Todavía existe la idea de que un Chief Information Security Officer (CISO) o Director de Seguridad de la Información es sólo un tecnólogo que sabe manejar productos de protección digital e instala firewalls avanzados para detener a virus maliciosos o a hackers malintencionados. Aunque el CISO sí debe ser experto en ciberseguridad, debe contar con más características para ser un perfecto elemento. En ese sentido, Data Warden presentó su Manual del perfecto CISO.
“El CISO no sólo es un experto en hardware y software, es alguien precavido, organizado, de mente abierta, comunicativo con todos los directivos de su empresa y tiene la capacidad de planeación”, explicó Jesús Navarro, director general de Data Warden.
En ese sentido, el departamento de Sistemas o Tecnología en una empresa no debe estar desligado de las demás áreas: para ello el Director de Seguridad de la Información es clave. Para conocer todas las virtudes que esta figura debería albergar, esta firma de ciberseguridad dio a conocer el Manual del perfecto CISO a tener en cuenta:
Mente abierta
Un CISO debe tener su mente siempre abierta a las amenazas y riesgos que rodean a los empleados y a la empresa, de lo contrario va a fracasar en sus objetivos. Es necesario estar sensibilizado y concientizado de que la seguridad es prioridad en todo momento, incluso cuando no se está en el lugar de trabajo. Esta condición le permitirá que las decisiones que tome cuando haya un incidente van a ser con base en ese concepto.
Comunicación
La comunicación es uno de los soportes de un perfecto CISO porque sin ella la compañía estará dividida y la división conlleva al fracaso. Un Director de Seguridad de la Información no debe ser aquél que no sale de su oficina y sólo envía reportes de ciberseguridad cada cierto tiempo. Es importante que conozca a la perfección cada área del negocio y a cada director de departamento, conocer sus fortalezas y debilidades, para después reunirse y juntos crear estrategias de protección de la información. La unión hace la fuerza y la comunicación hace que las políticas y decisiones estén alineadas a los objetivos de la empresa.
Visionario
Con este término no nos referimos a que el CISO deba tener súper poderes, sino que tenga la capacidad de planeación, no se trata de que sea como un bombero que sólo llega para apagar incendios, sino de un elemento que haga un análisis completo de las fortalezas de la compañía, qué herramientas tiene, cómo pueden prevenirse fugas, dónde están los riesgos y, si hay un ciberataque, que sepa responder a gran velocidad con un diagnóstico y exponga una ruta a seguir para librarse del ataque o, al menos, salvaguardar lo más que se pueda los datos de la organización y de los clientes. En suma, el CISO debe crear un plan maestro de seguridad desde antes de que ocurra una agresión digital.
Orquestador
Un orquestador es un dirigente y un líder, sin embargo, él no realiza solo el trabajo, sino que se vale de un equipo para lograr que una pieza musical sea perfecta. El CISO debe ser un orquestador empresarial que identifique todos los recursos –humanos y tecnológicos– de la compañía y los utiliza para detener ataques electrónicos o resolver emergencias. Ese orquestador debe hacer uso de las empresas de productos de ciberseguridad, ya que estos son expertos en su ramo y pueden dar los mejores consejos y soluciones cuando hay un incidente. También es capaz de llevar el mensaje a todos los colaboradores de la organización y los clientes para mantener la calma, actuar con cautela, salir librados del ataque y aprender de los errores.
Creador de una cultura de ciberseguridad
La tecnología no es suficiente. Un CISO puede disponer en su organización de los mejores productos de protección digital y gastar miles de dólares en ello, pero si no existe una cultura de ciberseguridad tanto en directivos como en empleados, proveedores y clientes, los ataques cibernéticos serán un riesgo. El 80% de vulnerabilidades en la información de una firma es por causa de empleados o colaboradores internos, en la mayoría de los casos es por descuido. El ataque más común en las empresas es el ransomware, que es un tipo de malware que luego de comprometer un equipo secuestra la información y exige el pago de un rescate para recuperar los datos. Este malware puede entrar fácilmente mediante un correo electrónico que no debería abrirse. Aquí es donde entra la habilidad de un perfecto CISO, ya que éste debe crear una cultura de ciberseguridad en la empresa que llegue a todos los niveles, de tal manera que exista una capacitación constante en temas de ciberseguridad y que un trabajador sepa reconocer las amenazas, aun las que puedan llegar a su teléfono celular.
“Y no todo queda ahí, el CISO tiene que hacer continuas prácticas para poder medir cómo se encuentra ese nivel de conocimiento por parte de los colaboradores y constantemente actualizar esa cultura de ciberseguridad”, comentó Jesús Navarro.
Y agregó que en general los Directores de Seguridad de la Información en América Latina están acostumbrados a reportar a su director o presidente del área de Tecnología o Sistemas, cuando debería reportar a todos los niveles altos de la empresa y, mejor aún, debería reportar a un Comité de Seguridad que toda organización debería conformar.
“Cuando el CISO logre crear ese comité y permear en todos los departamentos de la firma, estará pasando al siguiente nivel en ciberseguridad”, consideró el directivo.
