Organización de la Seguridad
Algunas variables que determinan cómo es la estructura del departamento de seguridad son las siguientes:
– Cultura organizacional
– Tamaño de la Compañía
– Presupuesto a nivel de personal / gastos / inversión
Sin embargo, con el avance tecnológico, la transformación digital y el uso de la nube, elCISO ha dejado de ser un profesional técnico al margen de la estrategia empresarial, para incorporarse en los procesos de negocio de las empresas, cobrando un papel fundamental dentro de las organizaciones.
El origen del CISO
En la década de los 90, la información de una entidad se encontraba almacenada en centros de procesamiento de datos o Data Centers. En ese momento, el CISO era la persona operativa que protegía esa información aplicando las medidas de seguridad necesarias.
Que es un CISO
La información es el activo más valioso para las organizaciones, especialmente en un mundo en el que no dejan de aumentar los riesgos relacionados con la seguridad de la misma. Por eso, se demandan cada vez más perfiles encargados de proteger y mantener los sistemas informáticos y la información.
En concreto, el máximo responsable de velar por la ciberseguridad de una entidad es el CISO (Chief Information Security Officer, por sus siglas en inglés), quien se encarga de proteger la información ante posibles ataques cibernéticos y fugas de datos, garantizando su seguridad dentro de las posibilidades económicas, técnicas y humanas de la empresa.
El perfil del CISO
En cuanto a la formación y experiencia, el CISO suele contar con formación en ingeniería informática, de telecomunicaciones o similar, además de tener una amplia experiencia en nuevas tecnologías y seguridad de la información.
Estos perfiles cuentan con conocimientos legales y deben disponer de una serie de certificaciones internacionales reconocidas en el ámbito de la seguridad informática, como la Certificación de Auditor de Sistemas de Información (CISA), la Certificación en Riesgos y Control de Sistemas de Información (CRISC) o la Certificación en Gestión de Seguridad de la Información (CISM), entre otras.
Sin embargo, con la evolución y la importancia que está experimentando la figura del CISO dentro de la estructura empresarial, cada vez se demandan más perfiles con visión empresarial, habilidades comunicativas, de liderazgo, transversalidad y gran capacidad analítica.
Ubicando la Seguridad de la Información dentro de una Organización
En las grandes organizaciones el área de Seguridad de la Información es generalmente ubicada dentro del departamento de IT.
Es dirigida por el CISO que reporta directamente a los más altos ejecutivos de Sistemas o al CIO.
Por su propia naturaleza, un programa de Seguridad de la Información entra generalmente en contradicción con las metas y objetivos del departamento de IT como conjunto. Actualmente existe una tendencia o movimiento a separar a la seguridad de la información de la división de IT.
El desafío es inminente en diseñar una estructura de reporte para los programas de Seguridad de la Información que equilibre los requerimientos de cada una de las partes que podrían ser afectada.Depende del nivel de madurez que posee la Compañía y el programa de seguridad se asigna al CISO.
Dependencias a las cuales hacer mayor énfasis en la seguridad, (deacuerdo alTamaño y negocio de la Compañía).
- Administración Riesgo
- Jurídica
- Auditoría Interna
- Finanzas
- Recursos Humanos
- Operaciones