This post is also available in: Português Español
Los directores de seguridad de la información (CISO) se encuentran en el nivel más alto de las carreras de seguridad cibernética. No hay puesto más alto que ser director de seguridad de la información, ya que los requisitos son altos para llegar a ese nivel.
En las grandes empresas, es un puesto que se encuentra entre los ejecutivos más poderosos e influyentes, y generalmente reporta directamente al CEO. Como tal, requiere una amplia experiencia, conocimientos, pericia y habilidades prácticas en tantos aspectos de la seguridad de la información como sea posible. A continuación, se exponen 4 pasos importantes a dar en el camino para convertirse en un CISO:
1. Autoanálisis
Ser un director de seguridad de la información no es para todos. Requiere una gran motivación, determinación, dedicación, habilidades de liderazgo, una visión para el futuro y un profundo deseo de mantenerse continuamente informado sobre las últimas tendencias en el campo. Es decir, necesitas muchas soft y hard skills.
Por la propia naturaleza del trabajo, los CISO también interactúan con la mayoría de los demás departamentos dentro de la misma empresa y con altos funcionarios de otras empresas, así como con agencias gubernamentales. Los profesionales exitosos deben realizar muy bien estas actividades para sobresalir. Por lo tanto, es necesaria una profunda autoevaluación antes de decidir avanzar en esta carrera, dadas las diversas habilidades requeridas.
2. Qué estudiar
Sentar las bases para un puesto con responsabilidades tan amplias y variadas como las de un CISO requiere diferentes antecedentes. Obviamente, exige diplomas de cursos de seguridad de la información y también en administración y gestión.
Para ejecutivos de alto nivel como los CISO, los cursos y las certificaciones son más que deseables. Así, se espera un conjunto de titulaciones en áreas asociadas a la seguridad de la información, así como en gestión de personas y procesos.
3. Certificaciones profesionales
Hay docenas de certificaciones que pueden ayudar a un candidato a alcanzar el nivel de CISO. Probablemente sea mejor agregar certificaciones en todas las disciplinas trabajadas en el camino y cualquier especialidad auxiliar que pueda aplicarse al puesto.
En este contexto, el llamado certificado CCISO es el máximo logro para los directores de seguridad de la información. Es un programa líder en la industria que reconoce la experiencia del mundo real necesaria para tener éxito en los niveles ejecutivos más altos de seguridad de la información.
También son valiosas las oportunidades de capacitación y certificación que ofrecen organizaciones como OSCP (Offensive Security Certified Professional), SANS Technology Institute, ISFCE (International Society of Forensic Computer Examiners) e IACIS (The International Asociación of Computer Investigative Specialists).
Las certificaciones más básicas, como CompTIA A+, que certifica las habilidades de soporte técnico y operativo de TI, también pueden ser útiles. ISACA (Asociación de Auditoría y Control de Sistemas de Información) ofrece una certificación dirigida a los gerentes de infosec – Certificados en Gobernanza de TI Empresarial (CGEIT), y otra dirigida a los auditores de infosec, llamada Auditor Certificado de Sistemas de Información.
4. Antes de las actualizaciones
Como es el caso con la mayoría de las posiciones de seguridad cibernética, es vital actualizarse con lo que está sucediendo en el sector. Mantener las habilidades y el conocimiento actualizados con las últimas tendencias es aún más urgente para CISOs, ya que se encargan de decidir cómo se implementarán todos los recursos de seguridad de la información de cualquier empresa en el presente y el futuro.
Por lo tanto, es fundamental tener contacto con asociaciones de seguridad de la información. Dos de estas instituciones profesionales son la Sociedad Internacional de Examinadores de Computación Forense®, o ISFCE, y el Grupo de Trabajo Científico en Digital (SWGDE). Otra fuente de artículos e información sobre temas específicos en Infosec es SearchSecurity. EC-Council también proporciona artículos, podcasts, de otros CISO en la página CISO Resources.
La Information Systems Audit and Control Association (ISACA) también es una fuente importante de capacitación e interacción profesional. Infosec Institute ofrece una variedad de recursos y capacitación para profesionales de la industria.
La vida de un CISO
Los CISO también se conocen como jefes de seguridad digital o gerentes de seguridad de la información. Algunas empresas confían en este nivel ejecutivo de todos los aspectos de la seguridad dentro de la organización, incluidos los empleados e instalaciones. En tales casos, el puesto puede tener el título de director de seguridad.
Un CISO generalmente informa directamente al CEO (CEO) y, a veces, recibe una posición en la Junta Directiva. Los CISO tienen la tarea de determinar la dirección general de los recursos de seguridad bajo su dominio, determinando cómo se distribuirán los recursos en varias áreas, administrando a todas las personas en su departamento e interactuando con todos los demás departamentos de la empresa.
Los CISO generalmente están a la cabeza de las operaciones de seguridad de la información de una empresa en interacciones con agentes externos. En las corporaciones más grandes, en particular, esto a menudo puede involucrar la supervisión gubernamental, las agencias reguladoras, los formuladores de políticas y las agencias de aplicación de la ley.
Habilidades esperadas
- Experiencia significativa con la gestión empresarial y el conocimiento práctico de la gestión de riesgos de seguridad de la información, así como las tecnologías y estrategias de seguridad cibernética;
- Fuerte comprensión de los conceptos de Linux, virtualización y red;;
- Familiaridad con los estándares de seguridad de la industria, incluidos NIST, ISO, SANS, COBIT, CERT;;
- Conocimiento sobre las regulaciones actuales de privacidad de datos, incluida la LGPD y la gran comprensión y experiencia con SDLC y DevSecops o la automatización de seguridad;
- Capacidad para comprender y comunicar el impacto en los negocios y las ganancias que las operaciones de InfosEC tienen en la empresa.
Las habilidades sociales buscadas por los empleadores incluyen: habilidades de comunicación interpersonales, escritas y orales, capacidad de trabajar bajo presión, organización y flexibilidad, fuertes habilidades de liderazgo y experiencia en planificación y ejecución estratégica.
This post is also available in: Português Español