domingo, 26 de septiembre de 2010

Los CISO encarnados de superhéroe

La figura del responsable de seguridad es por desgracia todavía poco común en las empresas e instituciones españolas. A pesar incluso de establecer la L.O.15/1999 la obligación de nombrar a un rol para velar por la seguridad de los datos de carácter personal de niveles medios y altos, a día de hoy es raro quien se dedica de forma exclusiva a ser Responsable de seguridad de la información. Este post pretende establecer una taxonomía de los roles de CISO que pueden existir actualmente en muchas de las organizaciones que han incorporado esta figura a sus mandos directivos.
  • El "Increíble Hulk": Ha sido nombrado pero no tiene peso suficiente dentro de la organización. Depende o esta condicionado por el Responsable de Sistemas y no tiene libertad ni autoridad para poder establecer sus propios planteamientos estratégicos sobre que debe hacer para gestionar la seguridad. Es un continuo quiero y no puedo, tiene la fuerza pero no puede utilizarla. Es consciente de cual es la estrategia a seguir y cómo la seguridad puede reforzar los procesos de negocio pero su organización no considera la seguridad de la información como algo relevante (hasta el día que pasa algo). Tampoco ha podido hacer un análisis de riesgos que le permita mostrar cómo la seguridad contribuye a robustecer a la organización. Es un tipo con un gran potencial y fuerza que no puede utilizar porque no quiere convertirse en un ogro mete miedo. Sin embargo, será quien se coma los marrones si en algún momento se produjera un incidente de seguridad.
  • El "Spiderman": También ha sido nombrado pero llega a este mundo de la seguridad desde el Área de sistemas y no tiene conocimientos sobre la gestión de su area de responsabilidad. Suele iniciar sus actuaciones adquiriendo software y hardware de seguridad para disponer de herramientas pero no tiene claro cuales deben ser los objetivos a lograr. Desconoce la disciplina del análisis de riesgos y basa toda su estrategia de protección en resolver las problemáticas comunes de la seguridad informática que afectan a la organización: malware, protección perimetral, filtrado de contenidos y cuando tienen recursos, el cumplimiento de la legislación en materia de protección de datos. Va de un lado a otro manteniéndose entre cuerdas sin un rumbo fijo tratando de estar en todos sitios pero siempre apagando fuegos.
  • El "Batman": Es un trabajador incansable que intenta tenerlo todo bajo control aunque su trabajo no es visible para la organización. Es un buen estratega que conoce el mundillo y por tanto, es consciente que los riesgos son cambiantes y que deben ser gestionados. Tiene un mapa claro de que problemas tiene su organización y va poco a poco mitigando los mas urgentes. Presenta año tras año sus planes de actuación aunque no siempre gozan de apoyo. A pesar de eso no se desanima y con lo que tiene hace lo que puede. Siempre prefiere ser preventivo y proactivo pero la monitorización es la herramienta en la que fundamenta su día a día aunque permanece oculto y no esta en la mesa de Dirección.
  • El "Superman": Es un hombre valorado por la organización porque siempre sale al rescate cuando es necesario. Esta monitorizando continuamente los riesgos y avisa cuando considera que deben tomarse medidas preventivas. La organización esta tranquila porque se sabe bien informada y gestionada en esta materia. Ademas este tipo de CISO no se conforma sólo con hacerlo bien sino que demuestra año tras año como los indicadores y objetivos planteados se van logrando. En su organización la seguridad no es una sensación, es una realidad avalada por los datos. Y si en algún momento las cosas se ponen feas, siempre tiene las espaldas cubiertas por el plan de continuidad de negocio. Está completamente alineado con la Dirección y pone la seguridad al servicio de la Organizacion haciendo a ésta mas fuerte y resistente contra cualquier anomalía que pueda producirse.

A todos nos gustaría ser Superman algún día pero muchas veces el contexto o la coyuntura nos obligan a ser otro tipo de superhéroe de menos categoría. A vosotros, ¿se os ocurre alguno más?

2 comentarios:

Miguel Ángel Hernández Ruiz dijo...

Muy bueno y muy realista Javi.

Ojalá llegue el día en que, como mínimo todas las grandes organizaciones tengan y dejen trabajar a un superman.

Saludos.

Dreiz dijo...

muy buen post!!!

 
;