Sí, he de admitirlo, los proyectos de seguridad son los que más me hacen disfrutar. Además, durante estos años de consultor, he tratado con muchos CISOs (Chief Information Security Officer) y me fascina el rol que juegan en la organización. Su trabajo es una continua partida de ajedrez… yo muevo mi ficha, el ciberdelincuente mueve la suya y así sucesivamente…pero… ¿Quién gana la partida?
Es precisamente a la hora de responder a esta pregunta donde quiero profundizar. La seguridad es dinámica ya que el mapa de amenazas, los tipos de ataques, los riesgos y la tecnología avanzan constantemente y el CISO siempre debe anticiparse a este avance para ir mejorando la seguridad de los sistemas de negocio. Para mejorar la seguridad, el CISO pedirá fondos a la Alta Dirección para llevar a cabo sus estrategias y poder mover “su ficha”.
Es aquí donde entra en juego el parámetro clave: La credibilidad.
Pueden darse dos casos:
- Si los incidentes de seguridad han sido pocos y con impactos irrelevantes, el CISO tendrá un “papelón” al explicarle a la Alta Dirección que necesita más fondos para mejorar una “seguridad corporativa” que ya de por sí parece buena. Los directivos pensaran: “ya estamos como todos los años pidiendo más dinero para que luego no pase nada”
- Si por el contrario tienes un escenario de crisis por un incidente de seguridad, tal y como le ocurrió a la Plataforma PlayStation Network de Sony, el CISO podrá pedir fondos, pero su credibilidad estará en entredicho.
Ésta, precisamente, es la encrucijada con la que se encuentra el CISO en la organización, con su credibilidad como factor clave, sabiendo que en el dinamismo de la seguridad la ausencia de incidentes juega por un lado en su contra (aparentemente es seguro lo que no lo es tanto y la inversión puede parecer como no prioritaria) y por otro lado a su favor, reflejando que su trabajo es “tan bueno” que los incidentes no se materializan.
Es clave, por tanto, la conciencia de seguridad en la Alta Dirección y el conocimiento de que la seguridad es un proceso dinámico que si se para es más vulnerable. Es necesario hacerle ver a la Dirección que la seguridad no solo se valora como buena o como mala en función de lo que pase sino también de lo que podría pasar y no pasa. Para ello, he ayudado a muchos CISO a crear esa conciencia y ese conocimiento en las organizaciones a través de la exposición de los nuevos riesgos o brechas que se están presentando en empresas similares y de las que no se es consciente. Esta exposición significa “poner en el tejado” de la Dirección la siguiente cuestión: ¿Estáis dispuestos a asumir estos nuevos escenarios de riesgo?
Es esta pregunta la que gana, casi todas las veces, la partida.
No hay comentarios:
Publicar un comentario