¿Qué es un director de seguridad de la información?

Un CISO es responsable de establecer una estrategia de seguridad y garantizar que los activos de datos estén protegidos. Los CISO tradicionalmente trabajan junto con el director de información (CIO) para lograr estos objetivos.

¿Qué hace un CISO?

Como guardianes de la seguridad de la información, el papel del CISO es crear una estrategia que aborde la complejidad regulatoria cada vez mayor, creando políticas, arquitectura de seguridad, procesos y sistemas que ayuden a reducir las amenazas cibernéticas y mantener los datos seguros. El cumplimiento es un elemento clave del rol, al igual que la comprensión de la gestión de riesgos.

Los CISO comprenderán cómo está evolucionando el panorama de amenazas a la ciberseguridad y cómo eso podría afectar los riesgos de seguridad que enfrenta su organización en particular. Eso significa tener en cuenta todo, desde el riesgo de malware y piratería hasta amenazas internas o vulnerabilidades sin parches en los sistemas de la organización. Es probable que el CISO desempeñe un papel clave en cualquier respuesta a incidentes si se produce una violación de datos.

VER: Ciberseguridad: seamos tácticos (Característica especial de /TechRepublic) | Descargue la versión PDF gratuita (República Tecnológica)

La importancia de la ciberseguridad es tal que la gran mayoría (89%) de los CISO son convocados periódicamente por la junta directiva para brindar recomendaciones para el negocio, informa 451, la firma de investigación y seguridad Kaspersky.

Más de la mitad (54%) de los CISO que respondieron a la encuesta de liderazgo de TI de 2019 del consultor KPMG y el reclutador Harvey Nash dijeron que son miembros de la junta operativa o del comité de gestión ejecutiva.

¿Qué importancia tiene el papel del CISO?

En resumen, es crucial: garantizar que los sistemas de TI cumplan con los requisitos normativos y de seguridad es la máxima prioridad para los jefes de tecnología, según Grant Thornton LLP y el Technology Business Management Council. Informan que hasta el 83% de los líderes de TI han aumentado el gasto en ciberseguridad en los últimos 12 meses.

¿Los ejecutivos de negocios toman en serio al CISO?

Un poco. Si bien es una buena noticia que los CISO cuenten con una audiencia ejecutiva cada vez más destacada para sus opiniones, la importancia estratégica de la ciberseguridad está lejos de estar garantizada. Casi la mitad (43%) de los CISO sienten que están en competencia directa con otras iniciativas comerciales y de TI por la financiación, informa 451 Research y Kaspersky.

Esa batalla por el efectivo está reñida con tendencias empresariales más amplias: casi todos los expertos reconocen que las empresas deben tomarse la seguridad más en serio que nunca. Pero mientras que el 40% de los CISO dice que su organización ha sido sometida a un ataque de seguridad en los últimos dos años, sólo el 29% de los CISO cree que están muy bien posicionados para hacer frente a los riesgos de seguridad, según KPMG y Harvey Nash.

VER: Diez consejos para nuevos profesionales de la ciberseguridad (PDF gratuito)

El consultor EY dice que las organizaciones sólo pueden ir un paso por delante de la amenaza cibernética creando lo que llama “una cultura de seguridad por diseño”. Este enfoque se basa en cerrar la brecha entre la función de seguridad y la alta dirección. En este caso, los CISO actúan como consultores y facilitadores, en lugar de posicionar la seguridad como un obstáculo a la forma en que la gente quiere trabajar.

Sin embargo, EY informa que si bien los equipos de seguridad tienen buenas relaciones con funciones adyacentes, como TI, auditoría, riesgos y legal, existe una desconexión con otras partes del negocio. Casi tres cuartas partes (74%) de los CISO dicen que la relación entre seguridad y marketing es, en el mejor de los casos, neutral, si no desconfiada o inexistente. Más de la mitad (57%) dice que su relación con las finanzas, de las que dependen para la autorización presupuestaria, también es tensa. A los CISO con cierta visión para los negocios les puede resultar más fácil comunicarse con la dirección ejecutiva que a aquellos totalmente centrados en los detalles técnicos.

¿Cómo trabajan juntos el director de seguridad de la información y el CIO en materia de seguridad?

Cecilia Feng, profesora asistente de contabilidad en la Universidad Stony Brook, dice que aunque el CIO y el CISO tienen el deber de proteger los sistemas de TI de su empresa, la relación entre estos dos roles es bastante sutil. Si bien un CIO generalmente depende del director ejecutivo o director financiero de la empresa, un CISO a menudo puede trabajar bajo la dirección del CIO, lo que refleja la amplitud de sus funciones.

Feng está de acuerdo en que la batalla por la financiación significa que la relación entre CISO y CIO no siempre es sencilla, pero ambos deben reconocer que comparten los mismos objetivos, enfrentan los mismos desafíos y podrían sufrir las mismas consecuencias.

“Mi estudio reciente muestra que un CIO tiene un 72% más de probabilidades de ser despedido luego de una violación de seguridad causada por una deficiencia del sistema”, afirma.

También es probable que el CISO deba rendir cuentas por las deficiencias de seguridad. Pero cuando están unidos, estos ejecutivos de TI pueden consolidar su poder para tener una mayor voz en la sala de juntas cuando se trata de iniciativas tecnológicas y de guiar el negocio.

¿Cómo es ser CISO?

Según KPMG y Harvey Nash, más de las tres cuartas partes (78%) de los CISO consideran que su trabajo es muy o bastante satisfactorio. En un mundo donde la tecnología y los datos siguen ganando importancia, es poco probable que el CISO se aburra pronto.

Sin embargo, esa tensión también causa grandes problemas. La gran mayoría de los CISO (88%) siguen estresados ​​de forma moderada o tremenda, según una investigación de Nominet y Vanson Bourne. Peor aún, casi la mitad (48%) de los CISO dicen que el estrés laboral tuvo un impacto perjudicial en su salud mental el año pasado, casi el doble que en 2018 (27%).

Rich Armour, ex CISO global de General Motors y ahora asesor de ciberseguridad de Nozomi Networks, dice que es crucial que los jefes de seguridad puedan encontrar una manera de mantener la calma bajo presión.

“Muchas de las tareas diarias del CISO son estresantes, pero la gestión de incidentes importantes o de una infracción divulgada públicamente lleva este estrés al extremo”, afirma. “Los CISO deben poder gestionar y liderar eficazmente la organización a través de estas situaciones estresantes, manteniendo al mismo tiempo su perspectiva y equilibrio”.

¿Cuáles son las condiciones laborales de los CISO?

Los CISO ocupan una posición de poder en la mayoría de las organizaciones, pero esta autoridad conlleva condiciones. Casi todos los CISO trabajan más allá de las horas contratadas, una media de 10 horas por semana, informan Nominet y Vanson Bourne. Cuando no están en el trabajo, muchos CISO se sienten incapaces de desconectarse; No es inusual perderse cumpleaños, días festivos, bodas e incluso funerales.

Casi tres cuartas partes (71%) de los CISO dicen que su equilibrio entre la vida laboral y personal está demasiado inclinado hacia el trabajo. Tampoco toman sus vacaciones anuales, días de enfermedad ni tiempo para citas médicas. El resultado es más presión y más problemas de salud.

Casi todos los CISO (90%) dicen que aceptarían un recorte salarial si mejorara su equilibrio entre el trabajo y la vida personal. En promedio, los CISO dicen que estarían dispuestos a renunciar al 7,76% de su salario, lo que equivale a 9.642 dólares (7.475 libras esterlinas) al año.

¿Cuánto se les paga a los CISO?

El hecho de que tantos CISO estén dispuestos a reducir sus tarifas para trabajar menos sugiere que muchos están bien compensados ​​por las enormes tensiones y tensiones que enfrentan.

El salario medio nacional de un CISO en el Reino Unido es de unas 117.000 libras esterlinas, según el especialista en contratación Glassdoor. Las tarifas varían considerablemente entre los roles del sector público y privado, por industria y por ubicación.

Sin embargo, abundan las oportunidades para profesionales talentosos. La tasa de desempleo del personal capacitado en ciberseguridad es del 0%, lo que sugiere que la demanda de trabajadores en esta profesión es aguda y va acompañada de una oferta insuficiente.

Cybersecurity Ventures predice que habrá 3,5 millones de puestos vacantes en ciberseguridad en todo el mundo para 2021. Mientras tanto, el ciberdelito triplicará con creces el número de puestos vacantes en los próximos cinco años. La demanda masiva de expertos en seguridad capacitados sólo hará subir las tarifas.

Las investigaciones sugieren que las corporaciones Fortune 500 pagan 400.000 dólares o más anualmente a los CISO. De hecho, la enorme demanda de experiencia y las crecientes exigencias de regulaciones como el Reglamento General de Protección de Datos (GDPR) significan que tarifas máximas de $1 millón o más podrían no ser infrecuentes pronto.

VER: Guía para profesionales de TI sobre el cumplimiento del RGPD (PDF gratuito)

¿Cómo puedo convertirme en CISO?

Los CISO tienden a surgir del lado de seguridad de los departamentos de tecnología. James Walsh, jefe de práctica de seguridad de Harvey Nash, dice que algunas calificaciones son realmente útiles para los profesionales de TI o seguridad que buscan progresar o ascender a puestos de CISO.

Dice que la cualificación más deseada es la de Profesional Certificado en Seguridad de Sistemas de Información (CISSP) de (ISC)²: “Se incluye en la mayoría de los requisitos de los clientes y especificaciones de trabajo”, afirma.

Walsh dice que otras calificaciones de gran prestigio incluyen: la certificación de Gerente Certificado de Seguridad de la Información de ISACA, su certificación de Auditor Certificado de Sistemas de Información y su certificación de Certificado en Control de Riesgos y Sistemas de Información.

Ha habido un crecimiento significativo en la popularidad de la calificación de CISO Certificado (CCISO) del EC-Council, particularmente entre los gerentes de seguridad de la información que buscan ascender a roles de CISO. Para todos los profesionales, la educación continua probablemente sea la clave del éxito.

“La amplitud de la seguridad de la información y su panorama y amenazas en constante cambio significan que los CISO y todos los profesionales de la seguridad necesitan mantener y actualizar sus habilidades, y muchas de las calificaciones se complementan con otras, como las calificaciones de Implementador y Auditor de ISO 27001. , como ocurre con todos los profesionales de la tecnología en un mundo digital que cambia rápidamente, el aprendizaje y la capacitación continuos son una parte integral de cualquier trayectoria profesional”, dice Walsh.

¿Qué hace que un CISO sea excelente?

Walsh afirma que hay una serie de cualidades clave que demuestran los CISO exitosos. Como ocurre con cualquier puesto de alto nivel en negocios o TI, las habilidades de liderazgo son clave; La capacidad de gestionar, motivar e impulsar equipos y programas de seguridad de la información en toda la empresa, y ser un líder e influyente dentro del nivel ejecutivo de la empresa, es fundamental.

Las habilidades de entrega y ejecución estratégicas también son importantes. Walsh dice que la habilidad clave de un buen CISO es la capacidad de definir cuidadosamente estrategias y hojas de ruta de seguridad a corto y largo plazo para toda la organización que se superpongan y respalden la estrategia empresarial. “Además de esto, está la capacidad y el historial para implementar estos programas de mejora, ya sea en términos de cambios de personas, procesos o tecnología”, afirma.

Walsh incluso dice que un buen sentido del humor puede ser una característica importante de un CISO exitoso. En un trabajo muy estresante, donde la próxima crisis podría estallar en cualquier momento, la capacidad de comunicar los riesgos y amenazas en toda la empresa de una manera accesible puede ser de gran ayuda.

¿Cuáles son las habilidades clave de un director de seguridad de la información?

Rich Armor enumera una serie de características clave de los CISO exitosos:

Estilo de liderazgo eficaz e inspirador Fuertes habilidades de comunicación con una variedad de audiencias Capacidad para mantener la calma bajo presión Colaborativo y orientado a resultados Sentido de urgencia extremadamente fuerte Multitarea hábil Curiosidad intensa sobre la tecnología y el panorama en constante cambio de las amenazas cibernéticas Sólido conocimiento de tecnología y seguridad Sólido manejo de riesgos Instintos: Fuerte perspicacia para los negocios.

¿Cómo pueden los CISO utilizar sus habilidades en un entorno empresarial?

Matt Harris, jefe de TI de Mercedes-AMG Petronas Motorsport, dice que un buen jefe de seguridad para su negocio tiene que ser “un poco especial”. Dice que mucha gente de seguridad lucha cuando se trata de saber qué necesitan para poder brindar el nivel correcto de seguridad para respaldar al negocio en lo que necesita hacer. “En otras palabras, ni demasiado ni demasiado poco”, afirma.

Harris dice que hay “una línea muy fina…