Del CIO al CISO: el rol estratégico de la ciberseguridad para el negocio

El reciente ataque cibernético a uno de los principales bancos del país (N. del E.: Chile) dejó en evidencia la vulnerabilidad de grandes empresas del sistema chileno en cuanto a la ciberseguridad. De manera autocrítica, es necesario seguir desarrollando estrategias que permitan hacer frente a esta problemática.

No solo la banca es una de las industrias afectadas. Tras analizar el último Informe Anual de Seguridad de Symantec (ISTR), se revela que en un 91,6% de los casos la industria financiera y de seguros local ha sufrido algún incidente cibernético, seguida por las organizaciones gubernamentales con el 8,11%. ¿Cuáles son las vulneraciones más frecuentes en la red? Chile se posiciona en categorías como Ataques a la red (24°), Ransomware (24°) y Bots (31°) a nivel mundial.

Además de estos ataques, hay uno que ha tomado relevancia y es el "Criptojacking", que durante el año pasado incrementó en un 8.500%, como consecuencia del valor astronómico que ha ido adquiriendo las criptomonedas.

El problema no se debe netamente a la falta de inversión, porque durante el 2017 las firmas chilenas gastaron US$ 195,7 millones en ciberseguridad, cifra que significó un alza de 4,1% respecto al 2016.

Sin embargo, hace falta aumentar el presupuesto destinado a la ciberseguridad. Un claro ejemplo de ello es que Chile invirtió un 0,07% del PIB nacional, muy por debajo del promedio de la mayoría de los países que gastan un 0,12% de su PIB.

De acuerdo a IDC y Netscout Arbor, en 2017 se registraron pérdidas cercanas a los US$90 mil millones a nivel mundial por ciberataques de distintos tipos, por lo que hoy es imperioso para las empresas la alternativa del Chief Information Security Office, que trabaje de la mano con el Gerente de Información y Tecnología para enfrentar esta problemática. La amenaza es real, Gartner prevé que el 60% de las empresas en América Latina sufrirán grandes fallas de seguridad, por lo que este tema debe verse como un problema crítico del negocio por los altos ejecutivos uy directorios.

En esta era digital, los ciberataques han significado cuantiosas pérdidas económicas, tanto para el sector público como para el privado, por eso es necesario tomar medidas para evitar que las empresas se vean afectadas no solo desde el punto de vista financiero, sino desde la perspectiva reputacional.

En este sentido, el CISO debe tener rol estratégico, capaz de gestionar los riesgos y educar a las mesas directivas, con el fin de que la protección ante los ciberataques sean parte efectiva de la estrategia del negocio.
Roles ciberseguridad en la empresa. CEO: soy el director ejecutivo, el responsables de la emrpesa. CIO: soy el responsable de toda la tecnología de la información de la organización. CTO: soy el responsable de la gestión diaria de las tecnologías de la información. CSO: soy el rsponsable de la seguridad fisica y tecnológica de la empresa. CISO: garantizar la seguridad de la información de la empresa es mi cometido.

CISO

El CISO (Chief Information Security Officer) es el director de seguridad de la información. Básicamente es un rol desempeñado a nivel ejecutivo y su función principal es la de alinear la seguridad de la información con los objetivos de negocio. De esta forma se garantiza en todo momento que la información de la empresa está protegida adecuadamente.
Como decíamos, cada día van saliendo nuevos roles. Por tanto, muchas de las responsabilidades de un puesto se han ido modificando a lo largo de los años. Sin embargo, para el rol de CISO podemos decir que en general, sus responsabilidades incluyen:
  • Generar e implantar políticas de seguridad de la información.
  • Garantizar la seguridad y privacidad de los datos.
  • Supervisar la administración del control de acceso a la información.
  • Supervisar el cumplimiento normativo de la seguridad de la información.
  • Responsable del equipo de respuesta ante incidentes de seguridad de la información de la organización.
  • Supervisar la arquitectura de seguridad de la información de la empresa.

CSO

El CSO (Chief Security Officer) es el responsable de la seguridad de la organización. Al CSO a veces se le denomina responsable de seguridad corporativa. Podemos pensar que el CISO y el CSO son el mismo rol y que desempeñan las mismas funciones. En organizaciones pequeñas es frecuente que coincidan ambas responsabilidades en una misma persona. Pero realmente no es así. El rol del CISO suele estar más centrado en aspectos de seguridad de la información, mientras que al CSO se le requiere:
  • Tener una visión de negocio que comprenda los riesgos que afronta la organización y cómo tratarlos.
  • Entender la misión y los objetivos de la empresa y asegurarse de que todas las actividades son planificadas y ejecutadas para satisfacer dichos objetivos.
  • Comprender las necesidades normativas, la gestión de la reputación de la organización y las expectativas de los usuarios.
  • Establecer los planes de continuidad de negocio y recuperación de desastres en el ámbito de las tecnologías de la información.
  • Estar al tanto de los cambios normativos, debiendo informarse de las consecuencias para las actividades de la organización y proponiendo las medidas oportunas para adecuarse al nuevo marco normativo.
Cuando existen CSO y CISO, el CISO reporta al CSO y el CSO a la dirección.

CEO

El CEO (Chief Executive Officer). Es sin lugar a dudas la sigla más conocida. Es el director ejecutivo, el gerente, el cargo más alto dentro del organigrama de la organización. Es el responsable final de las acciones que se lleven a cabo dentro de la empresa, de su desempeño y su eficiencia.
Su función principal es la de supervisar y velar porque la estrategia definida en la empresa cumpla con la consecución de los objetivos de la organización, además de sembrar los principios y pilares básicos a seguir dentro de la empresa.
El CEO tiene una importante relación con el CIO, debido a que las estrategias de las empresas están estrechamente ligadas al ámbito de las tecnologías de la información.

CIO

El CIO (Chief Information Officer), es el gerente de sistemas o director de tecnologías de la información. Reporta directamente al CEO, y se encarga básicamente de que las estrategias de la organización estén alineadas con la tecnología de la información para lograr los objetivos planificados.
Además, se encarga de mejorar los procesos de tecnologías de la información de la organización, gestionar el riesgo y la continuidad de negocio, controlar el coste en infraestructura de tecnologías de la información, alinear el gobierno de tecnologías de la información a los requerimientos tecnológicos, y establecer mejoras e innovaciones de soluciones y productos.

CTO

El rol del CTO (Chief Technology Officer) en un rol similar al CIO pero más «técnico». En este sentido, se han identificado nada menos que seis roles distintos que pueden desempeñar los CTO. Se entremezclan con las funciones de los CIO. Sin embargo podemos decir que es un director técnico, siendo su responsabilidad la gestión del día a día de las tecnologías de la información.
De forma resumida, el organigrama completo de los principales roles en ciberseguridad es:

Estos son los roles más conocidos y más utilizados en una organización. Seguro que irán saliendo nuevos cargos, y con ellos nuevos roles y siglas que los identifique. De hecho y según una importante consultora internacional, todo apunta a que este año aflorarán los roles de Chief Data Officer y Chief Digital Officer (ambas compartirán las mismas siglas, CDO) que coexistirán con las más tradicionales de CIO y CTO, al menos en el corto plazo, por lo que se necesitará una estrecha revisión de las responsabilidades y funciones entre los viejos y los nuevos roles.

Fuente: CiberTime | INCIBE

Via: feedproxy.google.com
Del CIO al CISO: el rol estratégico de la ciberseguridad para el negocio Del CIO al CISO: el rol estratégico de la ciberseguridad para el negocio Reviewed by Unknown on 10:00 Rating: 5