Aliar formación y concienciación

La V Jornada de ISMS Forum fue inaugurada por Víctor Izquierdo, director de INTECO, quien repasó las labores del Instituto y expuso los “Retos y Oportunidades para la organización de la Seguridad” desde el punto de vista del organismo que representa, del que destacó como líneas estratégicas la seguridad tecnológica, la accesibilidad y la calidad del software. A través de ellas INTECO ayuda a sus ‘clientes’  que van desde las administraciones públicas hasta las Pyme y empresas que no pueden permitirse tener un CISO.

El representante del INTECO explicó que también prestan servicios de seguridad de la información a sus clientes a través de servicios y programas como el CERT (Centro de respuesta a incidentes en IT), orientado a pymes y ciudadanos; el Centro Demostrador de Tecnologías de Seguridad, la promoción del DNI electrónico y los servicios ofrecidos para su aplicación, y un Observatorio que permite conocer a través de investigaciones cómo evoluciona la situación de la seguridad de la información en España.

Este Observatorio se nutre de las encuestas que realiza, según explicó Izquierdo. “Pero a día de hoy recoge percepciones que a veces no coinciden con la realidad. Por ello hemos llegado a acuerdos con una muestra de pymes para instalar programas informáticos en sus ordenadores y efectuar un análisis mucho más estricto de lo que esta ocurriendo”.

Según Izquierdo, las pymes instalan medidas de seguridad más tradicionales y de carácter pasivo. Destacó que la parte más vulnerable de la seguridad la encontramos en los empleados, y afirmó que más de la mitad de las pérdidas de información se debe a errores de trabajadores y no a ataques externos. El problema de robo y pérdida de información se ha agravado por la proliferación de dispositivos como los USB y la tecnología bluetooth.

En relación con el cumplimiento de la normativa en materia de protección de datos, INTECO contrastó en un estudio las declaraciones de pymes con datos obtenidos de otras fuentes: “Un 37% declara que ha notificado sus ficheros, pero sólo el 21% de ellas los ha presentado realmente al registro de la AEPD”. ¿Pero puede INTECO ayudar a los CISO de grandes empresas?, se preguntó Izquierdo durante su ponencia. “Sí. Los desafíos de seguridad afectan a las empresas independientemente de su tamaño. Las grandes pueden estar mejor equipadas pero tienen que defenderse de más ataques y de mayor sofisticación”.

Recomendaciones para la industria

Combinar formación y concienciación es lo más eficaz para prevenir ataques, en opinión de Izquierdo. Entre los grandes desafíos están el robo de identidades on-line y las infraestructuras de información críticas; aspectos muy importantes para las administraciones, los gobiernos y las grandes empresas proveedoras de servicios. Para Izquierdo, una de las soluciones más eficaces es la autenticación electrónica. “En España contamos con el DNI electrónico, que supera ya los 9 millones de usuarios”.

Desde la perspectiva de INTECO, la industria tiene que adaptar sus productos y sus servicios para que la Pyme pueda protegerse mejor. “Por ejemplo mediante sistemas de seguridad que se paguen por uso o por plazos”. Igualmente, los precios deberían adecuarse al esquema y necesidades de estas organizaciones.

Pasos para encontrar al equipo adecuado

Co-autor de los libros “CISO Handbook” y “CISO Soft Skills”, auténticos manuales de referencia para la profesión, el experto norteamericano Ron Collete fue el encargado de exponer cuáles son las características y habilidades más importantes del CISO y de su equipo. Con un estilo muy dinámico, Collette dejó claro que no tenía una respuesta única sobre los atributos que son más importantes en el equipo de seguridad. Pues eso, sin duda, “depende de cada organización”. Y explicó que en ello radica la dificultad, pues hay muchas influencias compitiendo. “La seguridad toca todo en una empresa. Hay requerimientos psicológicos, sociológicos y del entorno”.

Los pasos a seguir para encontrar al candidato más adecuado: Primero hay que determinar el prototipo o perfil organizacional. Posteriormente determinar las áreas en las que operará el programa de seguridad y sus atributos: ¿Se trata de una organización centralizada de la seguridad o descentralizada? ¿Sus áreas de responsabilidad serán lógicas, físicas o ambas? ¿Se requiere que actúe como asesor o que tenga una participación más autoritaria? ¿Proactivo o reactivo? El tercer paso: construir una imagen para el rol dependiendo de la cultura de la organización y sus necesidades. Crear una matriz con el tipo de persona que se necesita: Arquitecto (orientado a soluciones), Policía (enfocado en el cumplimiento de los procedimientos), Auditor (enfocado en la comprobación), Hacker (detectar los fallos), Burócrata (centrado en la interpretación y desarrollo de procesos).

Collette repasó algunos de los atributos que deben tener los profesionales de la seguridad, tales como ser capaz de visualizar el programa antes de que esté terminado. Actuar como comandante y tener la habilidad de inspirar, motivar y liderar, un gurú técnico, un educador, un organizador, entre otros. Pero básicamente, Collete aclaró que se necesita alguien capaz de demostrar que usará esos atributos cuando se requiera, más allá de su experiencia previa. Y no olvidar que “encajar en la organización puede ser más importante que contar con una serie de habilidades”.

Paciencia y saber comunicar

Durante el espacio de preguntas se pusieron de manifiesto algunas de las preocupaciones de los CISOs presentes en el Auditorio de la Mutua Madrileña. ¿Tan importantes es que el CISO de una organización sea paciente? Collette dejó clara la relevancia de este atributo. “Hay dos cosas que le digo a un nuevo CISO: no tomes tu trabajo como algo personal. No puedes; morirás de un ataque cardíaco en una semana. Estás peleando con dos factores: uno es el riesgo, pero también tienes que ganarte a la organización.  Si tienes una compañía de 2000 personas, todos ellos son vectores que tienes que proteger y que tienen que entender lo que haces. Toma años de entrenamiento lograrlo”.

Más preguntas del público: ¿Cómo puede el consejero delegado entender al CISO? “El consejero delegado no tiene que entender nada. La pelota está en el tejado del CISO, y su gran habilidad será traducir los riesgos que afronta su programa de seguridad en riesgos medibles y estratégicos para el negocio. En problemas que el Consejo de Dirección entiendan y que les preocupen”.

Fomentar la seguridad a través de la formación

Para finalizar la primera sesión, Carlos Alberto Sáiz, vicepresidente de ISMS Forum, habló de las próximas actividades de la asociación y presentó el primer curso de “Análisis de Riesgos para la Seguridad de la Información”. Igualmente adelantó el tema de la próxima jornada del ISMS Forum que se llevará a cabo el mes de noviembre en Sevilla: “El efecto y el impacto de la crisis en el sector de la seguridad y los nuevos escenarios que afronta el sector”.

Una era de Renacimiento del CISO

Khalid Kark, analista principal de Forrester, abrió el segundo segmento de la mañana para hablar de organización: posicionamiento, estructura y equipo para el gobierno optimo de la seguridad. Kark inició su presentación explicando que los CISO habían pasado de un estado de ánimo alegre a uno sombrío y melancólico entre 2008 y 2009. “Por la disminución de los presupuestos, el CISO ha perdido visibilidad y siente que la seguridad no es una prioridad para los gestores de la empresa. Por ello hay que repensar su labor”.

“Tenemos que ser hábiles para transmitir nuestros mensajes de una manera que sean entendidos por los gestores y necesitamos nuevas herramientas. Ahora estamos en un periodo de renacimiento. Un punto de inflexión en el que, si hacemos las cosas bien, seremos valorados dentro de la organización”. En la actualidad el trabajo del CISO es la gestión del riesgo de la información, pero según Kark, en el futuro habrá que ayudar a la “transformación del negocio”.

Kark expuso los resultados de un estudio de European Enterprise y SMB Security, en el que se consultó a una base de 285 personas encargadas de tomar decisiones en relación con la seguridad en empresas europeas. En el 41% de las empresas en Europa los CSO reportan al CEO o a la Dirección (en EEUU ese porcentaje es del 34%) y un 17% reporta al Comité Ejecutivo. Si se suman esas dos cifras, en Europa los CSO aun tienen mucha visibilidad en la organización. El estudio también determinó que los CISO “son responsables de casi todo”. Por eso hay que saber cuáles son las competencias clave y en qué centrarse. En este sentido, explicó que quizá una de las tendencias que veamos en el futuro sea la externalización o delegación de ciertas responsabilidades operacionales, de forma que el CISO tendrá más tiempo para crear valor en la organización. “Es el único sector para el que se proyecta un crecimiento aproximado de un 10% en los próximos años”.

Kark ve la organización de la seguridad estructurada en dos amplias áreas. Un lado estratégico de la seguridad, centrado en ‘Políticas y gestión’ y otro en “Gobierno y medidas”. Además de proteger los datos, la principal función de los responsables de la seguridad de la información es asesorar a la empresa acerca de todos los problemas relacionados con el riesgo. “Hay que hacer marketing de la seguridad. No puedes comunicar y esperar que la gestión de la empresa, a todos los niveles, entienda lo que estás diciendo”, aseveró. Además de eso, el CISO debe supervisar el cumplimiento de las políticas de seguridad y asegurar que todos las ejecutan de manera efectiva.

En su propuesta de organización, Kark mencionó tres áreas y responsabilidades que deben existir de forma separada aunque interdependiente: Gobierno, riesgo y obediencia; Planificación y diseño; y Operaciones y aplicaciones.

Para concluir, Kark propuso a los asistentes una serie de pasos a aplicar a la manera de un plan de acción para los próximos 90 días (encontrar aliados en otras áreas de la empresa, crear un consejo de seguridad en la organización, empezar a gestionar la seguridad como un negocio, identificar campos en los que se pueda delegar y asegurar la puesta en marcha de procesos de madurez en esas áreas), así como objetivos a largo plazo para estructurar y posicionar al equipo de seguridad de la información (como por ejemplo alinear la estructura organizativa con la cultura empresarial y el tamaño de la organización, ser creativo y asegurar la transparencia).

Ambos expertos, Collette y Kark, se reunieron después en un debate moderado por Antonio Ramos (S21sec) con Justin Somaini, vicepresidente y CISO global de Symantec, y Nils Pulmahnn, representante de la organización internacional Open Group y CISO de la compañía Qualys. Los cuatro aportaron sus experiencias y consejos a la audiencia. En un punto estuvieron todos de acuerdo: el CISO y su equipo deben dejar de ser, para la empresa, el departamento del NO y de las prohibiciones; y adoptar una postura mucho más colaborativa y positiva para lograr la implicación de todos.

¿Quién es CISO? ¿Lo soy yo?

Así tituló su exposición Serge Moreno, CISO de Carrefour Bélgica, quien repasó los distintos modelos organizacionales que ha visto en los diferentes puestos que ha ocupado, y las funciones del CISO -muy diversas, ya que engloban aspectos financieros, de recursos humanos, de desarrollo, de marketing y comunicación, etcétera-. En cuanto a sus atributos, la honestidad y la integridad son fundamentales, como también lo es trabajar bien en equipo y ser comunicativo, negociador, intérprete, intuitivo, agente del cambio… Y teniendo en cuenta todo esto ¿Cómo debe ser el CISO? La respuesta para este CISO es: “Futurista, tiene que ser un evangelista, hablar con toda la gente de la organización y explicar los posibles peligros y riesgos, necesita ser un gestor de tecnología, un líder, mostrar entusiasmo aunque las cosas vayan mal”. Y sobre todo: “hacer equipo” de todas las funciones de seguridad.

Ser CISO en España ¿Una odisea?

Una discusión en la que el moderador Luis Buezo (director de la Práctica de Seguridad de HP), para retar a los participantes, estableció al inicio la prohibición del uso de ciertas palabras: marco estratégico, framework, alineamiento con el negocio, normativas. En el debate participaron Miguel Rego, director de Seguridad Corporativa de ONO; Raúl Avedillo, adjunto al director de Seguridad Corporativa de la Agencia de Informática y Comunicaciones de la Comunidad de Madrid (ICM); Julio César Álvarez, Risk, Quality y MIS Manager de Steria España y Guillermo Llorente, director de Seguridad de Mapfre.

Al preguntar ¿Cuál es la figura del CISO en la organización y a quién reporta? Guillermo Llorente respondió que se trataba de una “pregunta trampa”, pues se debe hablar de la figura del CISO en una organización específica. En el caso del CISO en Mapfre está dentro del Área de Seguridad y Medioambiente, a cargo de un director general que reporta al vicepresidente ejecutivo. “Yo soy responsable del área de Seguridad. En el organigrama está dentro de las áreas comunes: tecnología, medio ambiente. Una de nuestras responsabilidades es la protección de activos; la protección de la información está centrada en el cliente”.

Sobre ONO, Rego explicó que la creación del CSO es relativamente reciente. Antes había un área de seguridad lógica y luego una de seguridad patrimonial y física. En junio del año pasado se decide crear una división que aglutine a ambas y que reporta al presidente. Julio César Álvarez, de Steria, explicó que en su caso, por tratarse de un grupo multinacional, en cada uno de los países se dan circunstancias específicas. En España la función del CISO la ejecuta la misma persona que hace la gestión de riesgos local y coordina la implantación de planes de investigación de riesgos corporativos. En España tiene presencia en el Comité de Dirección local. No obstante, a nivel corporativo no; reporta al director global de Riesgos y a la Dirección financiera. En el caso de ICM, Avedillo señaló que pertenece a la Dirección de Seguridad Corporativa, que engloba tanto la seguridad de activos y patrimonios como la información y la protección de datos.

El debate se animó al preguntar cómo es la relación en el día a día con el CIO de la empresa. Rego la calificó de excelente: “En ONO el área de seguridad lógica antes dependía del CIO y fue este quien decidió crear la división de CSO. Desde el punto de vista de la seguridad, el CIO tiene la implementación de políticas de seguridad y el CSO dice qué hacer y comprueba que se hace”. Para Álvarez la relación es muy similar y cordial. “Nos ayuda tener una figura, la unidad de sistemas, que coordina la seguridad corporativa y la tecnológica”. Por su parte, Julio César añadió que Steria creó un foro regulador a nivel internacional desde el que se definen las políticas. Llorente -en tono jocoso- explicó que la división de seguridad “es un chollo para los responsables de tecnologías, porque disminuye las posibilidades de que pase algo”. “Cómo articulamos nuestras relaciones: a través de un Comité específico de Tecnología y Seguridad en el que se tratan todos los puntos en común. Puede haber fricciones, porque su interés es que salgan las aplicaciones y el nuestro que sean lo más seguras posible”.

¿Cómo es la comunicación entre el CISO y su jefe directo?

Para Rego, la comunicación es fluida, pero hay que hacerle entender la función de seguridad. “Se asombran del grado de formalización de la seguridad. Es un tema cultural. Hay que aprender a trasladar las necesidades al director”. Julio César Álvarez recordó que cuanto más background tecnológico tenga la otra parte más fácil es explicarle; en el caso del perfil financiero el mensaje debe regirse por el principio de la pérdida de productividad asociada a la perdida de información. Al respecto, Llorente aclaró nuevamente que en cada organización será de una manera y que depende de la capacidad de relación personal entre ambos. Pero a esa relación personal hay que ponerle un entarimado estable. Hay que poner por escrito el riesgo que hay. “Los consultores nos ayudan poco en esto: hay que dar un coste, una valoración a esos riesgos, una estimación de posibles daños o beneficios”.

Álvarez aclaró que esto era un punto clave y difícil. “En la medida en que podamos tener acceso a muchos casos reales, las estimaciones de riesgo serán buenas”. Rego también señaló que “no se trata tanto de herramientas sino de ser capaz de medir el retorno en nuestra inversión”.

Sobre la trayectoria para llegar a CISO o CSO y cómo consideran que se debería llegar, Rego, miembro de la armada, explicó que primero se especializó en seguridad más tecnológica y luego pasó a la gestión. “En mi opinión personal, la formación académica y la experiencia pueden ser muy heterogéneas. No hay vía única”. Para Avedillo, en mayor o menor medida todos entran por el lado “tecnológico”. “Creo que la evolución natural es conseguir la abstracción de esa parte tecnológica. Ser un intérprete al fin y al cabo, e interactuar con varios miembros de la organización”.  Para Julio Cesar Álvarez, es conveniente tener cierto background tecnológico y de gestión. Guillermo Llorente añadió que si se trata de una empresa pequeña probablemente sí hay que ser un tecnólogo, pero en una multinacional el perfil tiene que corresponder más con el de un gestor capaz de liderar. Una persona con capacidad de entender lo que le dicen y facilidad para transmitirlo.

Y dónde está el límite en la carrera del CISO?

Para Rego el tope es ser un CSO, ser un buen gestor. A diferencia con otros directivos gestores, es más difícil moverte a otra área. Avedillo añadió que quizá la siguiente vía es pasar a una empresa especializada en seguridad. Julio César suscribió esto y añadió que el exceso de conocimiento es un handicap. Llorente comentó que si no hay posibilidades de crecer hacia arriba, se puede buscar que este todo mejor organizado y disminuir el riesgo al máximo posible, y quizá hay posibilidades de extender su alcance horizontal.

Fluir, confluir e influir para lograr el éxito

José Antonio Sáinz, el encargado de hablar sobre el talento de liderar un equipo y proporcionó las claves de la capacidad directiva: liderar de forma versátil, fomentar un gran ambiente de trabajo, aprovechar tu intuición, escuchar con suma atención, y obtener resultados.

¿Cómo liderar? Para Sáinz “liderar podría compararse a jugar al golf... hay que saber qué palo usar en cada momento”. Si se trata de una crisis, lo mejor es un “liderazgo de luz roja: dar instrucciones y generar imitadores”. En épocas de bonanza, “liderazgo de luz verde: generar armonía y pedir sugerencias”. Si hay que estar alerta al cambio constante, “liderazgo de luz amarilla: mostrar una visión (hacia dónde queremos ir) y capacitar al equipo para afrontar el cambio”.

Sainz también ofreció una serie de recomendaciones útiles para mandar mejor. Primero: “toma decisiones: cuando toque, cuya responsabilidad te corresponda a ti, por ser el jefe”. Asimismo el líder debe “controlar de cerca, sin abdicar, analizando el cumplimiento de los planes, de forma rápida y continuada.  Los compromisos deben cumplirse en las fechas acordadas”. Un buen jefe tiene que ser capaz de explicar qué es un trabajo bien hecho a cada uno de los miembros del equipo.

Desde el punto de vista del talento para dirigir un equipo, Sáinz expuso las capacidades que debe tener el “CISO actual ideal”. Entre las competencias críticas: la confianza en sí mismo, orientación al logro, comunicación, liderazgo y visión global e integradora. Como competencias secundarias: integridad, optimismo, comprensión de los demás, orientación de servicio al cliente y conciencia política.