Iforense

Cómo convertirse en CISO (Chief Security Information Officer) o Director de Seguridad de la Información

Lo prometido es deuda. Si hace una semana analizábamos el papel que juega el CSO en la empresa y cuáles son sus principales responsabilidades, hoy llega el turno de analizar un perfil que aunque sobre el papel puede parecer similar, en realidad marca las diferencias: el CISO (Chief Security Information Officer) o Director de Seguridad de la Información.

Teniendo en cuenta el nivel creciente de amenazas informáticas que cada año experimentan empresas de todos los tamaños, la importancia y el rol que juega el CISO en la organización ha crecido a un ritmo similar. Y es que en un momento en el que el dato se ha convertido en el activo más importante con el que cuenta cualquier empresa, este perfil profesional ha pasado de ser un complemento en la estructura C-Suite de la empresa, a convertirse en un activo fundamental.

¿Qué es un CISO?

Dependiendo del tipo de empresa, el CISO puede ser el máximo responsable de seguridad de una compañía o bien trabajar con el CSO en la misma área. En el primer caso, además de disponer de un perfil puramente técnico, se encarga de alinear la estrategia de negocio desde el área de la seguridad informática, con los objetivos de negocio de la organización.

En el segundo caso, mucho más habitual en las grandes empresas, trabaja alineando sus objetivos propios con los del CSO y a la vez, con los del CIO y CTO. En líneas generales, el CISO se encarga de supervisar todos los procesos de la empresa con el objetivo de mantener a salvo su activo más preciado: los datos.

Para ello se encarga de responder ante posibles incidentes y brechas de seguridad, trabaja con el CSO en el diseño de las políticas adecuadas y dirige el establecimiento de los distintos protocolos y procedimientos que debe seguir la compañía en esta materia.

¿Cuáles son sus responsabilidades principales?

Como hemos visto hasta ahora, la gran responsabilidad del CISO es mantener segura la infraestructura informática de la compañía, especialmente en todo lo relativo al acceso y gestión de la información. Desde este punto de vista, el Director de Seguridad de la Información se ocupa directamente de las siguientes áreas:

  1. Elaborar, implantar y adaptar las políticas de seguridad de la información (en colaboración con el CSO)
  2. Trabajar para conseguir una total seguridad de los datos de la empresa, así como la privacidad de los mismos.
  3. Supervisar, controlar y administrar el acceso a la información de la empresa, y de sus trabajadores.
  4. Garantizar el cumplimiento de la normativa relacionada con la seguridad de la información (en colaboración con el CSO)
  5. Elaborar un conjunto de medidas de respuesta ante problemas de seguridad relacionados con la información, incluyendo la recuperación ante desastres.
  6. Supervisar y coordinar al equipo encargado de llevar a cabo las medidas de respuesta en caso de brechas de seguridad.
  7. Controlar, mejorar y adaptar la arquitectura de seguridad de la información en su empresa.
  8. Operaciones de seguridad de la información en sentido amplio, lo que incluye desde trabajos como forense de datos hasta programas de formación para luchar contra el fraude y el robo de información.

Por otro lado, también es responsabilidad del CISO el compliance de gestión de la información, lo cual no sólo implica involucrarse en la adaptación de la compañía en el cumplimiento con GDPR por ejemplo, sino trabajar para la obtener y mantener distintas certificaciones ISO en esta materia como pueden ser la  ISO/IEC 27001, que  especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un sistema de gestión de seguridad de la información.

¿Qué formación y habilidades tiene que tener?

La formación del CISO, probablemente más que cualquiera de la del resto de miembros del conjunto C-Suite, tiene un perfil marcadamente técnico. En primer lugar el CISO es un profesional que tiene conocimientos informáticos avanzados, como fruto de haber cursado una licenciatura en ingeniería informática o haber obtenido un título similar.

No obstante, la mayoría de los CISOs de primer nivel destacan por disponer además formación técnica complementaria en materia de seguridad informática, en algunos casos certificada por instituciones de primer nivel. En este campo, algunos de los títulos más representativos son los siguientes:

  • Certificado profesional en seguridad de sistemas de información (CISSP, por sus siglas en inglés), dirigido a profesionales del sector TI que quieran centrarse en el ámbito de la seguridad.
  • Certificación como gestor de seguridad de la información (CISM, por sus siglas en inglés), una alternativa muy popular para aquellos profesionales que quieren subir posiciones dentro de la materia de seguridad y completar una transición a cargos de responsabilidad y liderazgo.
  • Certificación de hacker ético (CEH, por sus siglas en inglés), dirigida a profesionales de la seguridad que quieran mejorar sus conocimientos en relación a las amenazas de seguridad que pueden afectar a una empresa.

Siendo aún más específicos, el CISO debería tener formación de primer nivel en materias clave para la seguridad de la información, que incluyen DNS, enrutamiento, autenticación, VPN, servicios de proxy y tecnologías de mitigación DDOS; prácticas de codificación, piratería ética y gestión de amenazas, cortafuegos y protocolos de detección o sistemas de prevención de intrusos.

Finalmente, al ser un miembro ejecutivo de alto nivel y con responsabilidad sobre un departamento, al CISO se le piden ciertas habilidades en áreas como liderazgo y gestión de equipos, saber dirigir proyectos y tener ciertos conocimientos financieros que le permitan priorizar y gestionar el aspecto económico de su departamento.

FUENTE: https://www.muycomputerpro.com

Sí, quieres saber más acerca de El CSIRT: Computer Security Incident Response Team, ingresa al Curso Online El CSIRT de UNICOLOMBIA®, https://cursos.unicolombia.edu.co/curso/el-csirt/