Un nuevo perfil de profesional está surgiendo en el mercado de seguridad de la información. Su diferencial está en la actuación de la seguridad digital y física de la empresa
Se trata de un ejecutivo exitoso, considerado C-Level, de aquellos que mandan arrestar, y mandan soltar, ha sido el deseo o principal objetivo de muchos profesionales del área de tecnología, que en el alpinismo corporativo buscan los puntos más altos de la cadena, tales como: CTO (Chief Technology Officer), CIO (ChiefInformation Office) ¡¿y CISO !? ¿Opa, CISO? Eso mismo, usted leyó cierto, CISO (Chief Information Security Officer).
En la búsqueda constante por la satisfacción del cliente final, quedó común encontrar CTO y CIO en una misma organización, con papeles distintos, o en algunos momentos, conflictivos, al final ellos apuntan al mismo – tener cliente final satisfecho. Aunque existen muchas formas de distinguirlos en el ecosistema corporativo, en situaciones tradicionales, decimos que el CTO tiene foco en el “cliente externo”, mientras que el CIO mantiene el foco interno.
CISO y su papel en el área de TI
Pero, nuestro asunto aquí es el CISO, y ¿por qué se ha destacado cada día más en el hábitat de TI?
El CISO es quien controla las cuestiones de seguridad de la información en una organización y es responsable de garantizar cualquier cosa relacionada con la información digital. Aunque hasta hace poco conocemos el CSO (Chief Security Officer), el CISO vino para complementar el abanico de seguridad, no limitándose tan sólo al mundo digital y sus entrañas, sino también a la seguridad física de la empresa. Obviamente, su actuación está lejos del modus operandi de policía, pero aún manteniendo la misma “marra” y cara cerrada de quien protege algo.
CISO mantiene la seguridad de la información dentro de los más rigurosos estándares y buenas prácticas de mercado, haciendo uso de hardwares especiales, software y procesos de negocios altamente seguros. No sólo se restringe a mantener el entorno informático seguro, pero también crean, implementan y comunican las políticas y procedimientos de seguridad de la información a toda la organización. En caso de violación de la confidencialidad, el CISO debe actuar y liderar durante la situación de emergencia, con un plan de continuidad de negocio establecido (BCP) y, sobre todo, aprobado y de conocimiento de toda la organización.
CISO X Crisis de la Seguridad de la Información
En el momento de crisis en el área de seguridad de la información, es el CISO quien administra la crisis, identifica las posibles soluciones, asegurando el restablecimiento del orden e integridad del ambiente computacional y todos los servicios provechos de él.
Aunque en las escuelas más tradicionales el CISO todavía se reporte al CIO, ha sido cada vez más común el CISO integrar un organigrama paralelo, distinto de la tecnología, con línea de reporte directo al principal ejecutivo de la organización, exactamente para garantizar la imparcialidad e igualdad de sus acciones. El CISO está libre de cualquier arbitraje que el CIO pueda tener sobre su trabajo; especialmente durante las auditorías o incidentes críticos, que involucra la filtración de información confidencial de la empresa y/o de terceros.
Como ejemplo, podemos citar la reciente filtración de datos de Ashley Madison, sitio de “infieles y adúlteros”, que ha expuesto en internet toda la información de sus 37 millones de usuarios en todo el mundo.
Si usted, del área de TI o seguridad de la información, se ha impresionado y desea formar parte de este selecto grupo de ejecutivos del C-Level Dream Team, sepa que hay una larga academia de certificaciones para ser trilladas, sin embargo, no olvide agregar su currículo Certified Information Systems Security Professional (CISSP), administrado por el Consorcio Internacional de Certificación de Seguridad de Sistemas de Información (ISC²®), certificado imprescindible a cualquier aspirante al cargo de CISO. ¡Y buena suerte!
Aluisio Andrade es director de Operaciones y Servicios en Nap IT
¿Necesita hacer mejoras en la infraestructura de su red? Entonces usted puede leer también “Análisis de red: El principio para el alto rendimiento”.
