La piedra angular de la seguridad de TI, el CISO garantiza la gestión e implementación de la política de seguridad de los sistemas de información de una organización. Para ello se apoya en regulaciones, mejores prácticas y estándares internacionales. Más allá de su experiencia técnica, este directivo combina conocimientos organizativos y funcionales. Guillaume*, experto de Cyberwings, empresa especializada en ciberseguridad, nos revela cómo funciona.
Director de Seguridad de los Sistemas de Información (ISSM), Director de Seguridad Informática, Chief Information Security Officer (CISO), Director de Ciberseguridad... son sólo algunos de los nombres que recibe la persona responsable de poner en marcha la estrategia de ciberseguridad de una organización. El gran número de ofertas de empleo disponibles para esta función da fe de esta variedad de denominaciones. El CISO es, por tanto, un puesto muy solicitado. Y sin embargo, a pesar de ser un elemento clave para la confianza, la resistencia y el rendimiento del sistema de información, pocas organizaciones cuentan con un CISO.
Prescindir de un CISO a veces viene impuesto por el tamaño de la empresa. Este es el caso de las microempresas y las pymes. Y a veces es una elección. Por lo tanto, algunas organizaciones han decidido no dedicar una jornada equivalente a esta función, obligando al departamento de TI, a la gestión financiera o de calidad a asumir este rol adicional.
¿Cuáles son las misiones del CISO? ¿Qué habilidades se requieren? En un momento en el que la gobernanza y la resiliencia de las organizaciones están demostrando ser grandes desafíos teñidos de soberanía, responsabilidad social y sobriedad, ¿cómo fija el CISO el rumbo de la ciberseguridad y mantiene el timón?
La misión número uno del CISO: gestionar la ciberseguridad de una organización
Si bien a veces resulta complejo decidir a quién se le asigna (o a quién se le asignará) la función de CISO, es más fácil definir sus misiones. De hecho, la principal misión de un CISO es gobernar, como un capitán de barco, la ciberseguridad de una organización en sus aspectos estratégicos y operativos.
Estableciendo un rumbo
Gobernar consiste ante todo en ayudar a la gerencia a establecer un rumbo. Este último está definido en la Política de Seguridad de los Sistemas de Información (PSSI). Debe ser coherente con las ambiciones estratégicas de la organización (desarrollo, proyecto de certificación, deseo de abordar nuevos mercados) y resultados del análisis de riesgos realizado al más alto nivel de esta última.
La amenaza cibernética está innegablemente presente hoy bajo diferentes formas. Cualquier proyecto estructurante debe necesariamente integrar la mejores prácticas de ciberseguridad para tener éxito. El curso también puede estar condicionado o influenciado por terceros, clientes o socios con requisitos crecientes, aseguradoras, autoridades públicas, etc. a través de controles, auditorías o regulaciones. Finalmente, puede consistir en “ponerse al día con el retraso acumulado” y reducir la brecha entre lo existente y las buenas prácticas en materia de seguridad de la información. Esta brecha se observa con mayor frecuencia después de incidentes sufridos internamente o después de auditorías y pruebas iniciadas.
Definir una hoja de ruta
La Formalización de una hoja de ruta desglosada en proyectos operativos. Luego debe permitir que el equipo SSI avance hacia el objetivo establecido. Para implementar estos proyectos, el CISO debe poder movilizar recursos técnicos, organizativos y humanos.
Sensibilizar, movilizar y apoyar
Debe movilizar a todo el personal de la organización para implementar buenas prácticas y medidas de seguridad. Esto sucede a través de sensibilización y apoyo al cambio. Pero el CISO también debe depender de recursos dedicados, internos o externos: equipo de SSI, ecosistemas, socios y proveedores de servicios confiables.
Dominar varias disciplinas.
Movilizar, reunir y coordinar estos recursos requiere que el CISO comprenda las cuestiones legales, tecnológicas y de gestión de cada uno de los proyectos cibernéticos que componen la hoja de ruta. También debe saber arbitrar basándose en un estado del arte ofensivo y defensivo actualizado periódicamente, así como en una importante documentación.
El CISO ideal… ¿una oveja de cinco patas?
Al mismo tiempo, abogado digital, hacker ético, desarrollador, estratega, psicólogo, contable… el CISO ideal suele aparecer como una “oveja de cinco patas”.
Habilidades raras y múltiples...
Entre sus múltiples talentos, debe poder gestionar la realización de una prueba de intrusión en la infraestructura de la red, analizar el impacto en el procesamiento de datos confidenciales y redactar una cláusula de seguridad en un contrato de servicio para integrar la seguridad en el desarrollo de aplicaciones. campañas de sensibilización y sesiones de formación, para luego integrar los resultados en el análisis estratégico de riesgos y en la hoja de ruta de la organización...
Este know-how requiere una amplia experiencia y una gama de habilidades variadas que muy pocos candidatos para el puesto tienen. ¡No es de extrañar que a los reclutadores les cueste encontrar ese talento!
… bien pagado
Con un perfil excepcional, una remuneración excepcional: si nos remitimos a la encuesta realizada por ANSSI en 2021 entre los CISO, 67 encuestados del % tienen una remuneración bruta anual de entre 55.000 y 100.000 euros. Tienen al menos un bachillerato +5 y 93 % son directivos o altos directivos, según la ANSSI. A estos altos niveles retributivos se suma una serie de beneficios sociales muy solicitados por los candidatos: flexibilidad horaria, teletrabajo, jornada parcial, etc.
Un trabajo exigente
Atractivo pero difícil, el puesto de CISO está sujeto a una fuerte competitividad, con una importante rotación. En los últimos dos años, 51 CISO % dicen que los reclutadores se han acercado a ellos entre 10 y 30 veces.
Mantener una estrategia cibernética coherente a largo plazo a medida que los pilotos van y vienen puede resultar muy complejo para una organización. En caso de ausencia, baja, enfermedad o indisponibilidad del CISO, el barco corre el riesgo de ir a la deriva. Por lo tanto, es esencial proporcionar una organización y un sistema de gobernanza de SSI resilientes, basados en un equipo responsable presente diariamente.
Estructura pequeña o grande, dos tipos de RSSI
En microempresas y pymes
Si 79 CISO % trabajan en estructuras con más de 250 empleados, las organizaciones pequeñas no tienen menos necesidad de estructurar y gestionar su estrategia de ciberprotección. Este puede ser el caso cuando estas pequeñas estructuras son parte de un ecosistema expuesto o cuando poseen conocimientos y herencia intelectual particularmente innovadores. El papel de CISO suele ser desempeñado por el director de TI de la empresa.
Sin embargo, los recursos disponibles y asignados a la ciberseguridad en las organizaciones pequeñas rara vez están a la altura de los desafíos de protección de la información que enfrentan. De hecho, la producción, el comercio, el desarrollo comercial y la TI generalmente absorben la mayor parte de los recursos financieros y humanos existentes. Estos recursos limitados llevan naturalmente al CISO a tomar decisiones entre proyectos y a involucrarse tanto en asuntos estratégicos como operativos.
Por lo tanto, no es raro ver a un CISO estructurar las especificaciones para una futura consulta por la mañana, escribir un correo electrónico de concientización por la tarde y encargarse de los tickets de los usuarios y los eventos de seguridad durante todo el día, incluso por la noche.
Estos múltiples roles a menudo dan lugar a la sensación de no tener suficientemente en cuenta las cuestiones futuras, lo que exige anticipación y visión estratégica, y de encontrarse "con la nariz pegada al volante" para garantizar el seguimiento de los asuntos cotidianos.
En medianas y grandes empresas
En grandes estructuras ser CISO tampoco es fácil. Si los recursos disponibles son mayores y el CISO lidera un equipo de seguridad real, se enfrentará repetidamente a problemas organizativos y de posicionamiento.
La primera dificultad consiste en poder insertarse en el proceso de toma de decisiones estratégicas y hacer comprender a la dirección general la importancia de los riesgos cibernéticos y sus impactos (legales, financieros, operativos, reputacionales, etc.) en la organización.
Sin embargo, el CISO también debe saber desprenderse de la visión técnica del riesgo para explicar a la dirección las consecuencias de estos ciberriesgos. Una vez completada esta primera cruzada, el CISO tendrá la ardua tarea de cuantificar los riesgos cibernéticos en función de la gravedad de los impactos estimados y la probabilidad de que ocurran con el fin de definir la dotación presupuestaria adecuada para reducir los riesgos a un nivel aceptable. . Este presupuesto deberá ser justificado, optimizado y defendido frente a una gestión financiera que tiende a considerar esta partida como un coste más que como una inversión.
El CISO, director de proyectos que debe saber gestionar el estrés
En el extremo opuesto de la cadena organizacional, el CISO también se enfrenta a problemas de gestión y coordinación de los distintos proyectos que se llevan a cabo simultáneamente. Dividir grandes proyectos en tareas interdependientes y distribuir los recursos asociados (humanos, de tiempo, financieros), garantizando al mismo tiempo un seguimiento y análisis reales de los indicadores de rendimiento, puede resultar un verdadero dolor de cabeza. Esto es tanto más cierto cuanto que una pluralidad de actores (equipo de seguridad interno, desarrolladores, líneas de negocio, expertos externos, consultores, etc.) pueden intervenir simultáneamente en proyectos complejos, transformando al CISO en un verdadero conductor, luchando por mantener la seguridad general. armonía y no desviarse de su partitura.
Todas estas responsabilidades, reforzadas por el hecho de ser designado, legal o simbólicamente, como culpable en caso de incidentes, hacen que el papel del CISO sea complejo de asumir desde un punto de vista humano y crean un clima de ansiedad y propicio para el desarrollo. de riesgos psicosociales (burnout, incapacidad para desconectar, etc.). De hecho, tres cuartas partes de los encuestados de ANSSI consideran que su trabajo es estresante, o incluso muy estresante.
Subcontratar la función CISO para aligerar la carga de trabajo
Por último, la escasez de perfiles disponibles en el mercado laboral, combinada con las limitaciones asociadas a esta función, hace que la contratación de un CISO sea compleja. Sin mencionar que será difícil mantener ese perfil dentro de la organización.
Por lo tanto, contratar a un CISO para que actúe como un superhéroe de la ciberseguridad representa una inversión real. Esto implica también que la empresa ponga todas las responsabilidades cibernéticas en manos de un mismo individuo, que no tendrá margen de error.
Ante estas dificultades, la externalización total o parcial de la función CISO es una solución a considerar. De hecho, confiar en empresas y equipos de expertos externos capaces de pilotear, copilotar la estrategia cibernética o incluso contribuir al fortalecimiento del CISO existente es una forma de limitar los riesgos y debilidades antes mencionados, optimizando al mismo tiempo los recursos ya asignados. La elección de un “equipo mixto” es, desde el punto de vista de un experto, la configuración óptima para afrontar la ardua misión del CISO.
El entrenamiento, imprescindible para aguantar la barra
Compleja, la función CISO requiere una formación real en aspectos técnicos y de gestión. Gracias a ello, el futuro CISO podrá, por un lado, comprender mejor los conceptos de seguridad que deberá implementar a diario y, por otro, coordinar y movilizar lo mejor posible todos los Partes interesadas de la ISS que se deslizará.
Nuestra mejor formación
- Seguridad de los sistemas de información, resumen
- Ciberseguridad en redes/Internet, resumen
- Seguridad del sistema y de la red, nivel 2
Todos nuestros cursos de formación en :
