jueves, 1 de diciembre de 2016

¿Por qué eres el único responsable de la seguridad de la información? (Y cómo dejar de serlo)

Hace unos días estaba hablando con un colega sobre la frustración que a veces nos lleva a los CISOs a pensar en dejar nuestro puesto. Todo parece indicar que nos contrataron sólo porque hay que tener seguridad informática, pero luego, en la práctica, todo quiere seguir haciéndose como antes de que lleguemos.

No es la primera vez que hablamos de este tema con un responsable de seguridad y estimo no será la última, ya que cada organización es un mundo y requieren e interpretan a la seguridad de la información de diferentes maneras. Veamos si te sientes identificado con algunos de estos escenarios:
  • Algunos se imaginan que es divertida y atractiva, tal cual como en las películas, pero luego se dan cuenta que implica ser más ordenados que antes (y más aburridos).
  • Otros sólo lo hacen por compliance/cumplimiento, yendo sólo tras las recomendaciones de las observaciones de auditoría.
  • Sufrieron un incidente, luego te contratan y se olvidan al poco tiempo tanto del incidente como del motivo por el cual te contrataron originalmente (mucho más cuando hay que solucionar el problema de raíz).
  • También están los que busquen la certificación ISO/IEC 27001 y luego se den cuenta que el esfuerzo implica salir de las áreas TIC, por lo que prefieren limitar el alcance a los controles que impliquen la menor cantidad de comunicación con otras áreas.

 ¿Cómo escapar del síndrome de Chuck Norris?


Obviamente hay organizaciones que requieren una implementación integral y madura de la seguridad de la información, pero en Latinoamérica serán pocos los afortunados CISOs que puedan tener ese privilegio, así que sigamos con los casos donde nos encontramos luchando al mejor estilo Chuck Norris: sólos contra todo. 


Sea por cualquiera de los motivos mencionados, sientes que tú (y tu equipo si tienes suerte) estás en una posición donde debes ser responsable de todo; y como diría un compañero veterano en estas batallas:

Parece que te exigen patear el tiro libre, cabecearlo y atajarlo. 
Estamos a cargo de la gestión, los aspectos técnicos, los temas legales, la documentación, el análisis de los riesgos, la planificación de las acciones y, hasta en algunos casos, acompañando para que los controles se implementen… ah, y no se olviden de que tenemos que tener la presencia, autoridad y habilidades para participar en las reuniones de directorio.

Mientras tanto...
  • El presupuesto para el área parece nunca estar claro de dónde debe provenir, mucho menos si dependemos de un área de Tecnología.
  • La dirección no termina de entender cuál es nuestra función.
  • Somos los malos de la película para TIC por las trabas que imponemos.
  • Los usuarios nos odian ya que les hacemos la vida imposible.

 ¿Habrá luz al final del túnel?


Pero no quiero seguirte amargando, ya que si también te apasiona la seguridad es mucho lo que puedes seguir aportando tanto fuera como dentro de la organización. De hecho este blog surge para que entre todos podamos aportar valor a la organización, bajar nuestros niveles de frustración y sentirnos acompañados.

Paso a contarte cuál es mi plan para alcanzarlo, pero primero, qué es lo que no va a ser este blog:
  1. Un listado de soluciones mágicas que sirvan para todos los males.
  2. Un conjunto de casos de éxito donde todo está bien (ya que no todo está bien y es importante ser conscientes).
Para poder serte útil, en primer lugar, mi plan es leer tu comentario, ya que cada uno enfrenta una problemática distinta. En segundo lugar, voy a estar acompañado de otros columnistas, cada uno con una especialización marcada. En tercer lugar, vamos a enfocarnos, es decir, no vamos a hablar de todo, sino de lo que nosotros consideramos tener mayor expertise: en las personas.

Nosotros desarrollamos Smartfense porque creemos firmemente en que hay que invertir en la gente, tanto en el personal de seguridad, de TIC, como también en el usuario final, ya que no podemos pelear esta batalla sólos. Esta plataforma nace porque me encontraba sólo hace unos años a cargo de diseñar, crear, dictar y medir las campañas de information security awareness (concientización, concienciación o sensibilización según cada lugar) para una organización y me di cuenta que otros tantos CISOs deberían estar pasando por ese proceso. Por lo que decidí crear un equipo con profesionales que crean que el cambio de comportamiento del usuario final es posible.

Estos vamos a ser los columnistas iniciales, bienvenidos los que sigan:
  • Mauro Graziosi (quien escribe): todo lo vinculado a los sistemas de gestión, estrategia y compliance/cumplimiento.
  • Mauro Sánchez: riesgos y controles técnicos complementarios
  • Fernando Testa: estadísticas y casos, ROI, dashboards
  • Nicolás Bruna: sobre la importancia del awareness y qué tener en cuenta a la hora de diseñar y entregar los contenidos
  • Pablo Abrate: gamificación en la educación y concientización
Creemos que podemos aportar mucho, ya que información técnica puede encontrarse en la web, pero sobre cómo incluir a las personas en la estrategia de seguridad no. También creemos que las personas son el principal motivo del éxito o fracaso de la estrategia de seguridad de la información...

¿Todavía intentas ser el único Responsable de la seguridad de la información en tu organización?
Todos son responsables por la seguridad de la información en tu organización, es hora de que se los hagas saber y los comprometas. Estamos aquí para acompañarte en el proceso.

0 comentarios:

Publicar un comentario