El Director de Seguridad Informática (CISO, por sus siglas en inglés) es el ejecutivo de nivel C responsable de la seguridad de la información y los datos de toda una organización o una empresa.
El perfil del CISO está considerado como el pináculo de la carrera de TI. Es el trabajo más prestigioso y bien pagado entre los profesionales de la seguridad en todo el mundo.
La relevancia de este perfil se debe a que cada día aumentan los ataques informáticos. Como resultado, la demanda de los directores de seguridad de la información (CISO) crecerá.
El aumento de los salarios y la demanda de CISO respaldan el papel integral que desempeñan en las organizaciones modernas. El salario medio para un CISO en los Estados Unidos es de $ 155,401, según PayScale.
Maxim Frolov, vicepresidente de ventas globales en Kaspersky Lab, comparte cuales considera son las habilidades que más requieren los CISO en la actualidad:
- Visión para los negocios
En los viejos tiempos, el CISO era responsable de desarrollar un plan de defensa basado en el panorama de TI de su empresa. Esta estrategia ahora es insuficiente y el enfoque moderno debe alinearse con la visión empresarial. Por esto es que casi todos los puestos de CISO anunciados, en Glassdoor y sitios similares, no sólo requieren de un conocimiento en seguridad TI detallado y de distintas certificaciones, sino también que la persona posea una mentalidad empresarial.
Como resultado, los CISO no pueden descartar o prohibir una tecnología que su negocio quisiera implementar. Necesitan evaluar los riesgos asociados y proponer la estrategia más segura que no impida el progreso organizacional. Si el personal necesita tener acceso a los recursos corporativos desde sus dispositivos, el CISO debe implementar una política de bring your own device (BYOD) en la red empresarial.
En las palabras de un CISO, la mejor práctica consiste en asesorar a otros para que se conviertan en un administrador en el manejo de riesgos, así como ofrecer asistencia y orientación a la empresa: “Antes de introducir alguna tecnología nueva en cualquier departamento, llevo a cabo reuniones con las personas encargadas para asegurar que sus cambios no vayan en contra de nuestras normas de seguridad. A partir de ahí implementamos los cambios necesarios para tener una integración adecuada con nuestra red”.
- Habilidades de comunicación y presentación
Ser un ejecutivo implica interactuar con el suite-C y la junta directiva. Pero como muy pocos gerentes de alto nivel tienen antecedentes en seguridad, puede ser un desafío por superar así que un CISO debe desarrollar una retórica que garantice que la junta entienda qué tan graves son los riesgos, especialmente si está acostumbrado a hablar en la jerga de TI.
Si bien la capacidad de presentar ideas complejas de una manera fácil de entender ha sido un cliché de vacante, la habilidad de traducir el lenguaje de ciberseguridad en términos comerciales puede llenar este vacío de comunicación. También puede ser útil cuando se trata de un gran reto para cada CISO: la justificación del presupuesto de seguridad de TI. Dado que el presupuesto de ciberseguridad a menudo forma parte del gasto global de TI, se puede priorizar el dinero para proyectos de TI que demuestren beneficios empresariales evidentes y un retorno de inversión. Las habilidades de comunicación, como la capacidad de adaptar la información a una audiencia no técnica y la creación de argumentos sólidos (penalizaciones por incumplimiento, daños causados por ataques pasados, informes de incumplimiento) pueden demostrar que los beneficios superan con creces los costos.
- Habilidades de gestión de crisis
Según un informe reciente de Kaspersky Lab, el 86% de los CISO piensa que las violaciones de ciberseguridad son inevitables, lo que significa que las empresas no pueden permitirse estar desprevenidas. Cada oficina tiene un procedimiento de evacuación que todos deben seguir en caso de incendio. Del mismo modo, una empresa debe tener un protocolo para cuando ocurre una violación, ya que el pánico y la desorganización solo empeorarán la situación.
Un plan de acción no se limita a cambiar las contraseñas afectadas o recuperar sistemas. Para eliminar el ataque rápidamente, es esencial averiguar quién es responsable de ciertas acciones e identificar los contactos clave en otros departamentos para informar primero. Éstos pueden incluir equipos legales, de comunicación o de servicio al cliente que, a su vez, podrán participar en la resolución de la crisis. Si ocurre una violación, es esencial que el CISO se mantenga informado durante un incidente y se convierta en un vínculo entre las partes interesadas, y sea quien coordine las actividades de respuesta a incidentes del equipo de seguridad de TI, mantenga a la empresa informada y ofrezca asesoramiento sobre cómo resolver la situación.
- Supervisión y liderazgo
Dado que el 62% de los CISO está de acuerdo en que hay una escasez de talento en ciberseguridad, cada vez es más difícil encontrar un especialista en seguridad. Sin embargo, esto es sólo el principio, y la principal causa de preocupación es la retención de empleados. La falta de especialistas en seguridad significa que estos tienen muchas opciones a la hora que decidan cambiar de trabajo, como precisa un CISO: “Soy un administrador de especialistas en ciberseguridad muy talentosos, que son objetivos de múltiples cazadores de cabezas”. La falta de fuerza laboral de seguridad de TI también aumenta la carga de trabajo del personal actual, lo que causa preocupación adicional para los líderes de seguridad. Con un sinfín de tareas redundantes y monótonas, ¿son los despidos tan inevitables como el ciberdelito?
Como los CISOs tienen una influencia directa en el personal de seguridad, deben ser líderes a quienes las personas puedan seguir, ser un mentor que pueda apoyar al equipo y encontrar maneras de motivar a los empleados, que no debiera limitarse a incentivos monetarios, puede incluir otorgar más autoridad para tomar decisiones, posibilidades de aprendizaje y desarrollo profesional (por ejemplo, asistiendo y participando en conferencias de seguridad) e incluso un simple reconocimiento laboral. Lo que funciona perfectamente para una persona puede no adaptarse a otra, por lo que, para ser un gerente efectivo, un CISO debe elegir el incentivo o la fuente de motivación óptimos para todos en su equipo.
Si bien las habilidades técnicas forman la base del rol actual, los factores clave continuarán afectando el equilibrio de habilidades necesarias en el futuro. Por ejemplo, el aumento de las herramientas defensivas impulsadas por la Inteligencia Artificial en el mercado para ayudar en la lucha contra la ciberdelincuencia no tiene por qué significar que los robots tomarán nuestro trabajo, ya que no pueden aprender las habilidades sociales que hemos discutido.