Blog - Carrera profesional

Usar puntuación: / 1
MaloBueno 

Nuevo ciclo de entrevistas formadoras en la carrera profesional del CSO/CISO.

Tenemos como objetivo consolidar opiniones de CSOs y exCSOs fortaleciendo el profesionalismo, disminuyendo la brecha entre Seguridad y Negocios, permitiendo a los mas experimentados ayudar a los nuevos en este crecimiento, fortaleciendo el intercambio proactivo de experiencias apoyado en lineas intelectuales y académicas.

En esta oportunidad colabora: Walter Cipriano.

¿Qué recomienda hacer durante los primeros 90 días de gestión en el rol del CSO?

Durante los primeros 90 días de gestión es fundamental escuchar al CIO y al directorio, y conocer a los integrantes del equipo, de forma tal de interiorizarnos con sus necesidades y requerimientos. 

Es fundamental obtener una descripción general del portafolio de proyectos y prioridades por áreas, para estudiar el impacto de cada uno a la seguridad de la empresa.

Finalmente recomiendo analizar los requerimientos de seguridad y compliance de los proyectos en curso para que en todos los casos la información a manejar sea íntegra, confiable y esté siempre disponible.

¿Cómo lograr que la propuesta de valor de seguridad sea considerada por el negocio?

La aparición de las nuevas tecnologías y el desarrollo de los sistemas on-line, caracterizados por una creciente complejidad y por la facilidad de acceder a datos vitales de la empresa ponen en evidencia la importancia de la gestión de la seguridad de este entorno.

Escuchar al CIO y al directorio permitirá priorizar, encauzar o rediseñar prioridades, alinear y gestionar los riesgos derivados del manejo de TI con las necesidades del negocio y el cumplimiento normativo.

¿Cuáles son las métricas de seguridad que usted considera de valor en la gestión corporativa?

Como afirma el Dr. Hyden en su libro, medimos la seguridad para entender la seguridad.  Por ello es importante manejar tres tipos de métricas o indicadores: personas (identidades, accesos, concientización), procesos (riesgos, políticas, activos, continuidad del negocio, incidentes) y tecnologías (redes, bases de datos, servidores, aplicaciones, endpoints). 

En la medida que recolectemos datos sobre la seguridad, con un contexto, con un objetivo y sabiendo lo que queremos hacer con ellos, poco a poco se nos revelará aquello que queremos conocer y detallar.

Podemos tener grandes reportes con datos y vulnerabilidades identificadas, los cuales carecerán de sentido si no sabemos qué es aquello que queremos atender, para continuar nuestro viaje al corazón mismo de la inseguridad en las diferentes relaciones entre personas, tecnología y procesos.

¿Cuáles son las fortalezas principales de un CISO/CSO de hoy?

El CISO/CSO de hoy posee una importante base desde los aspectos de la tecnología, teoría organizacional, management y análisis estratégico, la cual debe complementar con actitudes para la comunicación y la negociación. 

Mencione hasta tres bibliografías o fuentes informativas y porqué hay que leerlas

Las fuentes bibliográficas que consulto habitualmente son:

• IT Security Metrics, McGraw Hill (2010).  Ofrece un marco práctico para establecer métricas de seguridad y protección de datos.
• Microsoft Security.  Proporciona información significativa para ayudar a mantener aplicaciones,  sistemas de escritorio y servidores.
• La Seguridad Corporativa, nuevas exigencias.  Ediciones Austral (2010). Trata sobre los nuevos retos, demandas y requerimientos que exige el ámbito de la seguridad en las corporaciones.
• Wikipedia. Siempre es una buena fuente de información online.

Autor: Walter Cipriano