viernes, 29 de mayo de 2009

El CISO dentro de la organización de la seguridad: perfil y retos

Disponer de un buen equipo para dar forma a la estrategia de seguridad de la compañía es donde el director de seguridad de la información ha de concentrar gran parte de sus esfuerzos. Pero ¿cómo dar con el mejor equipo?
La crisis actual ha provocado que se empiecen a revisar tendencias en materia de organización de la seguridad, así como los equipos que dan forma a esa estrategia en la que la información se erige como el elemento más preciado y activo tanto para las empresas como para las instituciones. La figura del CISO (Chief Information Security Officer) cobra cada vez más fuerza, pero todavía queda pendiente definir con precisión cuáles han de ser sus funciones, retos o habilidades como parte del engranaje de la organización de la seguridad.
ISMS Forum Spain, asociación española para el fomento de la seguridad de la información, ha reunido en Madrid, en su V Jornada Internacional, a unos 250 profesionales del sector para analizar cómo las empresas del siglo XXI afrontan la organización de la seguridad de la información, elemento clave junto a un buen gobierno, junto a la gestión del riesgo y el cumplimiento normativo.
Construir un equipo correcto en materia de seguridad de la información es fundamental en estos momentos, tal y como ha señalado Ron Collette, autor de los libros ‘CISO Handbook’ y ‘CISO Soft Skills’, pero no es sencillo crear un patrón o perfil único que se adapte a cualquier organización. Existen varios factores influyentes a tener en cuenta a la hora de poner en marcha el equipo de trabajo, como el psicológico, el sociológico, el entorno y la tradición, pero no siempre son los indicadores más apropiados al tomar decisiones.
Collette ha resumido de forma muy simple los pasos que el CISO debe dar para formar un equipo que pueda asegurar el logro de la excelencia en su cometido. En primer lugar, hay que identificar el arquetipo de organización a la que se pertenece y definir los elementos que la componen. De ahí, es necesario concretar cuáles son los objetivos de seguridad que operaran en el programa que pongamos en marcha, bien sea operacional o no-operacional; centralizado o descentralizado; con áreas de responsabilidad lógica, física o de ambas; consultiva o autoritaria; y proactiva o reactiva.
Además, hay que tener en cuenta que existen diferentes estereotipos de profesionales de la seguridad a la hora de buscar el personal adecuado, según la postura que adopten frente a los problemas que surjan en la empresa, como el ‘arquitecto’ el ‘policía’, el ‘auditor’, el ‘hacker’ o el ‘burócrata’ y cada uno de estos roles está asociado a distintos atributos.
Las aptitudes de cada personalidad a la hora de trabajar pueden llegar ser más importantes que habilidades adquiridas a través de la formación, dependiendo del entorno de trabajo, aclara Collette, y muchas veces se pasan por alto.
Visto en www.itcio.es

No hay comentarios: