Análisis

Las facetas del nuevo CISO en Ecuador 

Por: Roberth Chávez, Gerente Senior de Risk Advisory

En un artículo publicado en Deloitte University Press titulado “The new CISO: Leading the strategic security organization[1], se menciona que las facetas del nuevo CISO están relacionadas con aspectos estratégicos, tácticos y operativos; sin embargo desde la perspectiva de Deloitte se los presenta de la siguiente forma:

 

 

Las facetas presentadas se describen a continuación:

  • Tecnológico: se encarga de implementar soluciones de seguridad (nivel operativo)
  • Guardián: se enfoca en el monitoreo de procesos y controles, asegurando que la información se mantiene segura (nivel táctico)
  • Consejero: se centra en impulsar continuamente la mejora de la seguridad empresarial, entendiendo las nuevas amenazas y su potencial impacto en la organización a fin de que pueda prepararse para responder oportunamente; posee influencia sobre la alta administración para generar consciencia a través de la sensibilización y capacitación de como el programa de seguridad se alinea con el apetito de riesgo organizacional  (nivel estratégico).
  • Estratega: este rol se enfoca en alinear los esfuerzos de seguridad de información con el negocio, justificando las inversiones y destacando como beneficiarán al negocio. Conoce los procesos de negocio e información que son consideradas “joyas de la corona”, priorizando las inversiones, optimizando recursos y asegurando la entrega de los resultados esperados (nivel estratégico). 

El mensaje claro que se transmite es que la organización requiere un CISO más enfocado en las facetas: estratega y consejero, que están atadas con el aspecto estratégico de la función del CISO en el entorno empresarial. Pero ¿qué sucede en Ecuador? ¿Cuáles son las tendencias de seguridad de la información a nivel local? ¿Cuáles son los retos y obstáculos que enfrentar los CISO ecuatorianos? Entre julio y agosto de 2017, Deloitte Ecuador realizó el estudio de seguridad de la información enfocado sólo para empresas locales de diferentes industrias y diversos tamaños. Los resultados que arrojó el estudio reflejan necesidades similares con respecto al rol que el CISO juega a nivel mundial. 

Reconociendo las señales de alerta

Uno de los principales obstáculos que los CISO ecuatorianos que enfrentan para desarrollar la estrategia y programa de seguridad de información es la falta de apoyo ejecutivo o del negocio, lo cual es reportado por un 42% de las empresas participantes. Sin embargo, esto requiere que el CISO reconozca que necesita mejorar algunos aspectos asociados con su formación y experiencia para saber “vender” sus planes a la Alta Dirección y, en realidad, a toda la organización. En muchas ocasiones, mejorar los controles de seguridad de información se interpreta como obstaculización o entorpecimiento del negocio, pero lo que se pretende realmente es mejorar la experiencia del cliente con respecto a productos y servicios protegiendo la información requerida para su entrega y también fortalecer los resultados de los procesos internos, que están íntimamente ligados con los productos y servicios que generan los ingresos al negocio, protegiendo la propiedad intelectual y alineándose con aspectos regulatorios.

Las brechas de seguridad constituyen en uno de los indicadores más álgidos en cuanto a seguridad de información, y a nivel local casi el 50% de las empresas participantes afirmaron haber sufrido al menos una brecha en los últimos 12 meses. Estas brechas requieren ser analizadas con mayor profundidad a fin de determinar los cambios en estrategia y programa de seguridad de información.

 

 

Emprendiendo el camino hacia una transformación estratégica 

Crear una organización estratégica en cuanto a seguridad de información es un compromiso a largo plazo entre el CISO y el negocio a fin de crear una visión compartida, sostenida e integrada sobre la gestión de riesgos de seguridad con fines empresariales.

Este compromiso implica superar muchos retos que actualmente no permiten que el negocio vea a la seguridad de la información como una herramienta habilitadora de productos, servicios y procesos más seguros, tales como el hecho de que el 36% de empresas participantes no miden los procesos de seguridad de información o que el 73% de las organizaciones no establezca si el retorno de la inversión en seguridad está devolviendo algún beneficio a la empresa.

Un aspecto positivo que destacar es que el CISO cada vez reporta menos a áreas relacionadas con TI, lo cual es confirmado por el 90% de las empresas participantes, que afirman que el nivel de reporte del CISO es áreas de negocio o gobernantes.

Un aspecto que es clave en este camino es el personal, un 34% de las empresas afirman que la falta de personal competente es un obstáculo para una gestión efectiva. Así mismo, la sensibilización o capacitación se reconoce como la principal iniciativa para el 2018.

 

 

La meta no es el final del camino

Lo único cierto sobre los riesgos de seguridad de información es su constante cambio y evolución por lo tanto una gestión exitosa de seguridad de información no debería ser la meta a alcanzar, sino más bien estar alerta de los cambios internos y externos a la organización que permitan realizar cambios oportunos a la estrategia y programa de seguridad. Balancear las 4 facetas del CISO permitirá a los profesionales de seguridad realizar una gestión exitosa y demostrar el valor para la organización.

 

[1] Deloitte University Press: Producto de un Laboratorio de Transición CISO, el cual es un taller intensivo de un día en el cual se tratan de mejorar los aspectos de gestión de seguridad de información.

¿Le pareció útil este contenido?