El rol de seguridad de información se mueve más allá de la experiencia técnica

4 de abril de 201731 de marzo de 2017 Gustavo Genez

La comunicación y otras habilidades sociales se han convertido en parte de los requisitos de trabajo de los profesionales de seguridad de la información, dice el CISO del Instituto SANS.

En la reciente Conferencia Internacional AISS en Dallas, el editor de SearchCompliance, Ben Cole, se reunió con conferencistas para discutir el panorama cambiante de las amenazas de datos, y cómo está influyendo en el rol de la seguridad de la información. En esta entrevista, el CISO del Instituto SANS, Frank Kim, explica por qué la comunicación y otras habilidades sociales se han convertido en una gran parte de los requisitos de trabajo de los profesionales de seguridad de la información.

A medida que las amenazas a los datos de la empresa se han convertido en una de las principales preocupaciones empresariales, ¿cómo ha cambiado el papel del CISO y otros profesionales de la información?

Frank Kim: Tradicionalmente, el CISO y el líder de seguridad ha sido, desafortunadamente, el que ha dicho ‘no’. Eso fue, quizás, aceptable o bastante aceptable en un momento en el cual el CISO se encargaba solo de la seguridad de TI. Pero ahora, el CISO moderno es realmente responsable de mucho más, no solo es seguridad de TI. Es cumplimiento normativo, preocupaciones legales y también preocupaciones de negocios. ¿Cómo gana dinero la organización? ¿Cómo se mantiene la organización en el negocio? Tenemos que averiguar cómo la seguridad puede apoyar eso.¿Qué tan importantes son las habilidades de comunicación para el CISO moderno, a medida que el papel de la seguridad de la información se vuelve cada vez más vital para las operaciones de negocios exitosas?

Kim: Uno de los mayores desafíos que veo que tiene la gente de TI y de seguridad técnica es poder comunicarse con otras personas no técnicas y que no son de seguridad. Nosotros, en la industria en general, sufrimos de lo que se llama la ‘maldición del conocimiento’; cuando estamos tan bien informados acerca de un área en particular, tenemos dificultades para transmitir, en términos sencillos y lenguaje sencillo, lo que realmente significan esas cosas. Así que las habilidades de comunicación son vitales para el éxito del CISO moderno, porque ya no podemos hablar en siglas o capacidades técnicas. Tenemos que ser capaces de traducir estos en lenguaje de negocios y articular lo que es el riesgo cibernético correspondiente para la organización, no solo los aspectos específicos de la tecnología.

¿Cómo se capacita al CISO más joven, o a alguien que quiere ser CISO o un profesional de infosec, en esas habilidades de comunicación? ¿Es difícil porque no ha sido tan importante para su descripción de trabajo en el pasado?Kim: Cuando Heartbleed salió por primera vez, hace algunos años, sabía que tendríamos que comunicarlo a nuestro CIO y CEO solo porque había tanta cobertura sobre ello. Le pedí a la gente del equipo que hiciera un resumen para describir cómo éramos afectados, qué estábamos haciendo al respecto y cuál era el riesgo correspondiente que todavía teníamos. Volvieron con una comunicación muy técnica, con siglas como ‘TLS’ y ‘extensión Heartbeat’ y así sucesivamente.

La mejor manera de aprender es a través de la experiencia. Muchas veces esa es la forma más amarga de aprender también, pero lo que realmente ayudó fue mostrarles la comunicación original, y luego la comunicación revisada en términos del lenguaje de negocios que fue entendida por nuestros altos ejecutivos, mostrándoles esos ejemplos particulares de antes y después. Simplemente pasar por esas experiencias, creo, ayuda mucho en términos de mejorar esas habilidades de comunicación.

Además de simplificar las comunicaciones, ¿qué pueden hacer los CISO y los profesionales de seguridad para que la seguridad de la información sea relevante y comprensible para los principales interesados en la organización?

Kim: Una cosa que la gente de seguridad puede hacer para ayudar mejor a la organización es entender el negocio, entender cómo la organización gana dinero. Si invertimos excesivamente en controles de seguridad y causamos demasiada fricción en procesos de negocios importantes, no solo los que estamos en seguridad no vamos a tener éxito, sino que la organización no va a tener éxito a la velocidad que debería. Tenemos que pensar en las nuevas iniciativas clave apoyadas por la tecnología –ya sea móvil, nube, internet de las cosas–; no podemos simplemente decir no a esas cosas. Tenemos que averiguar cómo decir que sí. Una lección es entender el negocio: Qué es importante para la organización, y averiguar cómo podemos apoyar eso, cómo podemos decir ‘sí’.

¿Qué pasa con los empleados que están fuera de la gerencia, que no son ejecutivos? ¿Cómo pueden los CISO y los profesionales de infoSec hacerles entender su papel en la protección de datos y asegurarse de que están adecuadamente capacitados para hacer eso?

Kim: En SANS, hacemos mucho con la conciencia de seguridad. No se trata solo de la conciencia técnica de seguridad. Lo que encontramos que ayuda mucho es llevarlo a casa para gente en particular. No solo lo que necesitamos hacer para asegurar nuestra computadora de trabajo, lo que necesitamos hacer para asegurar nuestro ambiente de trabajo, sino también cómo puede mantenerse a salvo en casa. Cómo puede asegurar su acceso inalámbrico en casa. Cómo mantener a sus hijos seguros en línea. Una cosa que encontramos que realmente ayuda es hacerlo personal para esa gente en particular en la organización. Al hacerlo personal, eso ayuda a impulsar el cambio de comportamiento, tal vez primero en casa y luego, por extensión, en el trabajo, lo que luego tiene un impacto mayor en la cultura de seguridad que nosotros, en la organización, estaríamos tratando de construir.

Fue originalmente publicado en: Techtarget.com

Comparte esto:

Gustavo Genez

También te puede gustar

La tecnología desechable, un riesgo para los datos de la empresa

Proteger la seguridad empresarial y BYOD, la consigna de los CISO para el nuevo año

Estas son las ciberamenazas que debes tener en cuenta si eres gamer