viernes, 19 de diciembre de 2014

[Algunos] Retos de un CISO en el mundo actual

La vida del CISO (Chief Information Security Officer) o responsable de Seguridad de la Información antes de que nos invadieran las siglas anglosajonas, es una vida realmente dura. Entre sus responsabilidades se encuentran prever y proteger a la organización de todos los riesgos que puedan afectar a la seguridad de sus activos de información, detectar y responder de manera adecuada ante los incidentes de seguridad, gestionar la infraestructura de seguridad de su organización, gestionar todo el ciclo de vida de las vulnerabilidades técnicas y garantizar el cumplimiento con las leyes, regulaciones y estándares pertinentes en materia de seguridad de la información.

Pero si todo esto no os parece un reto suficientemente complicado, hay que añadir que el CISO tiene que afrontarlo con presupuestos generalmente muy ajustados o por debajo de lo necesario debido a lo difícil que es predecir el ROI de las inversiones en seguridad. Y no sólo es difícil predecirlo, sino que en muchos casos también es harto complicado medirlo una vez la inversión se ha realizado. Y es que aquí nos encontramos con la llamada ‘paradoja de la seguridad’ y que se da cuando en una organización no se están produciendo incidentes de seguridad. Cuando esto ocurre, la dirección de la empresa puede dudar si la falta de incidentes se debe a la inversión realizada o si seguirían sin tener incidentes aunque redujeran el presupuesto dedicado a seguridad. Y este tipo de dudas, en los tiempos de crisis que vivimos, ya sabemos cómo suelen acabar.

En mi opinión, la mejor manera que tiene un CISO de justificar sus presupuestos es realizar un análisis de riesgos presentando el ROI de la inversión de seguridad en forma de reducción del riesgo. Sin embargo, el resultado de estos análisis de riesgos se debe presentar en el idioma que la dirección entiende: $$. Hay que poner un valor cuantitativo y económico a cada riesgo, justificándolo adecuadamente y teniendo en cuenta el contexto del negocio. Y este es otro punto realmente complicado, ya que en muchas ocasiones el CISO no dispone de la información y el conocimiento del contexto de negocio para poder trasladar correctamente los riesgos de seguridad a impactos económicos para el negocio. Y esto nos lleva a una nueva paradoja del mundo de los CISO; les sobran los datos pero les falta información. Y es que el exceso de datos es otro de los mayores problemas con los que tiene que lidiar un CISO (o su equipo); eventos generados por multitud de dispositivos de seguridad y sistemas, resultados de escaneos de vulnerabilidad y pruebas de penetración, nuevas vulnerabilidades, nuevas amenazas, nuevas técnicas y tecnologías aparecidas en el ámbito de la seguridad de la información, etc...

Ser capaces de lidiar con toda esta cantidad de datos y ser capaces de transformarla en información útil, es uno de los grandes desafíos a los que se enfrentan los departamentos de seguridad de la inforamción. Ser capaces de centralizar, correlacionar y analizar a tiempo la información es un primer paso sin duda importante para ser capaces de convertir los datos en información. Generar alertas que permitan reaccionar a tiempo ante incidentes de seguridad, o análisis de tendencias que permitan detectar anomalías va un paso más allá y permite convertir esa información en inteligencia de seguridad. Pero el auténtico reto para el CISO es dar aún un paso adicional y ser capaz de transformar esa información y esa inteligencia de seguridad en inteligencia de negocio, siendo capaz de relacionar de una manera rápida y acertada esos riesgos e incidentes de seguridad con el impacto real que tenga para el negocio. Es decir, el auténtico desafío que deben encarar ahora los responsables de seguridad de la información es el de ser capaces de reportar en tiempo real a su dirección cual es el riesgo para el negocio que se está derivando de los riesgos de seguridad de la información, de manera que la dirección pueda contar con información actualizada e integral de los riesgos que afectan a su organización, independientemente de su origen (financieros, de seguridad física o de la información, de cumplimiento, de evolución de los mercados, de evolución de la competencia, etc..). Una vez los CISO puedan contar con herramientas que les permitan realizar esa transformación de datos a inteligencia de negocio de una manera eficiente, su vida será un poco más sencilla puesto que la justificación de sus presupuestos caerá por su propio peso. O visto desde la otra perspectiva, la Dirección del negocio contará con la información suficiente a la hora de tomar decisiones sobre qué objetivos concretos de seguridad exigirán al departamento de seguridad de la organización y, por lo tanto, que partida presupuestaria le asignarán para el cumplimiento de esos objetivos.





Así pues, en resumen, un buen CISO debe disponer de un correcto equilibrio entre habilidades técnicas y habilidades de gestión y conocimiento del negocio, teniendo capacidad para lidiar tanto con el personal técnico como con la dirección de la compañía mientras mantiene bajo su paraguas un alcance realmente amplio de responsabilidades en este apasionante mundo de la seguridad de la información dónde lo que ocurre hoy nada tiene que ver con lo que estará pasando el año que viene, o lo que es prácticamente lo mismo, de aquí a dos semanas. J