¿Qué hace un CISO en su día a día?

Un Director de Seguridad de la Información (CISO - Chief Information Security Officer) tiene un papel ejecutivo dentro de la organización y trabaja directamente bajo el mando de un Responsable de la Seguridad de la Organización conocido por su acrónimo en inglés CSO (Chief Security Officer) y este a su vez informa a un Director Ejecutivo o CEO (Chief Executive Officer).

Un CISO tiene que procurar que la seguridad de la información corporativa esté alineada con los objetivos de negocio de la organización, además de protegerla de la manera más adecuada dentro de las posibilidades técnicas, humanas y económicas de la organización.

Con este fin, el CISO realiza una serie de actividades dentro del ámbito de la seguridad de la información tales como: la supervisión del equipo de respuesta a incidentes, la arquitectura TI y la gestión de los controles, la revisión, generación y puesta en marcha de las políticas de seguridad, el cumplimiento normativo y la supervisión de la seguridad y privacidad de los datos corporativos.

Todas y cada una de las actividades que realizan los directores y responsables de ciberseguridad de las empresas relativas a la protección del dato/información y a la infraestructura, técnica o no, que lo soportan consumen su tiempo y tienen su importancia.

Dentro de las actividades que realizan los responsables de ciberseguridad de las empresas, hay unas que consumen más tiempo que otras. Dependiendo de la compañía u organización las actividades que más tiempo consumen serán diferentes, ya que el consumo del tiempo empleado dependerá de varios factores, por ejemplo, de los recursos tanto técnicos como humanos que tengan a su disposición los responsables de la seguridad para llevar a cabo su labor. Otros de los factores que afectan a la seguridad es el sector al que pertenece la organización, el tamaño e incluso la madurez de la misma.

El tiempo destinado no es el mismo para una empresa u organización perteneciente a un sector muy regulado con contantes cambios normativos, que para otra que no tenga prácticamente ninguna regulación y los cambios normativos sean escasos. Tampoco se verá afectada por igual una empresa de ámbito local que otra empresa de ámbito internacional. El tiempo que el CISO tendría que dedicar en ambos casos al cumplimiento normativo y la adopción de todas las medidas técnicas para lograr su objetivo será muy diferente.

Hay actividades que si no se planifican y controlan adecuadamente pueden acaparar la mayor parte de la actividad diaria de un CISO. Es el caso de la supervisión, la monitorización, la vigilancia del estado de la seguridad, la gestión de tipos de niveles de respuesta y la investigación de incidentes.

Establecer un ranking de expertos en materia de ciberseguridad ayuda al mercado en cuanto a que pone el foco sobre ciertas figuras cuya labor es un modelo a seguir tanto en técnicas, como buenas prácticas y proporciona al resto de las empresas un espejo en donde compararse. Son unos referentes profesionales en materia de seguridad a los cuales se les puede consultar, tanto en cuestiones relativas a su conocimiento, como en el uso los diferentes productos / herramientas existentes en el mercado vinculados a la seguridad.

Hoy en días hay poca proactividad en materia de ciberseguridad en las empresas. La realidad es que aunque se estima que el 89% de los directivos están preocupados por la ciberseguridad, pocos invierten recursos en ella. Tendrían que dotar de personal, presupuestos y planes a los departamentos encargados de la seguridad y la realidad es que no lo hacen habitualmente. Con este este ranking se pretende dar a conocer “estado del arte” en el mundo de la ciberseguridad, marcar un camino y una tendencia sobre herramientas, técnicas, estudios y tecnologías. Por otro lado, pretende mostrar al mundo empresarial que es posible tener control sobre la ciberseguridad y a su vez facilitar a los directivos que realmente están preocupados y concienciados, una lista de profesionales que son una referencia a los cuales pueden recurrir para mejorar la ciberseguridad de su organización.

Uno de los mayores retos para los profesionales de la seguridad es convencer a las empresas de la necesidad de invertir en seguridad. La seguridad es una inversión de tiempo y dinero, como cualquier servicio o producto, que siempre produce beneficios. En el mundo de la ciberseguridad se consideran que sólo existen dos tipos de empresas: las que han sido atacadas y lo saben y las que han sido atacadas y no lo saben. Un principio básico es que todas las empresas y personas físicas son objetivo de un ciberataque, puesto que en la mayoría de casos no hay “una persona detrás del ataque” sino que es una máquina, un programa, un bot. En definitiva, el ataque lo realiza un mecanismo artificial automatizado que no diferencia si su objetivo es “interesante” desde un punto de vista personal o financiero.

Desgraciadamente a día de hoy todavía existen múltiples empresas que solo se acuerdan de Santa Bárbara cuando truena, es decir, que se preocupan cuando ya han tenido un incidente, cuando han sufrido un robo o desaparición de datos, cuando han detectado actividades sospechosas, cuando se ha producido una salida de empleados que tenían acceso a datos confidenciales, cuando se producen requerimientos de proveedores en cuanto a formación en materia de ciberseguridad y/o necesitan “cumplir” con una norma, etc.

Es un error muy común que muchas de las empresas recurren a los servicios de ciberseguridad cuando tienen problemas relativos a la protección de su infraestructura y/o datos, o simplemente cuando quieren cumplir con lo que marca la ley, sin querer profundizar y analizar el estado de la seguridad en su organización.

Las recomendaciones que se pueden hacer a todas y cada una de las empresas es que dediquen una parte del presupuesto anual a cubrir las necesidades de ciberseguridad de la empresa, que conciencien a todo el personal de los riesgos asociados y lo formen de forma periódica en estos temas, que tengan y/o diseñen Planes Directores de Seguridad y que tengan personal propio o subcontratado cualificado para materias de ciberseguridad al cual poder consultar / recurrir en caso de necesidad.

Tomás Isasia Infante Padre, emprendedor, innovador, experto en consultoría tecnológica, divulgador de seguridad IT, chef y jugador de golf ocasional. Madrid, España.