COMUNICACIÓN, EL PRINCIPAL DESAFÍO PARA EL CISO DE HOY



comunicacion como parte de la gestion

Es irónico apuntar al factor humano como el eslabón más débil de la cadena de seguridad, siendo que poco o nada invertimos en campañas de sensibilización al personal y en la gestión de reportes a la dirección. Insistir que las personas son lo más importante en un sistema de gestión de seguridad queda reducido a discurso cuando seguimos concentrando el tiempo y recursos económicos destinados a herramientas técnicas de control (SIEM, DLP, MDM, etc.), o creer que el desafío del CISO es bigdata, IoT, cloud y que los CISOs deben estar preparados para los retos del año 2020 cuando ni siquiera estamos preparados para los desafíos de hoy producto de una formación más técnica que ejecutiva.

 

Tanto ISACA como ISC2, exponen que la habilidad más importante que un CISO debe poseer y desarrollar es la COMUNICACIÓN, incluso desde sus inicios como operador de seguridad y en el transcurso de su formación como administrador de seguridad, se le exige que vaya desarrollando esta skill. Pero a que se refiere con esto?, es tan simple como el hecho de dar charlas de seguridad a los usuarios anualmente?, pues esto solo es una mínima parte, se requiere gestión de la comunicación, integrada con cada proceso de seguridad de la información (riesgos, partes interesadas, presupuesto, recurso humano, entre otros que expone la guía PMBOK de PMI).

Por un lado, a muchos directores y gerentes de alto nivel no les parece la idea de que un empleado de menor nivel jerárquico (técnico) los esté “capacitando”, y menos si éste no se encuentra empoderado al nivel de una gerencia de área, así que la mejor forma de sensibilizarlos es mediante la gestión de comunicación que se concede en los Comités ejecutivos (estratégicos), donde participantes gerencias operativas, gerencia de recursos humanos, otras gerencias usuarios y gerencias de control interno.

Para una comunicación efectiva, se requiere que ésta sea en dos vías (feedback), por lo que el CISO debe buscar la manera de que el comité ejecutivo de seguridad sea el que formalmente emita las recomendaciones (obviamente impulsadas por el CISO). Debe involucrar a los gerentes de área, de modo tal que éstos sean los verdaderos protagonistas del seguimiento, y no utilizarlos o manipular al comité como una supuesta instancia de aprobación, o peor aún, de toma de decisiones de última hora y que además fomenta que se diluyan las responsabilidades individuales bajo un manto imaginario de responsabilidad “grupal”.

Una buena comunicación con las demás gerencias es la base para una buena negociación en seguridad de la información sin ser víctima de los ‘Procustos’, más aún cuando el CISO es orgánicamente independiente de TI. Es por esto que un CISO asigna mayor presupuesto en herramientas de comunicación para la gestión de seguridad en lugar de herramientas técnicas para identificar vulnerabilidades y detectar ataques informáticos.

Intentar ser un CISO técnico simplemente es empequeñecer el rol del ejecutivo de seguridad que la organización necesita, ya que la seguridad no se obtiene desde la sombra del Gerente de TI y menos a partir de 2 cabezas en TI, algo elemental en administración organizativa.

Por otro lado, sabemos que el CISO debe estar a nivel jerárquico empoderado (Gerente, jefe, director etc.), sin embargo, el CISO no debe permitirse estar alejado de grueso de usuarios de la organización que comúnmente son empleados de menor nivel jerárquico, la comunicación del CISO no solo es ascendente y horizontal, sino también vertical descendente. Actualmente gracias a las regulaciones de algunos sectores, los CISOs se van acercando más a la alta gerencia, pero se van alejando de los usuarios, subestimando y delegando tareas de comunicación a su personal dependiente (Analistas de Seguridad de la Información), como por ejemplo: la ejecución del programa de sensibilización, charlas de capacitación a empleados, entre otras actividades de interacción con el personal. Si bien los Analistas de Seguridad también deben desarrollar estas habilidades de comunicación y evangelizar a los usuarios en temas de seguridad, se requiere un evidente respaldo del CISO, así como el compromiso de la gerencia general ante los empleados para fortalecer estas actividades. Si las charlas de seguridad las va realizar un contratista, deben ser bajo la supervisión del CISO, el líder de seguridad de la información de la organización no debe quedar al margen o en segundo plano de una actividad tan visible.

COBIT (ISACA) y el CBK (ISC2) señalan que las charlas de seguridad colateral son las más apropiadas para sensibilizar a personal reacio con la seguridad. Evidentemente a esta clase de empleados no se llega a través los vectores de protección para el negocio, ya que quizá los ve ajenos a sus intereses o a su realidad, pero seguramente sí será posible llegar a ellos a través de los vectores de protección de su entorno familiar o personal, de cualquier forma se requiere comunicación asertivo.

Asimismo, tanto la guía de CISM (ISACA) como la guía de CISSP (ISC2) coinciden en que si bien lo recomendable es que el CISO dependa directamente de la alta dirección (Gerencia General), no es inaudito que el profesional de seguridad de la información reporte orgánica y funcionalmente al Gerente de Información, Gerente de Riesgos, Gerente de Seguridad Corporativa, sin embargo, ambas guías coinciden y son tajantes en que el CISO no debe reportar a la unidad de Auditoría. Regulaciones del sistema financiero en Bolivia y otros países de la región, establecen que el profesional de Seguridad de la Información no debe reportar (depender) a la Gerencia de Tecnología de la Información, algo que no está mal, pero que tampoco es lo más adecuado para entidades con un nivel de madurez inicial en gobierno y gestión de tecnologías de la información, ya que la comunicación no solo está compuesta por un emisor, receptor, canal y mensaje, como comúnmente se piensa, sino que la comunicación también requiere un contexto, o conjunto de circunstancias en las que se produce un mensaje, contexto que probablemente en un empresa con el área de TI raquítica, solo lleve a discusiones y malentendidos (de comunicación) entre seguridad y TI, principalmente en el comité ejecutivo de seguridad.

Más allá de las clásicas discusiones por posible conflicto de interés del gerente de TI en la priorización de actividades operativas por encima de las de seguridad, en muchas empresas el ejecutivo de TI ya cuenta con el empoderamiento necesario en la empresa para transmitir el mensaje de seguridad de la información con mayor facilidad e impacto sobre la alta dirección del que podría lograr un ejecutivo de seguridad de la información junior. Otra alternativa es que el CISO reporte directamente al Gerente de Riesgos, en el entendido de ésta área analiza todo tipo de riesgos (tecnológicos, de la información, de seguridad física, financieros, legales, entre otros.), incluso contando con un empoderamiento indiscutible en la empresa, es común que este ejecutivo no le preste la atención requerida a los temas de seguridad de la información por los otros tipos de riesgos de la empresa con los que también debe lidiar y que quizá no estén estrechamente relacionados con la información, generando un mensaje insuficiente y por tanto una comunicación deficiente hacia la alta dirección. En algunas empresas se puede apreciar que el ejecutivo de seguridad de la información reporta a una gerencia administrativa o de seguridad corporativa, cuyo gerente comúnmente goza de buena influencia tanto interna como externa, siendo de gran beneficio para los proyectos de seguridad de la información, sin embargo, el ruido en la comunicación a la alta dirección se produce cuando este ejecutivo debe plantear los temas de seguridad de la información que atañen a tecnologías de la información, complejas por su naturaleza.

Otra forma poderosa de comunicar es a través del ejemplo, si los usuarios observan a personal de seguridad es negligente (ej. no bloquea su computador al momento de ausentarse), todo lo que se pregonó queda debilitado. Como toda profesión apasionante, ser CISO es un estilo de vida, más que un cargo de cumplimiento de la empresa, por lo tanto, el presupuesto no debe ser una limitante para comunicar de manera efectiva, hasta un Power point, Word y Excel resultan herramientas clave para desarrollar las habilidades de comunicación en la gestión de seguridad y poder trasmitir claramente el mensaje de cómo y en qué medida la seguridad de la información aporta a la creación de valor para el negocio, siendo éste el objetivo final del gobierno corporativo de las TI.

You may also like...

Social Media Auto Publish Powered By : XYZScripts.com