¿Necesitas un CISO? Éstas son las cualidades que debes buscar
- Seguridad
Un CISO o director de Seguridad de la Información es un perfil clave hoy en las empresas que quieren proteger sus activos de su empresa. ISMS Forum acaba de publicar un Libro Blanco en el que resumen los conocimientos técnicos que tiene que tener, así como las soft skills necesarias para ocupar el cargo.
El Libro Blanco del CISO, que acaba de publicar ISMS Forum, dedica uno de sus apartados a definir este perfil directivo en su responsabilidad sobre la gestión de la seguridad de la información.
Sin duda, es un profesional con un elevado conocimiento técnico pero tiene que conocer el negocio y los riesgos de seguridad informática y ciberseguridad para tomar decisiones con criterio.
Además, recuerda el documento que debe conocer el marco regulatorio y legal aplicable a la actividad de la empresa, así como las metodologías de análisis de riesgos (MAGERIT, NIST, CRAMM…), estándares para la seguridad de la información (ISO 27001) que deberá trasponer a las políticas de la empresa. “Igualmente lo será la certificación si es requisito para la empresa y cualquier acreditación para manejo de información conforme a las normativas”, añade.
Por otro lado, debería disponer de la habilitación que exige al Director de Seguridad la Ley 5/2014, de 4 de abril, de Seguridad Privada, ya que es posible su intervención en incidentes con trascendencia legal por delegación de éste.
Ayúdanos a conocer cuáles son las tendencias tecnológicas que se impondrán en la empresa el próximo año y más allá, y cómo se está construyendo el futuro digital.
En definitiva, como dice el Libro Blanco, “es esencial que el CISO disponga de una adecuada formación académica, conocimiento de idiomas, capacidad de interrelación con homólogos de otras empresas, asistencia a foros y eventos de ciberseguridad, etc. Cualquier otra formación o capacitación profesional complementaria es interesante para estar actualizado incluso a nivel técnico”.
Soft skills
En esta función “compleja”, como define esta publicación, se necesitan un profesional conocimientos del negocio y capacidad para valorar los daños que la pérdida de confidencialidad, integridad o disponibilidad de la información puedan causar a la empresa y que ofrezca soluciones, por lo que “en su carácter no puede faltar coraje y templanza no sólo para la toma de decisiones sino para ser capaz de afrontar y liderar actuaciones en casos de crisis”.
Asimismo, subraya que son importantes la flexibilidad, el sentido común, la capacidad de organización y priorización, constancia y compromiso con la compañía, dotes de liderazgo, formalidad, inteligencia emocional, etc.
Finalmente, en el caso del CISO es muy importante la integridad y la ética personal porque, según la publicación, no puede existir la ‘segunda oportunidad’ para las personas que defraudan la confianza. Se puede admitir una equivocación pero nunca una falta de honestidad o rectitud”.
