4 de cada 10 organizaciones consultadas sufrieron un incidente de ciber seguridad en los últimos 24 meses, en América Latina. Este es uno de los hallazgos del estudio «Ciber Riesgos y Seguridad de la Información en América Latina & Caribe. Tendencias 2019», de la firma consultora Deloitte. Otro de los resultados del mismo informe muestra que las empresas «están incrementando sus presupuestos dedicados a gestionar ciber riesgos y seguridad de la información».
En ese contexto, un profesional de ciberseguridad se vuelve un gestor clave para cuidar uno de los activos más importantes: la información. Para entender los retos que vienen respecto a este tema, consultamos con Mario Monsalve, experto colombiano en este tema y Docente de la Maestría en Gestión de la Seguridad de la Información.
Debido a la emergencia sanitaria y al teletrabajo, ¿cambia algo en el escenario de la preparación que debe tener un profesional de la seguridad de la información?
Sí, desde luego. Es necesario recontextualizar el sílabo de los programas de formación para darle cobertura a nuevos temas sin desatender los habituales de los tiempos anteriores. Por ejemplo, temas de bioseguridad, ciberseguridad, transformación digital, centros de monitoreo SOC, teletrabajo deberían abordarse de manera práctica / aplicada.
¿Cuáles son los temas que se vienen en el futuro cercano y que son imprescindibles para el trabajo efectivo de un CISO?
Además de comprender la confusa economía que nos rodea, será necesario seguir monitoreando el panorama actual de riesgos, el perfil de los nuevos delincuentes informáticos y mitigar esas nuevas amenazas con controles, políticas y arquitecturas de seguridad. El CISO deberá redefinir su programa de seguridad y optimizar la inversión en los proyectos que compongan el programa de seguridad, formulando casos de negocio para justificar la asignación de presupuestos austeros, pero que sean efectivos.
¿Qué tan importante es formarse en momentos de crisis como el actual?
Es un momento de alta exigencia. Nosotros, como profesionales, debemos prepararnos o fortalecer nuestras competencias para poder seguir siendo competitivos en un entorno que se redefinió en cuestión de meses, en el cual hay necesidades de talento profesional, que de manera bimodal, contribuya a la operación, pero también sea actor clave de la transformación, en la cual la tecnología es uno de los habilitadores de escenarios sostenibles. Debemos ajustar nuestra cosmovisión del mundo de los negocios ya que, como consecuencia de las redefiniciones, se establecen y se seguirán estableciendo nuevas reglas, mayores restricciones y un panorama más alto de riesgos, que demandan una exigencia de talento creativo, innovador, comprometido y preparado para trabajar multidisciplinariamente.
¿Son las empresas quienes deben apoyar a los profesionales en esta formación?
Por lo general, las organizaciones no están dispuestas a patrocinar esa formación, sino que buscan personas con esas competencias y actitud para hacerlas parte de sus equipos de “salvamento”. Por ello, una buena alternativa es invertir en formarse para poder aprovechar esas oportunidades, que no solo darían estabilidad laboral/profesional, sino que suelen ser recompensadas por su contribución a la solución de problemas organizacionales, mucho más allá de su salario base.
En general, ¿qué características tiene un profesional de seguridad de la información?
Un profesional de seguridad de la información puede desempeñarse en varios roles. Desde, monitorear eventos de seguridad, hacer pruebas de vulnerabilidad, hackeo ético, hasta ser el CISO, quien como gerente de nivel ejecutivo, dirige la estrategia, las operaciones y el presupuesto para la protección de los activos de información de la empresa y administra ese programa de seguridad de la información. De manera general, los profesionales en esta área de conocimiento deben caracterizarse por su dominio de temas como: las comunicaciones, las aplicaciones, la infraestructura, incluidas las políticas y los procedimientos que correspondan.
Con el objetivo de generar una gestión adecuada, ¿qué buenas prácticas aconsejarías para los CISO?
Las mejores prácticas para gestionar la seguridad de la información están disponibles y publicadas desde hace varios años, es decir, esas recomendaciones, modelos, marcos de trabajo y prácticas líderes como: ISO 27,001, ISO 31,000, Sabsa, CISM, CISSP, CRISC, MAGERIT, OCTAVE, RISK-IT, CompTIA Security +, son muy útiles. Un profesional en seguridad de la información no solo debe manejar una de ellas, sino combinar lo mejor de cada una para resolver los asuntos estratégicos, tácticos y operativos de la seguridad de la información de la organización.
Profundiza sobre estos temas y prepárate para el futuro con la Maestría en Gestión de la Seguridad de la Información.
