Leyendo el post de HP Communities titulado “Do you really need a CISO to have security?“ se me ocurrió parafrasearlo un poco y dar también mi punto de vista al respecto este tema.
Hubo mucho ruido durante los últimos días sobre la violación de datos en LinkedIn, específicamente a la falta de CISO y CIO de esta empresa, entonces eso nos podría poner a pensar si ¿una empresa debe de tener un CISO o un CIO?
Hubo una publicación donde un portavoz de LinkedIn dice lo siguiente: “En la actualidad no tenemos a los ejecutivos con esos títulos específicos, pero David Henke, vicepresidente senior de operaciones, supervisa las funciones”. Entonces, nos formularíamos una pregunta más especifica ¿una empresa necesita a alguien con título de CIO o de CISO para tener bien gestionado la organización de TI y de seguridad?
Por una parte, es de suma importancia tener separadas a la persona responsable de tecnología del rol de seguridad dentro de la organización y viceversa. Por la otra parte, la seguridad la información dentro de nuestras empresas no es solo responsabilidad de una persona.
Estoy seguro de que hay muchos tipos de organizaciones y sin duda algunas necesitan el rigor de tener un Oficial de Seguridad de la Informacion (CISO) formal, con sus funciones bien definidas el cual será el responsable de las decisiones relacionadas con seguridad dentro de la organización. De hecho, la gran mayoría de las organizaciones son de este tipo, ya que cuando no se denomina explícitamente de esa forma al cabo de un tiempo pudiera ser relegada bajo las funciones de operaciones de la organización, arquitectura o algo mucho peor. Cuando la seguridad no está incorporada en el organigrama es fácilmente sacada de la ecuación, más de uno podemos dar fe de ello. Alguien tiene que tomar las decisiones difíciles, impulsar las políticas y ser impopular, ¿verdad? Alguien tiene que ser el chivo expiatorio cuando las cosas van mal y alguien tiene que ejercer presión para la protección de la organización. Por lo menos, si la seguridad no está inmersa en una buena parte de la cultura organizacional.
¿Estamos entonces dispuestos a aceptar que no está bien para una organización a abandonar el papel del CISO? No estoy seguro, aun no llegamos a ese punto. ¿Qué sucede cuando una organización no tiene CISO formal? ¿Puede la seguridad aún sobrevivir? ¿Es una violación inminente al igual que con LinkedIn? No lo creo, la situación en TI no puede ser tan grave. ¿Puede serlo?
No proteger los hash es un error que muchas organizaciones cometen… si estás dispuesto a criticar a alguien, debes mirar hacia adentro primero. No creo que la cultura en LinkedIn sea tan pobre que requiere el papel de un CISO para insertar en la conciencia de seguridad de TI y de negocios. De hecho, no creo que la cultura en cualquier organización que he conocido sea tan mala que la definición de un CISO (o no) hará una diferencia de una manera u otra. La seguridad de una organización no puede bajar a 4 letras – CISO… así que ¿cuando él o ella no existe lo que realmente importa es que la organización simplemente no se preocupa por la seguridad?
Probablemente puedes decir que tu organización no lo necesita. No estaría de acuerdo en que en las organizaciones tengamos un CISO simplemente para tener a alguien cubriendo el papel, pero si esto es lo que impulsa una mayor seguridad en tu organización, entonces, necesitas tener ese papel.
En el análisis de la misma, toda organización necesita tener a alguien responsable del riesgo basado en la tecnología o de la “seguridad” de la organización. Si ese es el Gerente de Tecnología, CISO, o el “muchacho de TI”… Sólo quiero ver a una mejor seguridad, mayor resistencia y menor riesgo técnico. ¿No es eso lo que todos queremos?