ISACA Journal
Volume 3, 2,018 

Translated Articles 

Choque de titanes: Cómo ganar la “batalla” entre la seguridad de la información y la informática sin perder a nadie 

Ofir Eitan, CISM, CCSK, CTI 

Uno de los principales desafíos a los que se enfrentan los jefes de seguridad de la información (CISO) en casi cualquier organización es priorizar los intereses de seguridad de la información con respecto a los intereses de TI.1, 2 Los ejemplos incluyen la implementación de un sistema de ciberseguridad3 antes de implementar un sistema designado para un mejor rendimiento de la red o cambiar la arquitectura de la red basada en directivas de seguridad en lugar de diseñarla de una manera que sea más fácil de mantener por los equipos de operaciones de TI. Cualquier lector que haya experimentado trabajando en una división de TI probablemente haya encontrado el siguiente dilema común: El CISO presenta una necesidad urgente de adquirir un sistema de seguridad y el departamento de TI tiene que oponerse a la solicitud debido a recursos insuficientes o problemas técnicos derivados del proyecto.

Este artículo comparte las ideas del autor de su experiencia personal con respecto al choque inminente y casi inevitable entre la seguridad de la información y los intereses de TI. Estos pensamientos se desarrollaron mientras el autor participaba en mesas redondas relacionadas, participó en reuniones corporativas sobre este tema, y también participó en conversaciones informales con expertos y altos ejecutivos de la industria. Este análisis puede ayudar a los oficiales y gerentes de seguridad de la información a superar este desafío y ayudar a las organizaciones a aprovechar su postura de seguridad.

La dinámica en el lugar de trabajo generalmente se basa en los trabajadores y su interacción entre ellos. Por lo tanto, una buena relación de trabajo entre los CISO y sus colegas, como el jefe del departamento de operaciones de sistemas, probablemente habría un impacto positivo en tender un puente sobre sus intereses profesionales individuales. Por otro lado, la ubicación de las funciones de seguridad de la información en la estructura organizacional puede tener un gran impacto en la dinámica de trabajo, como se indica (según la comprensión preferida del autor de la evolución de la estructura de seguridad de la información):

  • El CISO informa al jefe del departamento de TI o un puesto equivalente—En muchas organizaciones, específicamente pequeñas y medianas empresas (PYMES), las funciones de seguridad se han desarrollado dentro de las unidades de TI, principalmente para satisfacer la demanda de seguridad de TI, sobre la base de una verdadera comprensión del aumento de las amenazas cibernéticas o para garantizar el cumplimiento de las exigencias normativas. Aunque siempre se puede lograr una postura de seguridad adecuada, en este escenario, pueden surgir conflictos debido a posibles conflictos de intereses intrínsecos entre las necesidades de desempeño y las necesidades de seguridad. Por esta razón principal, las mejores prácticas y estándares requieren la separación de funciones entre IS y TI.
  • El CISO reporta al director de información (CIO) pero depende de las unidades de TI para las operaciones y la administración de los sistemas—Esta estructura tiende a ser común entre las entidades corporativas.4 Por lo general, este modelo separa la gestión de las políticas de seguridad, los incidentes de auditoría y monitoreo liderados por la unidad de seguridad de la información de la infraestructura y/o unidades del sistema, que están ejecutando operaciones del sistema. Por lo tanto, el CISO generalmente depende del departamento de infraestructura cuando se trata de presupuesto y se ve forzado a cumplir con los intereses inherentes del CIO, que generalmente se inclinan hacia la productividad de TI.5 Una vez más, la presión de las unidades de negocio, los problemas de rendimiento y los recursos humanos o financieros insuficientes pueden colocarse ante la agenda del CISO.
  • El CISO reporta a un alto ejecutivo, pero no al CIO—La mayoría de las organizaciones de hoy están obligadas a cumplir con las regulaciones industriales, que parecen avanzar hacia la dirección de exigir que las organizaciones coloquen al CISO en una posición de reportar a un ejecutivo senior.6 En este caso, el CISO puede informar al director de riesgos (CRO), al jefe de operaciones (COO) u otras posiciones seniors.7, 8 Cualquiera de esas estructuras puede, o no, tener efectos negativos en la capacidad del CISO para promover los intereses de seguridad de la información en la división de TI. Sin embargo, la distancia relativa del CISO con respecto a las unidades de TI puede imponer el mayor desafío a su deber, ya sea de forma presupuestaria, mantenerse al día con los proyectos y tendencias de TI, o hacer cumplir las políticas y promover la agenda de SI.
  • El CISO administra operadores de sistemas independientes e informa al CIO o al director ejecutivo (CEO)9—Algunos podrían decir que esta estructura es el objetivo de cualquier CISO ya que proporciona los recursos y la autoridad necesarios para ejecutar la gobernanza de la seguridad de la información y la agenda asociada. Como dice el refrán, con gran poder viene una gran responsabilidad, por lo tanto, en esta estructura, es probable que se requiera que el CISO invierta más tiempo coordinando las operaciones del sistema con las unidades de TI. El factor clave en esta estructura es asimilar a los operadores del sistema de seguridad de la información con sus colegas en las unidades de TI para unir fuerzas a diario.

Desde el punto de vista del autor, no existe un modelo ideal para colocar al CISO en una organización determinada. Por el contrario, siempre hay un mejor modelo para cualquier organización específica. De una forma u otra, se recomienda que los CISOs absorben la idea de que su lugar en el diseño de la organización tiene una influencia vital en su capacidad para liderar cambios importantes, tales como la adquisición de nuevas soluciones, la implementación de una nueva y segura arquitectura de red, y ejecutar políticas y procesos comprensivos.

El análisis de estructura organizativa debería ser útil para cualquier CISO como medio para comprender los pros y los contras del puesto. Sin embargo, los siguientes puntos de vista y orientación pueden aplicarse al CISO sin importar las líneas de reporte en el diseño de la estructura organizativa:

  • Comprenda y considere ambos lados de la ecuación. Naturalmente, el personal de seguridad de la información busca soluciones con las mejores funcionalidades y capacidades de seguridad de acuerdo con su conocimiento informado. Por otro lado, cada gerente de seguridad de la información debe considerar si la solución cumple con las demandas de la infraestructura, el sistema y las unidades de operaciones de TI. Se recomienda que el CISO formalice un documento de términos de apertura con todas las demandas básicas establecidas por los departamentos de TI. Esta solución es comparable a las políticas de seguridad, pero desde un punto de vista de TI (por ejemplo, un agente o sistema sin agente, soporte de plataformas de infraestructura de escritorio virtual [VDI], límites de recursos del sistema, soporte técnico suficiente). Tanto la seguridad de la información como las unidades de TI deberían aspirar a un proceso armonioso en el que cada lado represente las necesidades e intereses de la otra parte.
  • Recuerde que las necesidades de los negocios siempre se colocarán por encima de las necesidades de SI. Cuando se trata de los resultados finales, administrar la seguridad de la información significa encontrar el mejor compromiso entre la seguridad y el negocio para la organización y al mismo tiempo garantizar el cumplimiento de las leyes y regulaciones. Por esa razón, esta comprensión también se aplica a las consideraciones detrás de la compra e implementación de nuevos sistemas de seguridad. Por lo tanto, antes de presentar un caso de negocios, el CISO debe asegurarse de que la compra de nuevas soluciones o el cambio de la arquitectura de la red sea el último recurso y que todas las demás soluciones basadas en los recursos existentes fueron consideradas adecuadamente.
  • Desarrollar un caso de negocios. Encontrar los recursos financieros y humanos para la mejor solución de seguridad en el mercado a menudo no es suficiente si no existe un riesgo tangible, concreto o inminente. Por lo tanto, la priorización de las necesidades de seguridad sobre las necesidades comerciales puede requerir que el CISO busque otras fuentes para financiar una solución. En la mayoría de los casos, el CISO debe demostrar una eficiencia operacional inequívoca si la intención es implementar nuevas soluciones. Además, según varios altos ejecutivos, la cantidad de sistemas de seguridad podría estar restringida. Por esta razón, algunos casos requerirán que el CISO muestre cómo una nueva solución realmente reducirá el número de sistemas existentes y proporcionará la mejor solución holística, lo que mitigará la mayor cantidad de riesgos posible. Por ejemplo, una adquisición de una solución de detección y respuesta de punto final (EDR) e inspección profunda de paquete (DPI), combinada con un módulo de antivirus en un agente, puede reemplazar un conjunto de sistemas, como un antivirus actual (AV), agente forense y de remediación, herramienta de detección de anomalías, sistema de gestión de respuesta a incidentes, sistema de gestión de control, herramientas de análisis de red y de tapping, y suministros de inteligencia. En algunas situaciones, también se puede usar para solucionar problemas de infraestructura.
  • Satisfaga la demanda de un proceso formal de gestión de riesgos. Cuando se hayan realizado todos los esfuerzos y sea inevitable una decisión insatisfactoria, el CISO deberá documentar la decisión formal e incluir una evaluación de riesgos profesional y detallada. El CISO no debe olvidar que el puesto sirve a la organización para bien o para mal, aunque a veces este servicio incluye enfrentar a altos directivos con el panorama de amenazas y el riesgo de seguridad de la información que presenta. En este sentido, es deber del CISO buscar la diligencia debida y la debida diligencia en la situación dada, que debe incluir un adecuado proceso de gestión de riesgos antes de tomar cualquier decisión sobre la compra de sistemas de seguridad, gestión de cambios, implementación de nuevas políticas, etc.

Conclusión

Aunque la afirmación de que los profesionales de seguridad de la información deberían actuar como habilitadores de negocios podría ser un cliché, debería recordarles a los CISO que están aquí ante todo para satisfacer las necesidades comerciales. Por lo tanto, deben aprovechar al máximo sus recursos disponibles y su posición dentro de la estructura de la organización. Uno podría pensar que esto suena como que los CISO deberían actuar como yes-men, pero ese no es el caso. Siempre que los CISO u otro personal de seguridad de la información se encuentren en una disputa sobre recursos o políticas con el personal de TI, deben recordar uno de los fundamentos más importantes en seguridad de la información: el proceso de evaluación de riesgos. Se espera que los CISO tengan un amplio conocimiento en el análisis y la presentación del panorama de ciberamenaza de la organización a sus ejecutivos, y la solución o proceso tecnológico adecuado para mitigar el riesgo al que la organización puede estar expuesta.

Notas finales

1 Pompon, R.; “CIO or C-Suite: To Whom Should the CISO Report?” InformationWeek Dark Reading, 7 September 2017, https://www.darkreading.com/partner-perspectives/f5/cio-or-c-suite-to-whom-should-the-ciso-report/a/d-id/1329807?piddl_msgorder=asc
2 Musthaler, B.; “Reduce the Conflicts Between IT Administrators and Information Security Personnel,” NetworkWorld, 20 January 2012, https://www.networkworld.com/article/2184992/infrastructure-management/reduce-the-conflicts-between-it-administrators-and-information-security-pe.html
3 A cybersecurity system, in this case, can be an automated vulnerability scanner, upgraded endpoint protection, deep packet inspection, etc.
4 Brocaglia, J.; “Hiring Your First CISO: A How-to,” ISACA Now Blog, www.isaca.org/Knowledge-Center/Blog/Lists/Posts/Post.aspx?ID=632
5 CIO Staff and CSO Staff, “Eight Reasons the CISO Should Report to the CEO and Not the CIO,” CIO UK, 6 January 2017, https://www.cio.co.uk/it-security/eight-reasons-ciso-should-report-ceo-not-cio-3634350/
6 New York State Department of Financial Services, 23 NYCRR 500 Cybersecurity Requirements for Financial Services Companies, USA, March 2017, www.dfs.ny.gov/legal/regulations/adoptions/dfsrf500txt.pdf
7 Adams, E.; “Comment: Where the CISO Should Sit,” Infosecurity Magazine, 22 November 2011, https://www.infosecurity-magazine.com/opinions/comment-where-the-ciso-should-sit/
8 Boulton, C.; “Debate Continues Over Where CISOs Sit in the C-Suite,” CIO, 2 June 2016, https://www.cio.com/article/3078567/security/debate-continues-over-where-cisos-sit-in-the-c-suite.html.
9 Lambert, M.; “As CISOs’ Roles Evolve, So Do the Reporting Lines,” ISACA Now Blog, www.isaca.org/Knowledge-Center/Blog/Lists/Posts/Post.aspx?ID=791

Ofir Eitan, CISM, CCSK, CTI
Es un gerente y consultor de seguridad cibernética con más de 10 años de experiencia gerencial en diversos campos, incluyendo estrategia y mapeo de carreteras, programas de seguridad, administración de proveedores, evaluación de productos, respuesta a incidentes, inteligencia de amenazas y seguridad ofensiva. Estableció el primer equipo de seguridad cibernética en Leumi Card, la segunda compañía de pagos más grande de Israel. Antes de eso, trabajó en la Oficina Nacional de Cibercomunicaciones de Israel y en el Cuerpo de Inteligencia de Israel en diversos cargos como oficial de seguridad de la información e líder del equipo de Inteligencia Cibernética (CTI). Se lo puede contactar en www.linkedin.com/in/ofir-eitan.

 

Add Comments

Recent Comments

Opinions expressed in the ISACA Journal represent the views of the authors and advertisers. They may differ from policies and official statements of ISACA and from opinions endorsed by authors’ employers or the editors of the Journal. The ISACA Journal does not attest to the originality of authors’ content.