Parece una pregunta simple. Después de todo, parece que hay poco debate acerca de dónde otros niveles C-oficiales deben informar. Si bien ha habido algunas discusiones sobre la estructura de información de tales ejecutivos de nivel C como el director de privacidad y el director de cumplimiento, estos son relativamente comedido en comparación con el acalorado debate que he sido testigo y ha sido una parte de lo largo de los últimos años .
El hecho de esta situación que se plantea es una indicación en absoluto de la creciente aceptación del papel y la función de CISO. En 2006, sólo el 22 por ciento de los más de 7.000 organizaciones que respondieron a la encuesta de PricewaterhouseCoopers anual de seguridad de la información que poseían un CISO o equivalente. En 2011, más del 80 por ciento de los encuestados reportaron tener un CISO.
Pero sigue habiendo un fuerte desacuerdo acerca de a quien los CISO deben informar. La recomendación que prevalece
es que el CISO de ninguna manera debería informar al CIO. De acuerdo a muchas personas que escriben sobre este tema, que el CISO reporte a TI de la organización es una segregación inadecuada de funciones. Sin embargo, el hecho es que entre el 40 por ciento y 60 por ciento de los CISO lo informan a la CIO o ejecutivo de TI, en función de la industria.Y en algunos sectores hay una tendencia clara hacia esta estructura de reporte.
Incluso si todos coincidimos en que el CISO no debe informar a la CIO, esto no responde a la pregunta. Si le preguntas a siete organizaciones de clase mundial, a quien el CISO debe informar, bien podrías tener siete respuestas de clase mundial, cada una defendiendo con vehemencia su propuesta.
Vamos a dar un paso atrás y echar un vistazo al tema desde una perspectiva diferente. Cuando le presentan un médico, es probable que le pregunte: “¿Qué tipo de médico eres tu?” La respuesta indicará que el médico posee cierta
especialidad, habilidad, entrenamiento y experiencia. Y si estás buscando un abogado o contador, la primera pregunta para ellos sería qué tipo de abogado o contador son.
Cuando le presentan un CISO, no se puede hacer esa pregunta. No creemos de que hay tipos de CISO. La pregunta que nos suelen pedir en cambio, es, “¿a quién reportas?” a quién reporta un CISO a es un indicador general de los tipos de derechos de él o ella tienen. Por ejemplo, es probable que un CISO que informa a la asistencia jurídica y cumplimiento no tendrá responsabilidades de operaciones de seguridad, pero uno que depende del gerente de operaciones de rede infraestructura, probablemente sí.
La variedad de descripciones de puestos de CISO son una prueba más de los diversos conjuntos de habilidades que se requieren actualmente en las organizaciones para la gente en ese papel. Algunos factores que influyen en determinar a quien reporta el CISO incluyen: estrategia de la empresa, la cultura organizacional, la historia de la compañía con la función de CISO, las experiencias de la empresa de seguridad de incidentes y los requerimientos de cumplimiento.
Sugiero que las diferentes organizaciones requieren diferentes tipos de CISO sobre la base de estas consideraciones. Por supuesto, las circunstancias cambian con el tiempo y puede requerir un cambio en la estructura de reporte del CISO.
Tres tipos de CISO
Hay tres tipos principales de CISOs. La mayoría de las versiones será una mezcla de más de un tipo de función, pero estas descripciones ofrecen algunas ideas sobre a quien CISO debe informar.
1. Oficial de Seguridad de Información Técnica (TISO)
El TISO se especializa en temas de seguridad técnicas, operaciones y monitoreo, que incluye la gestión de servidores de seguridad, manejo de detección de intrusiones y sistemas de prevención de intrusiones, y así sucesivamente. El TISO también coordina y gestiona las políticas técnicas y de control y actividades de evaluación. Esta persona debe informar a la CIO, CTO o la gestión de TI.
2. Oficial de Seguridad de Información de Negocio (BISO)
El BISO especializa en temas de seguridad de la información relacionados con el negocio, tales como la forma de aplicar de forma segura de cara al cliente las tecnologías y la forma de proteger adecuadamente la información de los clientes. Un propósito importante del BISO es asegurar que la unidad de negocio o división entiende que la seguridad de la información es un requisito de negocio como cualquier otro. Esta persona también asiste en la implementación y la traducción a la empresa los requisitos de seguridad, políticas y procedimientos.
Además, el BISO debe llevar a cabo evaluaciones de seguridad o de negocios, como mínimo, la coordinación entre los problemas de seguridad identificados relacionados con la empresa. Idealmente, debería existir un BISO incrustado en cada unidad de negocio principal o la división y él o ella debe informar a la gerencia empresarial.
3. El Oficial de Seguridad de Información Estratégica (SISO)
El SISO se especializa en la traducción de requisitos de alto nivel de negocios en las iniciativas de seguridad de la empresa y los programas que deben ser implementadas para lograr en la organización la misión, metas y objetivos. El SISO debe coordinar con el oficial de operaciones y el BISO para asegurar un progreso adecuado. El SISO también debe ser responsable de las métricas, cuadros de mando e informes ejecutivos y para la presentación de evaluaciones del estado de la seguridad en la empresa a la junta de directores. El SISO debe informar a los directores de gestión ejecutiva, como el director de riesgos, director de operaciones o asesor legal en jefe o a un comité de gestión ejecutiva.
Al considerar a quien el SISO informará , debemos ponernos a pensar en si los ejecutivos superiores serán capaces de dar soporte adecuadamente al SISO. Por ejemplo, ¿el CEO será capaz de pasar el tiempo con el SISO tanto como sea necesario? El SISO debe ser también capaz de representar a la organización ante la sociedad externa, es decir, con terceras partes.
Es posible inferir que se necesita más de un tipo de CISO para su organización y puede que tengas razón. De hecho, para algunas organizaciones, un CISO no es suficiente. Siete por ciento de las organizaciones que respondieron a PricewaterhouseCoopers en la encuesta global de seguridad de la información 2011, reportaron haber tenido más de un CISO. Así que, ¿a quién debe einformar el CISO? La respuesta corta es: al gestor más eficaz, en función del tipo de CISO?
¿qué opinas al respecto?¿a quién crees que debe reporta el CISO? Deja tus comentarios
Imagen extraída de eccouncil.org
Fuente: csoonline.com
Puzzle Bobble
Karate Blazers
Puzzle De Bloques
Magical Cat Adventure