Te contamos cómo capacitar a tu personal para cumplir con tus necesidades de seguridad.
La seguridad de la información (SI) es crucial para toda organización. Para poder llevar a cabo las actividades relacionadas generalmente se contrata a un Chief Information Security Officer (CISO). Nosotros queremos decirte qué ese no tiene que ser siempre el caso.
En este artículo te platicamos por qué es una buena idea entrenar a alguien que ya está dentro de tu organización en materia de seguridad de la información. En pocas palabras, sabemos que no necesariamente necesitas un CISO para estar seguro.
La importancia de un CISO
Antes de comenzar, tenemos que entender cuál es el rol de un CISO y la importancia de que esas tareas se lleven a cabo en tu organización.
El trabajo de un CISO, es velar por la seguridad de la información. También conocido como OSI (por sus siglas en español), un CISO se encarga de que las políticas de seguridad de la información se cumplan y apliquen en la organización. Algunas de sus tareas principales son:
- Crear políticas y procedimientos de seguridad de la información.
- Coordinar al equipo de gestión de riesgos.
- Garantizar la implementación de los controles de seguridad.
Sin duda, este rol es de suma importancia para cualquier empresa que busque proteger su información o que esté en proceso de certificarse en estándares de SI, como ISO 27001.
La buena noticia, es que no es realmente necesario que contrates a alguien nuevo específicamente para esta posición.
Entrena a tu propio CISO
Más que contratar a una persona para el rol de CISO, es importante contar con alguien que tome la responsabilidad y liderazgo de cumplir con las tareas necesarias. Si encuentras a alguien que sea parte de los C-Levels de la organización o bien, a un PM interesado en tomar el desafío que cuente con estas características, puedes capacitarlo para tener el conocimiento técnico de un CISO.
Las actividades que están relacionadas con seguridad de la información deben ser supervisadas y controladas por un comité de seguridad. Este comité se encarga de que todas estas tareas se implementen, mantengan y mejoren.
El comité de seguridad de la información usualmente está conformado por los C-levels de la organización y la persona que toma el rol de OSI.
Así que si por alguna razón no es el momento para contratar un CISO, siempre hay alguien que puede aprender.
Lo que necesitas saber para suplir a un CISO
Básicamente lo que necesitas para llevar a cabo las labores de un CISO es aprender temas de seguridad de la información.
Más que nada, es familiarizarte con la ISO 27001 para darle cumplimiento, entender cómo aplicar los controles de ISO 27002, saber gestionar a la gente y sus entregables.
Recuerda que el CISO no es el único implementador y mantenedor de la certificación. Aunque él es el frente, necesita apoyo de quienes operan los controles y de la alta dirección para que la certificación sea un éxito.
¿Necesitas contratar un CISO?
Cuándo estás creando tu SGSI puedes ir por 2 caminos diferentes. El primero consiste en una estructura donde si tienes a alguien como CISO dentro de la organización.
El segundo, se trata de una estructura donde el CISO es representado por alguien más dentro de la empresa.
Ventajas | Desventajas | |
Estructura donde el CISO es una persona independiente al CEO, CTO, etc. | -El CISO se encarga de definir los lineamientos en seguridad. -Recomendaciones técnicas y skills desarrollados en materia de ciberseguridad. -Contará con independencia de las áreas de tecnología y sistemas para validar las necesidades de seguridad de la información como parte de la estrategia organizacional. -Será quien defina los objetivos que la organización debe cumplir con el apoyo del comité de seguridad. | -Costo de sumar un colaborador con conocimientos en SI para este puesto en específico. -Alinear a la nueva persona a las operaciones existentes de la organización. |
Estructura dónde el CISO es representado por el CEO, CTO, etc. O sea que es alguien que ya está dentro de la empresa. | -Reducción de costos. -La persona ya conoce la operación de la empresa. -Promover una cultura de liderazgo para el SGSI, dado su rol actual. | -El CEO, CTO o alguna otra figura serán quienes tomen el mando en el desarrollo de procesos de seguridad de la información; lo que aumentará su carga de trabajo. -Se sumarán actividades de SI a roles que quizá no tienen el expertise para realizarlas. |
Conclusión
Podemos concluir que un CISO es un figura importante para la seguridad de la información en tu empresa. Sobre todo, si planeas certificarte en ISO 27001.
Sin embargo, no poder contratar un CISO no significa que es el fin del mundo. Siempre puedes seleccionar a un miembro de la organización que tenga las capacidades de liderazgo y el compromiso necesario para sacar adelante el proyecto. Si te decides por esta opción, dicha persona tendrá que aprender sobre seguridad de la información y estudiar la ISO 27001 para comprenderla.
Te sugerimos comenzar por estos temas:
¿Qué es una normativa y una regulación?
5 documentos básicos para comenzar a cumplir con regulaciones
Mantén la calma: Esto es la ISO 27001
Cómo hacer tu política de seguridad de la información
Cómo definir el comité de seguridad de la información
Aunque capacitar a alguien interno para llevar a cabo las actividades de un CISO puede ahorrarte la contratación de alguien nuevo, también debes tomar en cuenta que la carga de trabajo de ese colaborador aumentará. Esto porque tendrán que realizar actividades extras que estén relacionadas a seguridad de la información.
Si estás pensando en contratar un CISO o tienes alguna otra duda sobre el tema, estamos aquí para ayudarte.