La incomprensión del CISO

Incomprensión del CISO

Si tuviéramos que buscar una palabra para definir al Responsable de Seguridad de las organizaciones diría que es la incomprensión. La incomprensión de luchar cada día con una carente y patente falta de recursos, en un entorno hostil que supera en todos los sentidos las capacidades de defensa con las que cuentan las organizaciones, así como la falta de apoyo del resto de la organización, donde la seguridad se ve como un gasto y no como una inversión.

La incomprensión del riesgo

No hay semana que no nos encontremos con algún titular, en los medios de comunicación, diciendo la gran falta de profesionales, en el ámbito de la Ciberseguridad, que tiene el país. Las múltiples vulnerabilidades que están causando estragos en las empresas nacionales e internacionales. La falta de inversión en materia de Ciberseguridad en las empresas. La indisponibilidad de cursos de formación eficientes (eficaces y al menor coste posible) que hay en el sector. Los desastrosos vaticinios que se avecinan, en materia de privacidad, en los próximos años.

Muchos son los titulares negativos que leemos, entendible también porque el ser humano es bastante morboso por naturaleza, pero poco o nada de habla de la reacción de las empresas al recibir los resultados de los Planes Directores que encargan a sus respectivos CISOs o Responsables de Seguridad.

La seguridad es cuestión de confianza

ÉxitoSiempre ha sido así, y siempre será así. Debes de confiar en tu equipo de seguridad, para que puedas realizar tu trabajo sin tener que estar pendiente de tu integridad. Este es el mismo principio que ha regido siempre en la historia humana. El problema se presenta cuando ese protegido no confía en las decisiones que toma su Responsable de Seguridad.

La seguridad no es la misma siempre, depende de las circunstancias. Por ello, en caso de que se quiera ahorrar en costes, o  bien ponemos una vela a todos los santos que podamos, o bien hacemos caso a los consejos y directrices de los responsables de seguridad que tenemos, y en los que confiamos. Pero lo que nunca se puede hacer es pedir responsabilidades a una persona sin darle el poder para poder realizar su trabajo. Si no confiamos en nuestros responsables de seguridad, es mejor ahorrarnos ese puesto, o poner a alguien más “barato” a quien poder culpar cuando ocurra el incidente.

La seguridad cambia

El ser humano necesita poder comparar situaciones, con objeto de entenderlas mejor. En los ejemplos del ámbito ciber, siempre es bueno recurrir al ámbito físico, para entender las consecuencias.

Está claro que si tuviéramos que diseñar un sistema de seguridad para una infraestructura, no es lo mismo que sea tu casa, tu negocio, tu empresa, un teatro, un estadio, un centro comercial, o una infraestructura crítica. La seguridad variará en función de parámetros tan objetivos como: el valor de lo que protejo, la exposición al exterior, el número de personas que acceden, los riesgos que quiero asumir (término diferente de “eso no pasa nunca”), las implicaciones legales, comerciales o morales de la pérdida o el deterioro del mismo, las fortalezas y debilidades de la estructura, etc.

Bajo esta premisa, y en los tiempos de la digitalización, donde todo se conecta, incluso lo que no debería conectarse se conecta, debemos aplicar el mismo principio. No son iguales, y obviamente no requieren la misma protección, unas empresas que otras.

La superioridad consiste en aprovechar las lecciones de la experiencia

Muchas veces hemos hecho referencia a la pirámide de Maslow, donde una vez cubierta las necesidades fisiológicas básicas, debemos trabajar por garantizar la propia seguridad. Si falla la seguridad, falla el resto de la pirámide. Con esto no quiero decir que la seguridad sea más importante que el negocio, sino que la seguridad debe ser consecuente con el negocio. Por ello, en cada caso, será necesaria una seguridad proporcionada a los riesgos, y si se gestiona con experiencia, y se hace una inversión acorde a las necesidades, podrá ser un elemento dinamizador del negocio.

Lo que no se puede es seguir jugando a la ruleta rusa porque, antes o después, pasará lo inevitable.

Problemas de un Responsable de Seguridad

Yo siempre digo: mal de muchos… EPIDEMIA. En este caso, creo que la pandemia ya ha afincado en nuestro entorno, y la contención será muy complicada, pero no imposible. Entre los principales problemas con los que un Responsable de Seguridad se encuentra en sus empresas están:

  • Falta de inversión en materia de seguridad.
  • Falta de conciencia, por parte de las direcciones, de la transversalidad de la seguridad a todas las áreas que componen la empresa, lo que requiere de independencia interna.
  • Falta de personal cualificado y formado a precios asequibles.
  • Falta de herramientas que permitan la automatización de procesos y que medidas transparentes de seguridad a los usuarios.
  • Falta de responsabilidad de los proveedores, que en muchos casos, no adquieren el compromiso con la empresa en ayudarla en su seguridad, sino en el cumplimiento de lo contratado.
  • Falta de estructuras de control y marcos normativos claros y concisos que ayuden en la protección real de la empresa.
  • Falta de evidencias en el cumplimiento de los controles establecidos de cara a las auditorías que recibe.
  • Falta de apoyo en las áreas de la Organización, inmersas en procesos históricos en los que se ha trabajado con una seguridad inadecuada por las decisiones que han primado la disponibilidad. Como ya comentamos antes, asumir, muy frecuentemente lleva parejo el dolor de las consecuencias.
  • Falta de control en el perímetro real (físico, lógico y humano) de la empresa. Si no conoces hasta donde llega tu activo, no lo puedes proteger adecuadamente.
  • Falta de una estructura clara de control y acción en la organización, donde se frenan los proyectos de seguridad. Aceptación del mínimo éxito, como final de la guerra, y no como una simple batalla más que hay que seguir peleando.
  • Falta de análisis de riesgos que permita la adecuada priorización de los recursos de la Organización.
  • Falta de Sistemas de Gestión Integrados para la optimización de los recursos, así como el establecimiento de unos procesos de seguridad claros.

En resumen… FALTA DE CONFIANZA DE LA EMPRESA, por no confiar (dar las herramientas, proporcionadas, pero necesarias al riesgo que posee) en su Responsable de Seguridad.

Relacionados: Se buscan 350.000 expertos en ciberseguridad ; Ni Director de Seguridad Física, ni de Seguridad de la Información. Necesitamos Directores de GRC.

Si quieres puedes valorar la entrada: 1 Star2 Stars3 Stars4 Stars5 Stars (3 votes, average: 4,00 out of 5)

Cargando…

Deja un comentario