La vida del CISO (Chief Information Security Officer) o responsable de
Seguridad de la Información antes de que nos invadieran las siglas
anglosajonas, es una vida realmente dura. Entre sus responsabilidades se
encuentran prever y proteger a la organización de todos los riesgos que puedan
afectar a la seguridad de sus activos de información, detectar y responder de
manera adecuada ante los incidentes de seguridad, gestionar la infraestructura
de seguridad de su organización, gestionar todo el ciclo de vida de las
vulnerabilidades técnicas y garantizar el cumplimiento con las leyes,
regulaciones y estándares pertinentes en materia de seguridad de la
información.
Pero si todo esto no os parece un reto suficientemente complicado, hay que
añadir que el CISO tiene que afrontarlo con presupuestos generalmente muy
ajustados o por debajo de lo necesario debido a lo difícil que es predecir el
ROI de las inversiones en seguridad. Y no sólo es difícil predecirlo, sino que en
muchos casos también es harto complicado medirlo una vez la inversión se ha
realizado. Y es que aquí nos encontramos con la llamada ‘paradoja de la
seguridad’ y que se da cuando en una organización no se están produciendo
incidentes de seguridad. Cuando esto ocurre, la dirección de la empresa puede
dudar si la falta de incidentes se debe a la inversión realizada o si seguirían
sin tener incidentes aunque redujeran el presupuesto dedicado a seguridad. Y
este tipo de dudas, en los tiempos de crisis que vivimos, ya sabemos cómo
suelen acabar.
En mi opinión, la mejor manera que tiene un CISO de justificar sus
presupuestos es realizar un análisis de riesgos presentando el ROI de la
inversión de seguridad en forma de reducción del riesgo. Sin embargo, el resultado
de estos análisis de riesgos se debe presentar en el idioma que la dirección
entiende: $$. Hay que poner un valor cuantitativo y económico a cada riesgo,
justificándolo adecuadamente y teniendo en cuenta el contexto del negocio. Y
este es otro punto realmente complicado, ya que en muchas ocasiones el CISO no
dispone de la información y el conocimiento del contexto de negocio para poder
trasladar correctamente los riesgos de seguridad a impactos económicos para el
negocio. Y esto nos lleva a una nueva paradoja del mundo de los CISO; les
sobran los datos pero les falta información. Y es que el exceso de datos es
otro de los mayores problemas con los que tiene que lidiar un CISO (o su
equipo); eventos generados por multitud de dispositivos de seguridad y sistemas,
resultados de escaneos de vulnerabilidad y pruebas de penetración, nuevas
vulnerabilidades, nuevas amenazas, nuevas técnicas y tecnologías aparecidas en
el ámbito de la seguridad de la información, etc...
Ser capaces de lidiar con toda esta cantidad de datos y ser capaces de
transformarla en información útil, es uno de los grandes desafíos a los que se
enfrentan los departamentos de seguridad de la inforamción. Ser capaces de
centralizar, correlacionar y analizar a tiempo la información es un primer paso
sin duda importante para ser capaces de convertir los datos en información.
Generar alertas que permitan reaccionar a tiempo ante incidentes de seguridad,
o análisis de tendencias que permitan detectar anomalías va un paso más allá y
permite convertir esa información en inteligencia de seguridad. Pero el
auténtico reto para el CISO es dar aún un paso adicional y ser capaz de
transformar esa información y esa inteligencia de seguridad en inteligencia de
negocio, siendo capaz de relacionar de una manera rápida y acertada esos
riesgos e incidentes de seguridad con el impacto real que tenga para el
negocio. Es decir, el auténtico desafío que deben encarar ahora los
responsables de seguridad de la información es el de ser capaces de reportar en
tiempo real a su dirección cual es el riesgo para el negocio que se está
derivando de los riesgos de seguridad de la información, de manera que la
dirección pueda contar con información actualizada e integral de los riesgos
que afectan a su organización, independientemente de su origen (financieros, de
seguridad física o de la información, de cumplimiento, de evolución de los
mercados, de evolución de la competencia, etc..). Una vez los CISO puedan
contar con herramientas que les permitan realizar esa transformación de datos a
inteligencia de negocio de una manera eficiente, su vida será un poco más
sencilla puesto que la justificación de sus presupuestos caerá por su propio
peso. O visto desde la otra perspectiva, la Dirección del negocio contará con
la información suficiente a la hora de tomar decisiones sobre qué objetivos
concretos de seguridad exigirán al departamento de seguridad de la organización
y, por lo tanto, que partida presupuestaria le asignarán para el cumplimiento
de esos objetivos.
|
Así pues, en resumen, un buen CISO debe disponer de un correcto equilibrio
entre habilidades técnicas y habilidades de gestión y conocimiento del negocio,
teniendo capacidad para lidiar tanto con el personal técnico como con la
dirección de la compañía mientras mantiene bajo su paraguas un alcance
realmente amplio de responsabilidades en este apasionante mundo de la seguridad
de la información dónde lo que ocurre hoy nada tiene que ver con lo que estará
pasando el año que viene, o lo que es prácticamente lo mismo, de aquí a dos
semanas. J