Jorge Baeza.
¿Destinan las empresas en Chile un adecuado presupuesto a la seguridad de la información?
No se invierte lo necesario; es común que parte importante del presupuesto se vaya al “core” de negocio. Sin embargo esto ha ido mejorando: las empresas están entendiendo la importancia de seguridad de la información como proceso de apoyo estratégico y transversal a las organizaciones, pero aún falta.
¿La figura de CISO está consolidada en las organizaciones a nivel local?
Creo que depende del rubro; en el sector financiero, de dónde vengo por ejemplo, creo que sí está más consolidada. En otros rubros no tanto, pero también esto va mejorando, principalmente debido a los eventos que han ocurrido en Chile asociados a seguridad de la información. Ya no podemos decir que en el país no tenemos incidentes de seguridad (hacking, robo de información, mal tratamiento de la información, interrupciones de servicio etc); la verdad es que sí los tenemos y a diario, en diferentes dimensiones.
¿Cuáles son las funciones claves que debe tener un CISO?
Es un rol especial dentro de la organización, que debe conocer y entender de todo, temas tecnológicos, normativos y legales, además de procesos de negocio propios del rubro, etc. Sus funciones deben estar orientadas a gestionar los riesgos de seguridad, con un enfoque en la estrategia de la compañía, fuera de la operación y con el empoderamiento necesario para poder mejorar, modificar o crear procesos autosustentables en términos de seguridad de la información y, a la vez fiscalizar, una vez implementadas las mejoras, que la organización las adopte como parte de su diario quehacer.
¿Debe manejar un lenguaje de negocios o más bien técnico?
Es muy buena pregunta porque debe manejar ambos lenguajes, debe tener la capacidad de interpretar frente a un directorio o un comité de altos ejecutivos, en lenguaje de negocio, temas que a veces pueden ser muy técnicos, con la capacidad de traspasar la barrera entre lo técnico y lo de negocio, moviéndose sin problemas en ambos mundos.
¿Cuáles son las máximas prioridades de los CISO hoy?
Son varias, pero las principales son: el tratamiento de la información; es un gran tema clasificar la información de la organización y generar directrices de tratamiento dependiendo de su clasificación. Asimismo, es necesario también estar muy al día con las amenazas actuales (cybersecurity), conocer bien el tema del hacking y cómo protegerse, los ataques dirigidos y los ataques a gran escala. La movilidad también es un gran desafío: todos tenemos un smartphone o un tablet donde es muy probable que el usuario tenga información de la empresa.
En cuanto al cloud tenemos que romper algunos paradigmas: es necesario que los CISOs entiendan muy bien de seguridad en la nube, porque el tema llegó para quedarse y tiene muchos beneficios, como también temas a controlar. Se debe considerar que la continuidad de la sociedad o de negocios trabaja de la mano con la seguridad; y, finalmente, el CISO debe apoyar la estrategia de la compañía evitando incidentes de seguridad, implementando modelos de gobierno y gestión de seguridad de la información.
¿Es importante el rol de evangelizador, considerando los riesgos propios del factor humano?
Es un rol vital, nada de lo que implementes -políticas, procedimientos, procesos, etc- tiene sentido si la organización, como un conjunto, no entiende la importancia del proceso y no sigue las directrices establecidas. Por eso, este proceso de “evangelización” es un proceso continuo, se inicia y no termina.
¿Cómo es la relación que debe tener el CISO con la alta gerencia?
Lo ideal es que el CISO esté situado en la alta gerencia, con relación directa, reportando directamente al gerente general, por ejemplo, a un comité de alta gerencia, de la mano de la estrategia y de las decisiones importantes para poder aportar.
¿Y con el resto de áreas de la organización?
Es una relación de apoyo a los dueños de procesos: apoyar a gestionar sus riesgos y a tratarlos, también a fiscalizar que las cosas ocurran, que las directrices se implementen y ejecuten.
¿Es bien comprendido el rol del CISO hoy en las organizaciones?
No siempre, depende del rubro, pero el reto en este sentido es trabajar fuertemente en procesos de concientizaciónevangelización, que la empresa entienda tu rol y el aporte que hace tanto a la organización como a la vida personal de cada uno, dado que actualmente la seguridad de la información es una línea delgada donde se mezcla la vida personal con lo laboral.
¿Cómo cumplir un rol exitoso?
Implementando y basando su gestión en estándares como ISO 27001, ISO 22301 e ISO 31000, siendo un apoyo real a los procesos de negocio, generando mejoras tangibles en términos de seguridad, traspasando a veces las barreras de “esto no me corresponde” (a veces es necesario dar un apoyo adicional inicial a los procesos negocio), siendo motivador, teniendo la capacidad de generar una cultura de seguridad dentro de la organización, y a veces siendo duro en fiscalizar, trabajando en función de procesos y no de áreas. Las organizaciones deben caminar hacia allá, con una visión de procesos y no de áreas como silos. Basando su estrategia en la gestión de riesgos, los esfuerzos del CISO deben ir donde existe mayor riesgo y no donde el tema está más controlado.
La experiencia ayuda mucho, el conocer diferentes rubros, organizaciones, ámbitos de seguridad de la información, que son varios, y conocer muy bien cómo es la función de áreas operativas de todo tipo. Conocer bien al equipo de trabajo, desarrollarlo y rodearse de la mejor gente, son cosas que te pueden llevar a ser exitoso en un rol como el del CISO.
