El director de seguridad de la información, ¿qué habilidades?

(Para Carlo mauceli)
14/09/20

Para muchos profesionales de la ciberseguridad, el objetivo final de su carrera es asumir el papel de Director de Información de Seguridad (CISO). CISO es un puesto de nivel ejecutivo responsable de la gestión y las operaciones de riesgos de TI.

Como sabemos, la ciberseguridad se está transformando y hoy en día un buen CISO también debe tener fuertes habilidades de comunicación y un profundo conocimiento del negocio. Para poder desempeñar ese papel es necesario comprender cómo está evolucionando y las habilidades necesarias para sobresalir.

A medida que las organizaciones empresariales desarrollan el camino de la digitalización, incluso mediante el uso de servicios nube, su capacidad para aprovechar la tecnología de manera eficaz se ha convertido en parte integral de su éxito. Sin embargo, este proceso también ha creado más oportunidades para los ciberdelincuentes.

En los últimos años, empresas de todos los tamaños han sufrido daños en su reputación y han gastado importantes recursos para recuperarse de un ataque o se han visto obligadas a pagar multas por violar las leyes de privacidad.

Un buen CISO debe saber que un incidente cibernético es principalmente un riesgo comercial y no solo un riesgo cibernético simple. Al tomar decisiones, las juntas y los equipos ejecutivos deben poder evaluar la probabilidad de una filtración de datos, así como la pérdida financiera o el riesgo operativo. Un buen CISO les ayuda a hacer eso.

Según una investigación de Deloitte, hay cuatro roles o aspectos que un CISO debe poseer y desarrollar: el tecnólogo, la Guardián legal, la estratega y consultor.
Probablemente muchas de las personas que aspiran al rol de CISO ya estén familiarizadas con las características de tecnólogo y mentor.

En calidad de tecnólogo, el CISO es responsable de guiar, implementar y gestionar tecnologías y estándares de seguridad.

En el papel de Guardián legal, monitorear y regular programas y controles para mejorar continuamente la seguridad. Sin embargo, nunca debemos olvidar que los controles técnicos y las normas no eliminarán por completo el riesgo de ciberataques y que el CISO no tiene control sobre todas las condiciones que pueden aumentar la probabilidad de una infracción; es por eso que los roles de estratega y consultor se han vuelto cada vez más importantes.

En calidad de estratega, el CISO debe alinear la seguridad con la estrategia empresarial para determinar cómo las inversiones en seguridad pueden aportar valor a la organización.

En eso consultor, CISO ayuda a los equipos ejecutivos a comprender los riesgos de ciberseguridad para que puedan tomar decisiones correctas en función de la información que reciben.

Para sobresalir en estos roles, es importante tener un excelente conocimiento comercial, comprender la gestión de riesgos y mejorar las habilidades de comunicación.
Como dijimos anteriormente, si ya estás trabajando en el sector de la seguridad informática y estás interesado en crecer en el rol de CISO, probablemente ya conozcas los aspectos relacionados con el rol de tecnólogo y tutor.

Puede mejorar sus habilidades técnicas buscando obtener experiencia y certificación en una variedad de áreas, de modo que comprenda qué son el análisis de amenazas, la búsqueda de amenazas, el cumplimiento, la piratería ética y el control del sistema. Pero eso no es todo. De hecho, necesita encontrar tiempo para trabajar en sus habilidades de liderazgo.

  • Comprender el negocio es el paso más importante si desea prepararse para un puesto de nivel ejecutivo., tienes que aprender a pensar como un hombre de negocios. ¿Quiénes son sus clientes? ¿Cuáles son las grandes oportunidades y desafíos de su industria? Qué hace única a tu compañía? ¿Cuáles son sus debilidades? ¿Qué estrategias comerciales guían a la organización? Es fundamental estar atento a las comunicaciones corporativas y los informes anuales para conocer qué prioridades tiene el consejo de la empresa y por qué se han tomado determinadas decisiones, leer artículos relacionados con tu sector para tener una perspectiva más amplia del entorno empresarial y cómo le va a tu empresa. encaja en el mercado. Esta investigación lo ayudará a tomar mejores decisiones sobre cómo asignar recursos limitados para proteger los activos corporativos. También te ayudará a enmarcar tus argumentos de tal manera que la empresa escuche lo que quieres proponer. Por ejemplo, si desea convencer a su organización para que actualice su firewall, será más fácil convencer a los tomadores de decisiones si puede explicar la relación entre un incidente de seguridad y la relación de la empresa con los clientes o inversores.
  • Aprenda la gestión de riesgosLas empresas con visión de futuro asumen regularmente riesgos estratégicos para lograr sus objetivos, aprovechar oportunidades para lanzar nuevos productos o adquirir un competidor que hará que sus productos sean más atractivos para el mercado. Estas decisiones, si son incorrectas, pueden causar grandes pérdidas o quiebras. La gestión de riesgos es una disciplina que busca comprender los aspectos positivos y negativos de la acción y eliminar o mitigar los riesgos tanto como sea posible. Al comparar la probabilidad de varias opciones, como el retorno de la inversión si la empresa tiene éxito o la pérdida potencial en caso de fracaso, los gerentes pueden tomar mejores decisiones. El CISO ayuda a identificar y cuantificar los riesgos de ciberseguridad que deben considerarse junto con los riesgos financieros y operativos.
  • Mejorar las habilidades comunicativas: Para ser un buen consultor y estratega, debe comunicarse de manera efectiva con personas que tienen diferentes experiencias y antecedentes. Un día puede encontrarse discutiendo con un miembro muy técnico de su equipo, al día siguiente puede necesitar participar en una decisión comercial a nivel ejecutivo o incluso ser invitado a informar a la junta directiva. UNA Plan de comunicación puede ayudar a perfeccionar los mensajes que se transmitirán a los distintos interlocutores.

Para comenzar a desarrollar estas características, debe intentar comprender los objetivos de las personas con las que habla regularmente. Cuales son sus necesidades? ¿Es posible enmarcar las comunicaciones de seguridad en términos que puedan ayudarlos a superar estos desafíos? Debe pensar y tomarse el tiempo para ponerse en el lugar de otra persona antes de las reuniones, las conversaciones en el pasillo, antes de intercambiar correos electrónicos y chats. ¡Realmente puede marcar la diferencia!

Una buena Plan de comunicación proporciona mensajes de seguridad específicos (ver tabla).

En los últimos años, el rol de CISOs se ha llevado a formar parte del directorio de una empresa precisamente para contar con consultoría estratégica de seguridad.
Desarrollar habilidades de liderazgo como la gestión de riesgos y la comunicación lo ayudará a ingresar a este rol de una manera cada vez más importante.