El director de Seguridad de la Información (CISO) es el ejecutivo responsable de la seguridad de la información y datos de una empresa. Esta definición, bastante limitada, es la que se solía dar en el pasado. Actualmente, el nombre de este puesto se usa indistintamente para referirse al CSO y al vicepresidente de seguridad, lo que indica que este rol tiene un papel más amplio en la empresa.
Los profesionales de seguridad ambiciosos que buscan ascender en la escala corporativa quizá tengan un puesto de CISO en la mira.
Veamos qué puede hacer para mejorar sus posibilidades de conseguir un trabajo de CISO y cuáles serán sus tareas en este puesto clave.
Si lo que busca es contratar a un CISO para su empresa, también le conviene leer este artículo.
Las responsabilidades del CISO
¿Qué hace un CISO? Quizá la mejor manera de entender lo que hace un CISO es aprender qué responsabilidades del día a día tiene a su cargo. Aunque no hay dos puestos de trabajo exactamente iguales, Stephen Katz, quien fue pionero en el rol de CISO de Citigroup en los años 90, describió las áreas de responsabilidad de los CISO en una entrevista con MSNBC. Él desglosa las actividades en las siguientes categorías:
Operaciones de seguridad: efectuar análisis en tiempo real de las amenazas inmediatas y los protocolo de intervención cuando algo sale mal.
Ciberiesgos y ciberinteligencia: mantenerse al tanto de las amenazas de seguridad emergentes y ayudar a la junta directiva a entender los problemas de seguridad que puedan surgir tras adquisiciones u otros movimientos empresariales importantes.
Pérdida de datos y prevención de fraude: asegurarse que el personal interno no haga mal uso de los datos ni los robe.
Arquitectura de seguridad: planificar, comprar e implantar hardware y software de seguridad, y asegurarse de que la infraestructura de TI y de red se diseñe teniendo en cuenta las mejores prácticas de seguridad.
Gestión de identidad y acceso: garantizar que sólo las empresas autorizadas tengan acceso a los datos y sistemas restringidos.
Gestión de programas: adelantarse a las necesidades de seguridad implementando programas o proyectos que mitiguen los riesgos, como instalar parches de sistema con regularidad.
Investigaciones forenses: determinar qué salió mal en una filtración, tratar con los responsables si son internos y planificar para evitar que se repita la misma crisis.
Gobernanza: asegurarse que todas las iniciativas anteriores se lleven a cabo sin problemas y obtengan el financiamiento que necesitan, y de que el liderazgo empresarial entienda su importancia.
Los requisitos de un CISO
¿Qué se necesita para ser considerado para este puesto? En términos generales, un CISO necesita un base técnica sólida.
Cyberdegrees.org afirma que, en general, se espera que el candidato tenga un grado en Informática o en un campo relacionado y tenga de 7 a 12 años de experiencia laboral (incluyendo al menos 5 en un puesto de dirección).
Las maestrías técnicas centradas en seguridad también están cada vez más de moda. Además, hay una lista de habilidades técnicas.
Más allá de los fundamentos de programación y administración de sistemas que se espera tenga cualquier ejecutivo de tecnología de alto nivel, debe entender algunas tecnologías centradas en seguridad como DNS, enrutamiento, autenticación, VPN, servicios de proxy y tecnologías de mitigación de DDoS; buenas prácticas de programación, hacking ético y modelado de amenazas; y protocolos de detección/prevención de intrusiones y firewalls.
Asimismo, como se espera que los CISO ayuden con el cumplimiento de las regulaciones, debería conocer las evaluaciones de cumplimiento PCI, HIPAA, NIST, GLBA y SOX.
No obstante, los conocimientos técnicos no son el único requisito para conseguir el trabajo, y puede que ni siquiera sean lo más importante. Después de todo, gran parte de la tarea de un CISO implica la gestión y la defensa de la seguridad dentro del liderazgo de la empresa. El investigador de TI, Larry Ponemon, explicó a SecureWorld que “los CISO más destacados tienen una base técnica, pero a menudo tienen experiencia en negocios, un MBA y las habilidades necesarias para comunicarse con otros ejecutivos de nivel C y con la junta directiva”.
Paul Wallenberg, director senior de la Unidad de Servicios Tecnológicos de la agencia de empleo Lasalle Network, comenta que la combinación de habilidades técnicas y no técnicas con las cuales se juzga a una candidato a CISO puede variar dependiendo de la empresa que realice la contratación. “En términos generales, las empresas con un alcance global o internacional buscan candidatos con una experiencia holística en materia de seguridad y evalúan las habilidades de liderazgo, al mismo tiempo que entienden la progresión profesional y los logros históricos”, afirma.
“En la otra cara de la moneda, añade Wallenberg, las empresas que tienen un negocio más centrado en la web y en productos buscan perfiles con habilidades específicas en temas de aplicaciones y seguridad web”.
Certificaciones para CISO
A medida que ascienda por la escalera con la intención de obtener un puesto de CISO, le conviene pulir su currículum con algunas certificaciones. Como explica Information Security, “estas calificaciones refrescan la memoria, apelan a nuevas ideas, aumentan la credibilidad y son parte obligatoria de cualquier buen plan de formación interno”.
Pero existen tantas certificaciones que es difícil escoger. Cyberdegrees.org enumera siete. Por su parte, Larry Wallenberg, de Lasalle Network, recomienda tres:
Certified Information Systems Security Professional (CISSP) es para profesionales de TI que quieran centrar su carrera en seguridad.
Certified Information Security Manager (CISM) es popular para quienes buscan ascender en el ámbito de la seguridad y pasar al liderazgo o a la gestión de programas.
Certified Ethical Hacker (CEH) es para profesionales de la seguridad que buscan obtener un conocimiento avanzado de los problemas que pueden amenazar la seguridad de una empresa.
CISO versus CIO versus CSO
La seguridad es un rol empresarial que se topa inevitablemente con otros, ya que el instinto de un profesional de seguridad es bloquear los sistemas y hacer que sea más difícil acceder a ellos, algo que puede entrar en conflicto con el trabajo de TI de hacer que la información y las aplicaciones estén disponibles sin fricciones.
El desarrollo de este drama entre ejecutivos puede convertirse en una batalla entre el CISO y el CIO, y el perfil de esta lucha suele ser establecido por las líneas de comunicación de la empresa. Aunque ambos puestos tienen una “C” en el nombre, es relativamente habitual que los CISO reporten a los CIO, lo que puede limitar la capacidad de los CISO para ejecutar estratégicamente, ya que su visión está subordinada a la estrategia general de TI de los CIO.
Los CISO tienen más influencia cuando responden al CEO o a la junta directiva, lo cual se está convirtiendo en una práctica cada vez más común. Esto podría implicar un cambio de título, según la Global State of Information Survey 2018, es probable que los CISO estén subordinados a un CIO, mientras que un ejecutivo de seguridad con el título de director de seguridad (CSO) es probable que esté al mimo nivel que un CIO. y tener responsabilidades de seguridad no tecnológicas.
Colocar a los CIO y a los CISO en igualdad de condiciones puede ayudar a reducir el conflicto, entre otras cosas porque señala a toda la empresa que la seguridad es importante. Pero también significa que el CISO no puede ser sólo un portero que vete las iniciativas técnicas. Como comentó Piergiorgio Grossi, director general de Ducati, a la revista i-CIO, “depende del CISO ayudar al equipo de TI a ofrecer productos y servicios más sólidos en lugar de decir “no”. Esta responsabilidad compartida de las iniciativas estratégicas cambias la dinámica de la relación y puede significar la diferencia entre éxito y el fracaso para los nuevos CISO.
La descripción laboral del CISO
Si está buscando un CISO prometedor para su empresa, parte de eso implica escribir una descripción del trabajo y mucho de lo que hemos hablado hasta ahora sienta las bases de cómo debería enfocarlo. “Las empresas deciden primero si quieren contratar a un CISO, y luego obtienen la aprobación para el nivel, la estructura de informes y el título oficial para el puesto. En las empresas más pequeñas, los CISO pueden ser vicepresidentes o directores de Seguridad”, explica Wallenberg, de Lasalle Network. “También debe establecer los requisitos y calificaciones mínimas para el puesto y luego salir al mercado a buscar candidatos externos o publicarlo para candidatos internos”.
Michel Nadeau, Jefe de Redacción de CSO Estados Unidos, explica en detalle cómo abordar la descripción para un puesto de CISO. Uno de los aspectos importantes que señala es que la descripción debe dejar muy claro, y desde el principio, el compromiso de su empresa con la seguridad, porque así es como se atrae a un candidato excelente.
Debe resaltar y dejar en claro dónde estará el nuevo CISO dentro del organigrama de la empresa y hasta qué punto deberá interactuar con la junta directiva. Otro punto importante es mantener actualizada la descripción del trabajo, incluso si ya tiene a alguien en ese cargo. Después de todo, nunca se sabe cuándo esa persona se irá a otro sitio, y este es un puesto crucial que no debe estar vacante.
El salario de un CISO
El CISO es un puesto de alto nivel que debe ser pagado como corresponde. La predicción de salarios es más un arte que una ciencia, pero lo habitual es que el salario de un CISO en Estados Unidos esté por encima de los 100,000 dólares.
Si visita Glassdoor, puede ver que los rangos salariales actuales para las vacantes de CISO. Esto le ayudará a saber qué sectores pagan más o menos.
