PECB Webinar: ¿Por qué toda organización necesita un CISO?
•
4 recomendaciones•1,056 vistas
The webinar covers: • ¿Qué es un CISO? • Lugar del CISO en la estructura • El CISO y el conflicto de interés • ¿Es el CISO a conocedor de todo y experto en nada? Presenter: Esta sesión será presentada por el entrenador certificado y partner de PECB Daniel Elías Robles Gerente General de Cyborg Consultores Link of the recorded session published on YouTube: https://youtu.be/uDNf7ZmXDHQ
Recomendados
Más contenido relacionado
La actualidad más candente
La actualidad más candente (20)
Similar a PECB Webinar: ¿Por qué toda organización necesita un CISO?
Similar a PECB Webinar: ¿Por qué toda organización necesita un CISO? (20)
Más de PECB
Más de PECB (20)
Último
Último (20)
PECB Webinar: ¿Por qué toda organización necesita un CISO?
- 2. Daniel Elías Robles CISSP, CISA, CISM, ISO 27001 LI/LA República Dominicana www.cyborg.com.do d.robles@cyborg.com.do Esta sesión será presentada por el entrenador certificado y partner de PECB Daniel Elías Robles Gerente General de Cyborg Consultores
- 3. ¿Por qué toda organización necesita un CISO? Daniel Elías Robles CISSP, CISA, CISM, ISO 27001 LI/LA República Dominicana www.cyborg.com.do d.robles@cyborg.com.do
- 4. Contenido ¿Que es un CISO? ¿De donde viene el rol de CISO? Lugar del CISO en la estructura Rol e interacciones del CISO Objetivos del CISO El CISO y el conflicto de interés EL CISO como un traductor de dos vías ¿Es el CISO a conocedor de todo y experto en nada? La audiencia del CISO
- 5. Resumen • La continua demanda de cumplimiento, requerimientos regulatorios y el aumento de los ataques y las brechas que ocurren constantemente demandan de roles especializados dentro de la organización que supervise los esfuerzos de seguridad como una responsabilidad a tiempo completo. • De todos los compromisos, brechas de seguridad, que tuvieron lugar en los últimos años, todas las organizaciones afectadas estaban llenas de recursos tecnológicos, pero carecían de que una responsabilidad general donde la seguridad esté alineada con gestión de riesgo. • La naturaleza del CISO no es competir o depredar las posiciones con orientación técnica, como TI, Comunicaciones o Seguridad de TI, sino proveer a la gerencia el nivel de entendimiento y la guía de la información relacionada y oportuna de manera que pueda tomar las decisiones basadas en riesgo y no solo en el Retorno de la Inversión (ROI).
- 6. ¿Que es un CISO? • Proviene del inglés Oficial en Jefe de Seguridad de Información (CISO). • Ejecutivos , Jefe … • Lidera todos los esfuerzos de seguridad de la organización, tanto al nivel de la junta, clientes, reguladores, partes interesadas y proveedores. • Protege por medio de la prevención y de la respuesta a los incidentes. • Su origen proviene de las mejores practicas, no es un requerimiento de ninguna norma.
- 7. Rol del CiSO y el conflict de intereses CEO CIO Objetivo pricipal Disponibilidad CISO CFO Objetivo Principal Control del gatos, reportes COO Objetivo Principal Operaciones del diá a dia CSO Objetivo principal Controles ténicos y físicos
- 8. Evitando el Conflicto de Interés CEO CIO CISO CFO COO CSO Cuando se trata de seguridad, tanto a nivel de observación como percepción del riesgo, el CISO necesita poder considerar a los ejecutivos de la alta dirección como sus iguales y no desde un nivel de subordinación. Sin importar la línea de reporte del CISO el objetivo principal es reconocer que existe una persona a cargo de la seguridad de información.
- 9. ¿Es un CISO conocedor de todo y un experto en nada? • Por el alcance del CISO este debe tener suficiente conocimiento en muchas áreas sin necesariamente llegar al nivel de especialista. • El mayor reto del CISO es poder comprender el riesgo, los requerimientos regulatorios, cumplimiento, etc, y poder comunicarlos apropiadamente al nivel de la junta. • Debe ser capaz de traducir a los técnicos, TI y Seguridad, para el nivel de los ejecutivos de la alta dirección con información adecuada sobre seguridad de información. • Debe ser capaz de traducir los objetivos de alto nivel para los que tienen una mentalidad tecnológica con perspicacia de seguridad.
- 10. Rol a tiempo completo • Porque las amenazas son un enemigo que siempre están activos, el rol del CISO también debe ser continuo. • La “mayoría” de las veces, las posiciones de con múltiples responsabilidades, o con responsabilidades compartidas, terminan relegando la seguridad para darle prioridad o enfocarse en cosas más importantes.
- 11. ¿Por qué tener un CISO a bordo? • El propósito no es tener una persona dedicada para ser señalada como culpable cuando existan las brechas de seguridad, sino contar con alguien que entiende el negocio y tiene la autoridad y conocimiento para liderar y servir de guía relacionado a la gestión de riego, con habilidades de comunicación y el suficiente nivel de abstracción para poder convencer a sus iguales en la alta dirección, así como cambia la postura de riesgo en la organización.
- 12. La audiencia del CISO • Ejecutivos en jefe, nivel C o vice presidencia, en lo relacionado con la percepción del riesgo, cumplimiento y aspectos regulatorios así como tendencias relacionadas con la seguridad de información. • Funciones internas orientadas a la Tecnología como TI o Seguridad con objetivos orientados a la seguridad de Información. • Partes interesadas externas, como los reguladores, organismos de cumplimiento, accionistas y el público que pueda aplicar, con información orientada al negocio, pertinente a la Seguridad de Información.
- 13. Rol del CISO • Identificar, entender, y proteger, como ningún otro, el flujo de la data corporativa y ser capaz de expresar y convencer a los ejecutivos a nivel de la junta. • Liderar la respuesta a Incidentes, forensia, Recuperación de Datos, Continuidad de Negocios Concienciación a nivel de Seguridad de Información, y educación. • Implicaciones de privacidad, regulación, cumplimiento y uso aceptable, tanto de la data corporativa como de los clientes.
- 14. El CISO como un comunicador Ya que la comunicación es una de sus habilidades principales, el ICSO puede ayudar a desarrollar la perspectiva correcta en: • Apetito del riesgo • Identificación del Riesgo • Gestión de Riesgo • Concienciación • Respuesta a Incidentes • Prevención Sin ser tan negativo que afecte el negocio, simplemente una visión objetiva en lo relacionado con el riesgo.
- 15. ¿Podemos sobrevivir sin un CISO? • La mayoría de las veces que se hace esta pregunta es por tema del costo y estructura organizacional. • Realmente, la pregunta no debería girar alrededor de cuanto nos costaría tener un CISO como parte de la alta dirección, sino ¿Cuándo nos costaría no tenerlo? • El rechazar este role puede ser equivalente a rechazar gestionar el riesgo de manera adecuada y reducción de costos.
- 16. Los grandes motivadores para contratar un CISO • Requerimientos regulatorios y de cumplimiento. • Dependencia del negocio en cuanto a la información. • Tamaño de la organización • Visibilidad • Penalidades y sanciones • Visión estratégica • Percepción del riesgo • Necesidad de liderazgo • El sector al que pertenece la organización
- 17. El rol de CISO como un rol en proceso de desarrollo Ya que esta es una posición relativamente nueva, Habra de evolucionar en el tiempo. En la medida que se amplia el alcance del rol del CISO, la defunción del rol podría hacerse o no más clara. Mejor entendimiento de la data tanto corporativa como de los clientes hará que el rol del CISO sea visto como un requerimiento y como una manera de manejar el riesgo.
- 18. Gracias