Cómo debe de ser un CISO: éxito y liderazgo en la seguridad informática corporativa

La calidad y la velocidad con la que se gestiona la respuesta a un incidente indicador de ejecución claves para un CISO

¿Cómo concibe la seguridad un CISO (siglas en inglés de Director de Seguridad de Información) o cargos similares? ¿A qué problemas se enfrentan? Las interrogantes son muchas y cada vez más en tiempos como los que corren. Con el fin de lograr respuestas a estos interrogantes, Kaspersky Lab encuestó a 250 directores de seguridad en todo el mundo.

Andrey Evdokimov,  Head of  Information Security de Kaspersky Lab
Andrey Evdokimov,  Head of  Information Security de Kaspersky Lab

“Sus opiniones resultaron muy interesantes, aunque no puedo decir que esté totalmente de acuerdo con mis colegas” opina Andrey Evdokimov,  Head of  Information Security de Kaspersky Lab, en un breve e interesante análisis sobre el tema.

Un ejemplo, ante la pregunta sobre los indicadores de ejecución claves de un CISO, no sorprende que la mayoría de encuestados afirmara que su criterio laboral principal es la calidad y la velocidad con la que se gestiona la respuesta a un incidente. Obvio. En las empresas modernas, ya no se piensa que los ciberincidentes sean fallos de seguridad. Resulta positivo comprobar que la mayoría de los especialistas empiezan a aceptar que los incidentes son sucesos normales e inevitables, porque hoy por hoy, la ciberseguridad consiste básicamente en la supervivencia de la compañía.

Por supervivencia me refiero a contar con un nivel de protección que pueda garantizar que, en caso de ataque de amenaza persistente avanzada, filtración de datos o DDoS masivos, una empresa puede recuperarse por sí misma sin daños o pérdidas serias, a excepción del mínimo predefinido. En otras palabras, el objetivo actual de los CISO es su capacidad de respuesta a los incidentes.

Por un lado, perfecto. Hace tan solo un par de años prevaleció una visión de ciberprotección del “día cero”, con lo que las empresas pensaron que los CISO podrían blindar la infraestructura para mantenerla alejada de los incidentes. Pero por otro lado, centrarse únicamente en tecnologías reactivas no es lo mejor. Desde mi punto de vista los CISO deben establecer un equilibrio, ya que todos los elementos de arquitectura de seguridad adaptativa son importantes: prevención, detección, respuesta y predicción.

La mayoría de los CISO coinciden en que el mayor riesgo al que se expone una organización tras una brecha, es la pérdida de reputación

Sobre riesgos

La mayoría de los CISO coinciden en que el mayor riesgo al que se expone una organización tras una brecha, es la pérdida de reputación. Estoy totalmente de acuerdo, pues el daño reputacional es la base del resto de consecuencias: disminución de existencias, de confianza del cliente o de las ventas.

La reputación es la razón real por la que no escuchamos nada sobre la mayoría de los incidentes de seguridad. La verdad es que una empresa puede ocultar un ciberincidente, aunque en algunos países la ley las obliga a revelar cualquier información sobre problemas de seguridad a sus accionistas y clientes.

Aparentemente, los CISO pueden detectar la intención de los ciberincidentes y por tanto, diferenciar si son ataques “patrocinados por estados” o para conseguir recompensas económicas. Pero yo situaría los ataques internos en primera posición. En cuanto a pérdidas, estos son los más peligrosos, de hecho, la experiencia ha demostrado que un empleado que no sea fiel a la empresa puede causar mucho más daño que unos delincuentes externos.

Influencia en decisiones empresariales

Resultó muy interesante comprobar el nivel de implicación de los directores de seguridad en la toma de decisiones empresariales. Me sorprendí al descubrir que no todos consideraban que estaban lo suficientemente involucrados. Pero ¿qué consideran “adecuado”?

Básicamente, hay dos estrategias. La seguridad puede controlar cada paso que toma la empresa, aprobando cada movimiento o bien, en su lugar, ejercer de asesores y que la compañía les consulte si van por el camino correcto.

A simple vista, el control total parece más efectivo y lo sería si la ciberseguridad fuera el objetivo en sí. En realidad, esta estrategia requiere mucho más personal y puede frenar el desarrollo del negocio, lo que puede ser un auténtico reto para las empresas innovadoras que utilizan procesos comerciales que no cuenten todavía con las mejores prácticas para la protección.

Barreras que impiden la concesión del presupuesto necesario en ciberseguridad

Justificación de los presupuestos

Me preocuparon las respuestas a la pregunta: “Sin un ROI  (Return On Investment) claro, ¿cómo justificáis vuestro presupuesto?”. Al parecer, la mayoría se justifica mostrando informes de brechas de ciberseguridad y evaluaciones de daños de ataques que ha sufrido la compañía en el pasado. La verdad es que funciona, al menos la primera vez y puede que la segunda. Pero la tercera vez lo normal es que respondan: “Vale, nos has conseguido asustar. Pero ¿cómo se enfrentan los demás a esta situación?”.

Las empresas deben conocer las experiencias de otras compañías. Desafortunadamente, los “puntos de referencia de la industria y las mejores prácticas” ocuparon el séptimo lugar en la lista de argumentos, aunque dicha información se puede encontrar a simple vista.

Dejar respuesta

Please enter your comment!
Please enter your name here

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.