una fracción del costo.
Pueden abordar sus problemas más urgentes de inmediato, desde la coordinación con los equipos de seguridad y cumplimiento sobre normas, directrices y políticas de seguridad, hasta la realización de evaluaciones de riesgo de proveedores y el cumplimiento de los requisitos PCI y HIPAA. El vCISO también puede capacitar al personal de seguridad interno, concientizar a la empresa en seguridad y crear una hoja de ruta de seguridad estratégica para su organización.
Hay otros beneficios menos visibles. Por ejemplo, el vCISO no es leal a la empresa, así que no tiene ningún deseo particular de endulzar ni suavizar las malas noticias; no necesariamente temen por la seguridad de su trabajo (que puede afectar el rendimiento), y la naturaleza ‘virtual’ significa que hay menos colusión entre TI y gestión, y no hay necesidad de acudir a las políticas de la oficina.
“Un CISO virtual capacitado puede aportar recursos en cuanto a experiencia multisectorial en su empresa, y ayudar a adoptar un enfoque práctico para la seguridad y construir un plan a largo plazo para mitigar el riesgo”, señaló Holman.
“Pueden ayudar con una variedad de desafíos”, anotó Frankland. “A menudo, estos incluyen la comunicación de los temas al equipo de liderazgo, los reguladores, y otras partes interesadas del negocio; el diseño de la estrategia de seguridad; asesoramiento sobre tecnologías, procesos y las mejores prácticas; reclutamiento de proveedores y nuevos miembros del equipo; la formación, y lidiar con los incidentes”.
“La velocidad es la moneda de los nuevos negocios y un CISO virtual puede ayudar a una organización a mitigar sus riesgos, aumentar su experiencia en seguridad y permitir que los negocios sean rápidos”.
Nik Wells es el jefe de seguridad y cumplimiento de TI de la firma de servicios financieros Elevate, y está de acuerdo con Holman y Frankland en que los CISOs virtuales son pertinentes, especialmente para las pequeñas y medianas empresas.
“La mayoría de las PYME pueden no tener el presupuesto para contratar a un profesional de seguridad a tiempo completo, y necesitan orientación a corto plazo para ayudarles a lidiar con cuestiones tácticas y planes estratégicos a mediano y largo plazo. Con los inminentes requisitos [europeos] GDPR, las PYME necesitarán asistencia para cumplir con estas regulaciones”.
Sin embargo, Frankland y Honan no están de acuerdo con la velocidad de adopción; pues Frankland sugirió que la adopción de las PYME es lenta, y Honan afirmó lo contrario.
“Estamos siendo testigos de una fuerte aceptación de estos servicios, pues muchas organizaciones, a nivel de empresas y PYME, luchan por encontrar personal adecuadamente calificado y con experiencia para cubrir este rol”, anotó Honan.
“O bien, proporcionamos nuestro servicio para aumentar el equipo de gestión existente dentro de una empresa, o para cubrir un rol mientras que la compañía recluta a una persona permanente para tal”.
¿Pero, hay desventajas?
Esto quiere decir que los CISO virtuales no son una solución milagrosa. Después de todo, si ese fuera el caso, tal vez hablaríamos de los CISOs en las instalaciones con un poco menos de familiaridad.
No debemos olvidar que los CISOs virtuales son, ante todo, los mismos CISOs que cometen errores, ni tampoco que estas armas contratadas tienen poca lealtad o afiliación a la marca para la que trabajan. Todavía son relativamente caros, y encontrar el correcto es tan difícil como reclutar un CISO de tiempo completo. Depender de ellos puede “trabarlo”.
También hay un tema más grande, como lo señaló de forma experta un CISO en LinkedIn en el tema de los CISOs virtuales.
“… La estructura de CISO está fallando en las grandes empresas. Está fallando porque pocas firmas consideran que la seguridad es un problema a nivel estratégico”, señaló Frederick Carlson, CISO en la Oficina de Análisis Económico del Departamento de Comercio de los Estados Unidos.
“¿Esta idea de duplicar la misma estructura fallida, pero empujarla a un modelo subcontratado, es para pequeñas empresas?”, preguntó.
No es el único que piensa que los vCISOs son una bolsa mixta. Darren Argyle, recién nombrado CISO en la aerolínea australiana Qantas, agregó en un correo electrónico a CSO Online: “Se pierde la rendición de cuentas con los CISOs virtuales”, anotó. “No se puede escribir en la carta que una persona o servicio virtual es responsable”.
Holman está de acuerdo: “Un CISO virtual no asume ninguna responsabilidad si las cosas van mal. Esto todavía entra en la categoría de la junta. Rara vez se les asigna un presupuesto, y no debe ser visto ofreciendo nada más que consejos.
“Al igual que un abogado o especialista en impuestos, depende de la empresa tomar el consejo. Si su compañía está tratando la seguridad con seriedad, un CISO virtual sin duda le ayudará a establecerla en la dirección correcta; pero no debe ser visto como una función de mitigación de riesgo de seguridad enteramente externa.
“Las empresas y sus Consejos deben recordar que en última instancia, son responsables de su propia seguridad”, coincidió Honan. “Un CISO, ya sea a tiempo completo o virtual, no puede asumir esa responsabilidad por sí solo. Si no hay una cultura de seguridad dentro de la organización, o la voluntad de introducirla, el papel del CISO podría estar condenado al fracaso”.
“Los CISOs virtuales no ayudan con la implementación”, agregó Frankland. “Estos asesoran, coordinan y administran. Son responsables. Si una organización quiere que alguien escriba sus políticas; evalúe y monitoree sus sistemas, aplicaciones e infraestructura; e instale software (firewalls, antivirus, administradores de contraseñas, cifrado, etc.), este servicio no será adecuado”.
Así que, mientras que los CISOs virtuales traen numerosos beneficios, especialmente para las PYME, no son ninguna cura milagrosa para resolver sus problemas de seguridad.
-Doug Drinkwater, CSO (EE.UU.)
