Responsable de Seguridad de la Información (CISO)

En un mundo donde el ciberdelito les cuesta a las empresas y organizaciones millones de dólares cada día, el Responsable de Seguridad de la Información es un guardián esencial de los activos digitales, los sistemas de información, la propiedad intelectual y más.

Debido a las altas apuestas y el conjunto único de habilidades necesarias para sobresalir en este rol inmensamente desafiante, el Responsable de Seguridad de la Información ha sido aclamado como «la estrella de rock corporativa del futuro».

Ahora que la tecnología digital ha revolucionado la forma en que el mundo hace negocios, las violaciones de seguridad ocurren con tanta frecuencia que solo las más importantes aparecen en los titulares. En los últimos años, Equifax, eBay, Yahoo, Target, Uber, la NSA, el IRS y muchos otros son solo algunas de las empresas y agencias de alto perfil que han sido atacadas por piratas informáticos.

Esto, por supuesto, ha creado una demanda para toda una nueva generación de profesionales de la seguridad, aquellos enfocados en la seguridad de la información y la ciberseguridad. Las oportunidades profesionales son numerosas para quienes aspiran a avanzar en este campo apasionante, de rápido crecimiento y bien remunerado. Y en la parte superior del tótem, responsable de todo el perfil de seguridad de la información de una empresa, está el CISO.

Definición de Responsable de Seguridad de la Información

El responsable de seguridad de la información (CISO) es el ejecutivo responsable de la seguridad de la información y los datos de una organización. Si bien en el pasado el rol se ha definido de manera bastante estricta en ese sentido, en la actualidad el título se usa indistintamente con CSO y VP de seguridad, lo que indica un rol más amplio en la organización.

Es un ejecutivo de alto nivel responsable de desarrollar e implementar un programa de seguridad de la información, que incluye procedimientos y políticas diseñadas para proteger las comunicaciones, los sistemas y los activos de la empresa de amenazas internas y externas. El CISO también puede trabajar junto con el director de información para adquirir productos y servicios de ciberseguridad y gestionar los planes de recuperación ante desastres y continuidad del negocio.

El responsable de ciberseguridad también puede denominarse arquitecto principal de seguridad, director de seguridad, director de seguridad corporativa o director de seguridad de la información, según la estructura de la empresa y los títulos existentes. Si bien el CISO también es responsable de la seguridad corporativa general de la empresa, que incluye a sus empleados e instalaciones, simplemente se le puede llamar director de seguridad (CSO).

Desempeñan un papel vital en la protección de una organización, porque una violación de la seguridad de la información puede resultar en una interrupción del negocio, pérdida de datos confidenciales o comercialmente sensibles y pérdidas financieras. Las violaciones de seguridad adoptan diversas formas, incluidos ataques de ciberdelincuentes, ataques de virus e intentos de partes no autorizadas, dentro y fuera de la empresa, de obtener contraseñas o datos personales.

Responsabilidades

¿Qué hace un CISO? Quizás la mejor manera de entender el trabajo de CISO es aprender qué responsabilidades diarias caen bajo su paraguas.

Planificación de TI y SI

Una gran parte del trabajo del responsable de seguridad del sistema de información es la planificación. Los oficiales de seguridad evalúan la infraestructura y los datos de la organización para identificar vulnerabilidades causadas por debilidades o fallos en el software y hardware que podrían exponer la infraestructura a una brecha de seguridad.

También evalúan la efectividad de las medidas de seguridad existentes, como firewalls, políticas de contraseñas y sistemas de detección de intrusos. Hacen recomendaciones para mejorar la seguridad en función de sus evaluaciones y conocimiento de las amenazas actuales y emergentes.

Redacción de políticas de seguridad del sistema de información

Equilibrar el acceso esencial a los datos y sistemas con altos niveles de seguridad es un desafío importante para los oficiales. Desarrollan políticas que brindan a los gerentes y empleados distintos niveles de acceso a las aplicaciones, sistemas y datos corporativos, y monitorizan el acceso para garantizar el cumplimiento.

Establecer políticas de acceso se ha vuelto más difícil a medida que las empresas reconocen el beneficio de permitir que los empleados usen sus propios dispositivos móviles, como teléfonos inteligentes o tabletas, para trabajar. Los oficiales de seguridad deben poder imponer estándares corporativos de seguridad cuando esos dispositivos acceden a la red corporativa, al tiempo que protegen la privacidad de los datos personales de los empleados.

Capacitación de empleados en las mejores prácticas de SI

Para reforzar la importancia de la seguridad de la información, los oficiales ejecutan programas de capacitación y concientización para los empleados. Demuestran buenas prácticas y explican los riesgos de las malas prácticas de seguridad, como el uso de contraseñas débiles. Pueden advertir sobre la inclusión de datos confidenciales en correos electrónicos o el uso de datos que no estén encriptados en computadoras portátiles u otros dispositivos móviles que podrían perderse o ser robados.

Desarrollo de soluciones de seguridad de la información

Los responsables de ciberseguridad seleccionan e instalan productos de seguridad, como firewalls, software antivirus y software para proteger la red. Instalan software para monitorizar la seguridad en todas las redes corporativas, computadoras y dispositivos de almacenamiento, de modo que puedan identificar rápidamente los ataques y responder a cualquier alerta.

También realizan pruebas, como ataques simulados, en sus propios sistemas de seguridad para asegurarse de que no haya debilidades.

Actualización de sistemas de información

Los proveedores de seguridad publican información sobre nuevos tipos de delitos cibernéticos o virus informáticos para ayudar a los oficiales a mantener actualizados sus sistemas de seguridad.

Los responsables de seguridad actualizan el software antivirus y controlan los niveles de acceso de los empleados. Cuando los empleados dejan una empresa o cambian de puesto, los funcionarios deben asegurarse de eliminar o actualizar los privilegios de acceso. Los oficiales deben minimizar el riesgo de daños por violaciones de seguridad mediante la implementación de un plan de continuidad comercial o de recuperación ante desastres.

Pueden instalar instalaciones de almacenamiento de datos duplicadas en otra ubicación, por ejemplo, para que los datos más recientes estén disponibles incluso si hay un ataque de seguridad importante.

Investigaciones y análisis forense

Los responsables de ciberseguridad deben determinar qué salió mal en una infracción, tratar con los responsables si son internos y planificar para evitar que se repita la misma crisis.

Gobernanza

Corresponde a los responsables de seguridad asegurarse de que todas las iniciativas anteriores funcionen sin problemas y obtengan la financiación que necesitan, y que el liderazgo empresarial comprenda su importancia.

¿Qué se necesita para ser Responsable de Seguridad de la Información (RSI)?

En términos generales, un CISO necesita una base técnica sólida. Se espera que el candidato tenga una licenciatura en ciencias de la computación o un campo relacionado y entre 7 y 12 años de experiencia laboral (incluidos al menos cinco en una función administrativa).

Los máster técnicos con enfoque de seguridad también están cada vez más de moda. También hay una larga lista de habilidades técnicas esperadas: más allá de los conceptos básicos de programación y administración de sistemas que se espera que tenga cualquier ejecutivo de tecnología de alto nivel, también debe comprender algunas tecnologías centradas en la seguridad, como DNS, enrutamiento, autenticación, VPN, servicios de proxy y tecnologías de mitigación de DDOS; prácticas de codificación, piratería éticay modelado de amenazas; y protocolos de prevención / detección de intrusiones y cortafuegos.

Y debido a que se espera que los CISO ayuden con el cumplimiento normativo, también debe conocer las evaluaciones de cumplimiento PCI, HIPAA, NIST, GLBA y SOX.

Pero el conocimiento técnico no es el único requisito para conseguir el trabajo, y puede que ni siquiera sea el más importante. Después de todo, gran parte del trabajo de un CISO implica la gestión y la defensa de la seguridad dentro del liderazgo de la empresa. Los CISO deben tener una buena base técnica pero también antecedentes comerciales, un MBA y las habilidades necesarias para comunicarse con otros ejecutivos de nivel C y la junta.

La combinación de habilidades técnicas y no técnicas por las que se juzga a un candidato CISO puede variar según la empresa que realiza la contratación. En términos generales, las empresas con un alcance global o internacional como negocio buscarán candidatos con antecedentes de seguridad funcional y holística y adoptarán el enfoque de evaluar las habilidades de liderazgo al tiempo que comprenden la progresión profesional y los logros históricos.

En el otro lado de la moneda, las empresas que tienen un negocio más centrado en la web y los productos se inclinan por contratar conjuntos de habilidades específicas en torno a la seguridad web y de aplicaciones.

Certificaciones CISO

Si quieres ser CISO, no está de más pulir tu currículum con certificaciones. Estas calificaciones refrescan la memoria, invocan nuevas formas de pensar, aumentan la credibilidad y son una parte obligatoria de cualquier currículo de capacitación interno sólido. Pero hay muchas para elegir. Las principales son las siguientes:

  • Certified Information Systems Security Professional (CISSP) es para profesionales de TI que buscan hacer de la seguridad un enfoque profesional.
  • Certified Information Security Manager (CISM) es popular para aquellos que buscan ascender dentro de la disciplina de seguridad y hacer la transición al liderazgo o la gestión de programas.
  • Certified Ethical Hacker (CEH) es para profesionales de la seguridad que buscan obtener un conocimiento avanzado de los problemas que pueden amenazar la seguridad empresarial.

Por lo general, un CISO es una persona que puede dirigir y administrar empleados de manera eficaz y que tiene un sólido conocimiento de la tecnología de la información y la seguridad, pero que también puede comunicar conceptos de seguridad complicados a empleados técnicos y no técnicos. Los CISO deben tener experiencia en gestión de riesgos y auditoría.

Muchas empresas requieren que los CISO tengan títulos avanzados en negocios, ciencias de la computación o ingeniería, y que tengan una amplia experiencia laboral profesional en tecnología de la información. Los CISO también suelen tener certificaciones relevantes como Auditor de sistemas de información certificado y Gerente de seguridad de la información certificado, emitido por ISACA , así como Profesional de seguridad de sistemas de información certificado, ofrecido por (ISC).

Pasos para convertirse en Responsable de Seguridad de la Información

Estos son los pasos que debes tener en cuenta si quieres convertirte en Responsable de Seguridad de la Información:

Autoanálisis

El director de seguridad de la información no es una carrera profesional adecuada para todos. Requiere un impulso excepcional, determinación, dedicación, habilidades de liderazgo, capacidad para pensar en el futuro y el deseo de permanecer continuamente informado sobre las últimas tendencias en el campo.

Por la propia naturaleza de los puestos de alta dirección, los jefes de seguridad de la información también interactúan con la mayoría de los demás departamentos dentro de la misma organización y con funcionarios de alto rango en otras empresas, así como con agencias gubernamentales.

Los CISO exitosos deben poseer un alto nivel de cada una de estas cualidades, y más, para sobresalir. Por lo tanto, se honesto en la autoevaluación antes de decidir seguir adelante en una carrera dirigida a convertirte en director de seguridad de la información.

Educación

Sentar las bases para un futuro en un puesto con responsabilidades tan amplias y variadas como el de un director de seguridad de información puede tomar muchas formas. Obviamente, un título universitario en cualquier disciplina de seguridad de la información o administración de empresas es un buen comienzo , pero casi cualquier campo relacionado con la informática o la gestión empresarial podría funcionar bien.

La capacitación en seguridad para proteger a las personas y las instalaciones también puede ser un buen comienzo. Por supuesto, para los oficiales de alto nivel como los CISO, a menudo, si no generalmente, se espera educación adicional. Los títulos de maestría y los títulos de doctorado en campos más específicos bajo el paraguas de la seguridad de la información te servirán mejor.

Trayectoria profesional

Al igual que con la educación, las trayectorias profesionales que siguen una variedad casi infinita de permutaciones pueden llevar a puestos de director de seguridad de información. Las posibilidades son demasiado numerosas para enumerarlas aquí.

Certificaciones profesionales

Hay docenas de certificaciones que pueden ayudar a un candidato a alcanzar el nivel de CISO. Probablemente sea mejor recordar agregar certificaciones en todas las disciplinas en las que has trabajado y cualquier especialidad auxiliar que pueda aplicarse a los puestos en un currículum.

Mantenerse actualizado

Como es el caso en la mayoría de los puestos de carrera en ciberseguridad, es vital mantenerse actualizado con lo que está sucediendo en la industria. Mantener las habilidades y los conocimientos actualizados con las últimas tendencias es aún más crítico para los CISO, ya que están a cargo de decidir cómo se implementarán la totalidad de los variados recursos de seguridad de información de cualquier empresa ahora y en el futuro.

Ser miembro de todas y cada una de las asociaciones comerciales de seguridad de la información y organizaciones de capacitación relevantes es imperativo para los líderes de seguridad de la información.

CISO vs. CIO vs. CSO

La seguridad es un rol dentro de una organización que inevitablemente choca con los demás, ya que los instintos de un profesional de seguridad son bloquear los sistemas y hacer que sea más difícil acceder a ellos, algo que puede entrar en conflicto con el trabajo de TI de hacer que la información y las aplicaciones estén disponibles sin fricciones.

La forma en que se desarrolla el drama en la parte superior del organigrama puede ser como una batalla CISO contra CIO, y los contornos de esa pelea a menudo se establecen mediante las líneas de información dentro de una organización.

A pesar de que ambos títulos tienen» C «en el nombre, es relativamente común que los CISO reporten a los CIO, lo que puede limitar la capacidad del CISO para ejecutar estratégicamente, ya que su visión termina subordinada a la estrategia general de TI del CIO. Es más probable que los CISO estén subordinados a un CIO, mientras que un ejecutivo de seguridad con el título de Director de seguridad (CSO) tiene más probabilidades de estar al mismo nivel que el CIO y, además, de tener responsabilidades de seguridad no relacionadas con la tecnología.

Colocar a los CIO y CISO en pie de igualdad puede ayudar a controlar los conflictos, sobre todo porque envía una señal a toda la organización de que la seguridad es importante. Pero también significa que el CISO no puede ser simplemente un guardián que veta iniciativas técnicas. Esta responsabilidad compartida por las iniciativas estratégicas cambia la dinámica de la relación. y puede significar la diferencia entre el éxito y el fracaso de los nuevos CISO.

Salario del Responsable de ciberseguridad

Según la Oficina de Estadísticas Laborales de EE.UU., los gerentes de sistemas informáticos y de información, incluidos los CISO, ganaban un salario medio anual de 131.600 dólares en mayo de 2015. El salario medio anual de un CISO es de 197.362 dólares.

Los salarios de los CISO parecen estar aumentando de manera constante, según una investigación de las empresas de personal de TI. En 2016, el salario medio de un CISO había alcanzado los 224.000 dólares.

Por tanto, podemos decir que el salario de un CISO está en un rango de entre entre 192,000 y 254,000 euros anuales.