Director de seguridad de la información

Rol ejecutivo organizacional

Un director de seguridad de la información (CISO) es un ejecutivo de alto nivel dentro de una organización responsable de establecer y mantener la visión, la estrategia y el programa empresarial para garantizar que los activos y las tecnologías de la información estén adecuadamente protegidos. El CISO dirige al personal en la identificación, desarrollo, implementación y mantenimiento de procesos en toda la empresa para reducir los riesgos de la información y la tecnología de la información (TI). Responden a incidentes, establecen estándares y controles apropiados, gestionan tecnologías de seguridad y dirigen el establecimiento e implementación de políticas y procedimientos. El CISO también suele ser responsable del cumplimiento relacionado con la información (por ejemplo, supervisa la implementación para lograr la certificación ISO/IEC 27001 para una entidad o una parte de ella). El CISO también es responsable de proteger la información de propiedad y los activos de la empresa, incluidos los datos de clientes y consumidores. CISO trabaja con otros ejecutivos para asegurarse de que la empresa crezca de manera responsable y ética.

Normalmente, la influencia del CISO llega a toda la organización. Las responsabilidades pueden incluir, entre otras:

• Equipo de respuesta a emergencias informáticas /equipo de respuesta a incidentes de seguridad informática
• La seguridad cibernética
• Recuperación ante desastres y gestión de la continuidad del negocio
• Gestión de identidad y acceso.
• Privacidad de la información
• Cumplimiento normativo de la información (p. ej., PCI DSS de EE. UU. , FISMA , GLBA , HIPAA ; Ley de protección de datos del Reino Unido de 1998 ; PIPEDA de Canadá , RGPD de Europa )
• Gestión de riesgos de la información.
• Seguridad de la información y aseguramiento de la información.
• Centro de operaciones de seguridad de la información (ISOC)
• Controles de tecnología de la información para sistemas financieros y de otro tipo.
• Investigaciones de TI, análisis forense digital , eDiscovery

Tener un CISO o una función equivalente en las organizaciones se ha convertido en una práctica estándar en organizaciones empresariales, gubernamentales y sin fines de lucro. En 2009, aproximadamente el 85% de las grandes organizaciones tenían un ejecutivo de seguridad, frente al 56% en 2008 y el 43% en 2006 ^{[ cita requerida ]} . En 2018, la Encuesta sobre el estado global de la seguridad de la información 2018 (GSISS), una encuesta conjunta realizada por CIO, CSO y PwC, ^{[1] [2]} concluyó que el 85% de las empresas tienen un CISO o equivalente. El papel del CISO se ha ampliado para abarcar los riesgos que se encuentran en los procesos comerciales , la seguridad de la información, la privacidad del cliente y más. Como resultado, ahora existe una tendencia a ya no integrar la función CISO dentro del grupo de TI. En 2019, solo el 24% de los CISO reportan a un director de información (CIO), mientras que el 40% reporta directamente a un director ejecutivo (CEO) y el 27% pasa por alto al director ejecutivo y reporta a la junta directiva. Incorporar la función de CISO bajo la estructura de informes del CIO se considera subóptimo, porque existe la posibilidad de conflictos de intereses y porque las responsabilidades del rol se extienden más allá de la naturaleza de las responsabilidades del grupo de TI. La estructura de informes del CISO puede variar según el tamaño de la organización, la industria, el entorno regulatorio y el perfil de riesgo. Sin embargo, la importancia de la seguridad de la información en las empresas actuales ha elevado el papel del CISO hasta convertirse en un puesto de alto nivel. ^[3]

En las corporaciones, la tendencia es que los CISO tengan un fuerte equilibrio entre visión para los negocios y conocimiento tecnológico. Los CISO suelen tener una gran demanda y la remuneración es comparable a la de otros puestos de nivel C que también ostentan un título corporativo similar .

Un CISO típico posee certificaciones no técnicas (como CISSP y CISM ), aunque un CISO con experiencia técnica tendrá un conjunto de habilidades técnicas ampliadas. Otra formación típica incluye gestión de proyectos para gestionar el programa de seguridad de la información, gestión financiera (por ejemplo, tener un MBA acreditado ) para gestionar los presupuestos de seguridad de la información y habilidades interpersonales para dirigir equipos heterogéneos de gerentes de seguridad de la información, directores de seguridad de la información, analistas de seguridad e ingenieros de seguridad. y gestores de riesgos tecnológicos. Recientemente, dada la participación del CISO en cuestiones de privacidad, certificaciones como CIPP son muy solicitadas.

Un avance reciente en esta área es la aparición de los CISO "virtuales" (vCISO, también llamados "CISO fraccionados"). ^{[4] [5]} Estos CISO trabajan de forma compartida o fraccionada, para organizaciones que pueden no ser lo suficientemente grandes como para soportar un CISO ejecutivo de tiempo completo, o que pueden desear, por diversas razones, tener un ejecutivo externo especializado. desempeñando este papel. Los vCISO suelen realizar funciones similares a las de los CISO tradicionales y también pueden funcionar como CISO "interino" mientras una empresa que normalmente emplea a un CISO tradicional busca un reemplazo. ^[6] Las áreas clave en las que los vCISO pueden respaldar a una organización incluyen:

• Asesorar sobre todas las formas de riesgo cibernético y planes para abordarlos: los vCISO pueden evaluar los riesgos de ciberseguridad de una organización, desarrollar estrategias para mitigar esos riesgos e implementar medidas de ciberseguridad adecuadas. También pueden brindar orientación sobre planes de respuesta a incidentes, continuidad del negocio y planificación de recuperación ante desastres.
• Capacitación de la junta directiva, el equipo de administración y el equipo de seguridad: los vCISO pueden trabajar en estrecha colaboración con la junta directiva, el equipo de administración y el equipo de seguridad para brindar capacitación, orientación y experiencia en asuntos de ciberseguridad. Esto incluye ayudar a las organizaciones a comprender las implicaciones estratégicas de los riesgos de ciberseguridad, desarrollar políticas y procedimientos de ciberseguridad y garantizar que se sigan las mejores prácticas de ciberseguridad.
• Evaluación y selección de productos y servicios de proveedores: los vCISO pueden ayudar a las organizaciones a evaluar y seleccionar productos y servicios de ciberseguridad, como firewalls, sistemas de detección de intrusos y soluciones de gestión de eventos e información de seguridad (SIEM). También pueden ayudar con las negociaciones de contratos y la gestión de proveedores para garantizar que las organizaciones obtengan el mejor valor de sus inversiones en ciberseguridad.
• Modelado de madurez de operaciones, procesos, capacidades y habilidades del equipo de ingeniería: los vCISO pueden evaluar el nivel de madurez en ciberseguridad de una organización y desarrollar planes para mejorar los procesos, capacidades y habilidades de los equipos de operaciones e ingeniería. Esto incluye realizar evaluaciones de ciberseguridad, implementar marcos de ciberseguridad y proporcionar programas de capacitación y desarrollo para el personal.
• Sesiones informativas y actualizaciones de la junta directiva y del equipo directivo: los vCISO pueden proporcionar sesiones informativas y actualizaciones periódicas a la junta directiva y al equipo directivo sobre el panorama actual de ciberseguridad, las amenazas emergentes y las mejores prácticas. También pueden ayudar a desarrollar programas de concientización sobre ciberseguridad y capacitación para empleados en todos los niveles de la organización.
• Planificación y revisión del presupuesto operativo y de capital: los vCISO pueden ayudar en la planificación y revisión de los presupuestos operativos y de capital relacionados con la ciberseguridad. Esto incluye identificar y priorizar las inversiones en ciberseguridad, desarrollar estrategias rentables para la ciberseguridad y garantizar que se asignen recursos adecuados para abordar los riesgos de ciberseguridad.

Ver también

• Seguridad de información
  • Gobernanza de la seguridad de la información
  • Gestión de seguridad de la información.
• Junta Directiva
• Director de datos
• Director ejecutivo
• director de información
• Director de riesgos
• Jefe de seguridad

Referencias

1. "Encuesta sobre el estado mundial de la seguridad de la información de 2018". IDG . 2017-12-08 . Consultado el 17 de agosto de 2021 .
2. Fruhlinger, Josh (12 de junio de 2018). "¿Importa a quién reporta el CISO?". PricewaterhouseCoopers . Archivado desde el original el 4 de abril de 2019 . Consultado el 17 de agosto de 2021 .{{cite web}}: CS1 maint: unfit URL (link)
3. Haugli, Brian (6 de enero de 2024). "Opciones de estructura de informes CISO" . Consultado el 18 de febrero de 2024 .
4. Drolet, Michelle (1 de abril de 2015). "Asegure su futuro con un CISO virtual". Revista InfoSeguridad . Consultado el 17 de agosto de 2021 .
5. Haugli, Brian (22 de agosto de 2022). "¿Qué es un vCISO? Experiencia, políticas y programas necesarios en ciberseguridad". YouTube . Consultado el 18 de febrero de 2024 .
6. Haugli, Brian (7 de octubre de 2023). "¿Qué es un vCISO y cómo contratar uno?" . Consultado el 7 de octubre de 2023 .

enlaces externos

• "La División CERT". Instituto de Ingeniería de Software de la Universidad Carnegie Mellon . Consultado el 17 de agosto de 2021 .
• "Gestión del riesgo de seguridad de la información: organización, misión y visión del sistema de información". NIST . Marzo de 2011 . Consultado el 17 de agosto de 2021 .
• Ciberseguridad KB