Noticias

<< Volver al listado de noticias

Entrevista a Khalid Kark, analista principal de Forrester

Publicado el 13-04-2009      Notícia sobre: Artículos
"El futuro pasa porque el CISO se sitúe al nivel de la alta Dirección y pueda luchar, desde allí, por su proyecto y estrategia para la Seguridad de la Información"
Por: ISMS Forum Spain

 

 

 

 

 

 

 

 

 

Khalid Kark

Analista principal en Forrester Research, sus temas de investigación son las estrategias, procesos operativos y estructuras organizativas para el desarrollo y mantenimiento de programas de seguridad eficaces.
Ha codesarrollado la Information Security Framework y Assesment Methodology de Forrester. Tiene un master en Gestión de las Telecomunicaciones por la Universidad de Pennsylvania y es licenciado en Gestión de Empresas y Economía por la Universidad de Tejas. Además posee las certificaciones CISSP y CISM.

"Los conocimientos técnicos no son un requisito imprescindible, pero si que resultan útiles y positivos para un CISO, que debe sentirse cómodo en este ámbito y ha de ser capaz de entender la profunda implicación de las TI en la seguridad y el riesgo. Pero poseer habilidades de gestión y poder hablar el lenguaje del negocio, entender sus prioridades y objetivos, eso sí es sin duda imprescindible"

 

"No hay una fórmula mágica en lo que se refiere a quién debería reportar el responsable de la seguridad. En algunos casos lo más adecuado será que reporte a Sistemas/TI, en otros casos puede ser útil que reporte a más altos ámbitos de decisión. Lo normal en empresas que tienen un sistema de seguridad más maduro es lo último..."

 

 

"Desde luego tiene sentido mantener una estrecha coordinación y comunicación entre la parte lógica y la física de la seguridad, que además deben plantear enfoques y estrategias comunes. Desafortunadamente, el término convergencia a menudo conduce a pensar, o se limita a referirse a la convergencia organizativa, lo que en la mayoría de los casos no tiene sentido"

 

Khalid Kark será uno de los conferenciantes internacionales el próximo 28 de mayo, en la V Jornada de ISMS Forum Spain, en la que se hablará sobre todo de organización de la seguridad, y de la figura del CISO como eje vertebrador de la misma. Para ir calentando motores, le hemos preguntado por este asunto, y nos ha adelantado algunas claves de su visión, fruto de una amplia experiencia, acerca del papel del responsable de la seguridad y de las habilidades que debería poseer para desempeñar con éxito su tarea.

- ¿Cómo definiría el papel del CISO? Es un técnico, un gestor, una mezcla de ambos?
- El papel del CISO ha evolucionado significativamente en los últimos años. Hoy en día, el máximo responsable de la organización de la seguridad tiene que poseer conocimientos técnicos pero también ha de ser un profesional con capacidad de gestión y de alinearse con el negocio. Aunque la mayoría de CISOs proviene de una formación y experiencia del lado de la tecnología, vemos como cada vez más profesionales que provienen de otras áreas están asumiendo esta responsabilidad. Especialmente en Europa, estamos viendo como estos perfiles asumen con éxito la responsabilidad sobre la seguridad de la información. En mi opinión, los conocimientos técnicos no son un requisito imprescindible, pero si que resultan útiles y positivos. La función de la seguridad sigue estando altamente vinculada a Sistemas y Tecnologías de la Información, y su responsable debe sentirse cómodo en este ámbito y ha de ser capaz de entender la profunda implicación de las TI en la seguridad y el riesgo. Pero poseer habilidades de gestión y poder hablar el lenguaje del negocio, entender sus prioridades y objetivos es sin duda imprescindible.

- Uno de los problemas a los que se enfrenta el CISO es que las compañías no terminan de implicarse o dar la importancia necesaria a los temas relacionados con la seguridad de la información, y no los sitúan como prioritarios. ¿Qué consejos daría a la alta Dirección para ayudarles a comprender su parte de responsabilidad en lo que se refiere a la seguridad de la información?
- Por lo general la seguridad no es, ni será nunca, la primera prioridad del negocio. Pero ello no significa, claro, que la Dirección no deba preocuparse por ella. Un buen sistema de gestión de la seguridad de la información aporta numerosos beneficios y no puede verse como un gasto sin retorno. Si se hace bien, no solamente aporta la tranquilidad de saber que mis activos de información sensible están bien protegidos; además ayuda a mantener la reputación de la compañía, logra un cumplimiento normativo más eficiente, mejora la productividad y, por último, al entender mejor los riesgos, la organización puede tomar medidas que afecten a todos los estamentos de la compañía y ayuden a mejorar la concienciación e implicación. Es una responsabilidad del CISO estar siempre alerta y aprovechar todas las oportunidades que surjan para explicar, entrenar, concienciar, formar a los altos directivos para que estos tomen a su vez las decisiones adecuadas en lo que se refiere a gestión de riesgos y seguridad.

- Todavía es muy común hoy encontrar a los CISOS reportando a áreas técnicas de la empresa de las que dependen organizativamente. ¿Cómo podrían lograr su independencia en este sentido?
- No hay una fórmula mágica en lo que se refiere a quién debería reportar el responsable de la seguridad. En algunos casos lo más adecuado será que reporte a Sistemas/TI, en otros casos puede ser útil que reporte a más altos ámbitos de decisión. Lo normal en empresas que tienen un sistema de seguridad más maduro es lo último, a la vez que ya han establecido los parámetros y procesos adecuados para que ambas funciones, seguridad y sistemas, estén perfectamente coordinadas y aseguren la perfecta protección de lo que sería la seguridad “informática” y de las telecomunicaciones. Pero en organizaciones menos maduras este modelo no funciona: el área de Sistemas no se implica lo suficiente cuando el problema de seguridad no pertenece a su estricto ámbito competencial, no están motivados para hacerlo. En cualquier caso, independientemente de a quién reporte el responsable de seguridad, es obvio que siempre debe trabajar en intensa coordinación y cooperación con el departamento de Sistemas para que su trabajo sea eficiente.

- Últimamente se oyen muchísimas voces a favor de la convergencia entre seguridad lógica y física. ¿Puede darnos su opinión al respecto?
- Hace ya cuatro o cinco años que se oye hablar de convergencia hacia la seguridad integral con mayor o menor intensidad. Desde luego tiene sentido mantener una estrecha coordinación y comunicación entre la parte lógica y la física, que además deben plantear enfoques y estrategias comunes. Desafortunadamente, el término convergencia a menudo conduce a pensar, o se limita a referirse a la convergencia organizativa, lo que en la mayoría de los casos no tiene sentido, desde mi punto de vista. El nivel, las perspectivas laborales, la estructura salarial y la experiencia del personal de los dos campos son bastante dispares, y ello hace que esa convergencia organizativa sea muy difícil y fracase en muchos casos. Dicho esto, es cierto que cada vez son más las organizaciones que buscan la colaboración entre albas funciones, sobre todo en las áreas de control de acceso, gestión de identidades, protección física de los activos y vigilancia.

- Por último: es obvio que la seguridad debe alinearse con los objetivos del negocio. ¿Cómo definiría usted la relación ideal entre el CISO y la alta Dirección?
- Hoy en día muchos gestores de seguridad dejan en manos del CIO la relación con la alta Dirección. Muchos buscan la atención y la implicación de los gestores para obtener su apoyo en proyectos relacionados con la seguridad: pero hay que ir más allá; es necesario que el máximo responsable de la seguridad llegue al nivel de la alta Dirección y pueda articular y defender él mismo, desde ese nivel, la estrategia de la seguridad. Y también para que pueda comprender los objetivos y perspectivas del negocio y alinear la seguridad de la información con ellos. Son muchas las compañías que intentan llegar a ese punto pero muy pocas las que lo han conseguido.

Global Gold Sponsor