Como convertirse en CISO.

Un hombre y una mujer estudiando frente a un ordenador. En primer plano iconos de candados y llaves unidos en red representando la ciberseguridad. Para el articulo Cómo enfocar la carrera profesional como CISO

Como convertirse en CISO.

Cómo enfocar la carrera profesional como CISO, conocimientos, aptitudes, actitudes, soft-skills, etc.

Para convertirse en Chief Information Security Officer (CISO), se requieren una combinación de educación, experiencia profesional, habilidades técnicas, soft-skills y certificaciones relevantes en el ámbito de la ciberseguridad.

Sobre la cuestión sobre quienes pueden ejercer como CISO, la respuesta es en primer lugar aquellos que realmente sientan pasión y entusiasmo por todo lo relativo a la ciberseguridad. A partir de este requisito pueden optar ingenieros en campos de la tecnología, licenciados en derecho, o cualquiera con una formación básica o superior en tecnologías que desee adquirir la capacitación y los conocimientos necesarios.

La transformación digital en la que estamos inmersos nos obliga a dominar tecnologías de ciberseguridad en los entornos tradicionales on-premise y en los entornos Cloud, dominar las estrategias organizativas para la gestión del gobierno, la gestión de riesgo y el cumplimiento de las normativas legislativas nacionales y europeas como el RGPD, la LOPDGDD o el ENS, y las propias del sector (lo que se conoce como governance, risk, and compliance GRC), entender las políticas de Continuidad de Negocio, mantenerse actualizado respecto a las tecnologías emergentes y los nuevos vectores de amenaza cibernética, conocer y dominar en algunos casos estándares aplicables como la ISO 27001, ISO 27002, ISO 22301, etc., y por último y no menos importante, tener la capacidad de comunicar y transmitir en un lenguaje claro, preciso y entendible a la Dirección, Consejos de Administración y Comités Corporativos.

Lo primero que debemos decidir es en qué tipo de CISO nos queremos especializar: CISO de Tecnología de la Información (IT) o CISO de Tecnología Operacional (OT), si bien la realidad es que, salvo en grandes entidades con entornos muy amplios, complejos y diferenciados, en la mayoría de las organizaciones industriales con sistemas en entornos IT y OT, el rol de CISO, o bien lo desarrolla la misma persona conjuntamente para ambos entornos, o bien solo existe un CISO de IT porque para el entorno OT no ha sido asignada una persona con esa responsabilidad específica.

En cualquier caso, aunque los CISOs IT y OT pueden tener enfoques y prioridades diferentes debido a la naturaleza de los sistemas que protegen, ambos comparten el objetivo común de asegurar los activos de la organización contra las amenazas cibernéticas. Ambos roles requieren un sólido conjunto de habilidades técnicas y de gestión, así como una comprensión profunda de los riesgos y regulaciones específicas de sus respectivos dominios. La colaboración entre ambos es crucial para asegurar una postura de seguridad holística en organizaciones que dependen tanto de sistemas IT como OT.

DIFERENCIAS ENTRE CISOS EN ENTORNOS IT Y OT

Enfoque y Responsabilidades

- CISOs IT: Se centran en la seguridad de los sistemas de información Sus responsabilidades incluyen la protección de datos, redes, sistemas de software y hardware, así como la implementación de políticas de seguridad cibernética.
- CISOs OT: Se enfocan en la seguridad de los sistemas operacionales, que incluyen maquinaria, controles industriales, sistemas SCADA (Supervisory Control and Data Acquisition), y otros sistemas físicos que operan procesos industriales.

Naturaleza de los Sistemas

- IT: Los sistemas IT generalmente gestionan datos, procesos administrativos, aplicaciones de software y servicios de red.
- OT: Los sistemas OT están más relacionados con la infraestructura crítica y los procesos físicos, como la fabricación, el transporte, la energía o el suministro de agua.

Riesgos y Amenazas

- IT: Las amenazas incluyen malware, phishing, ataques de denegación de servicio (DDoS), violaciones de datos personales y hacking.
- OT: Los riesgos están más relacionados con la integridad y disponibilidad de los sistemas físicos, y las amenazas incluyen ataques a infraestructura crítica que pueden provocar interrupciones en los procesos industriales, daños a equipos físicos o incluso peligros para la seguridad física.

Prioridades de Seguridad

- IT: En el entorno IT, la prioridad está en la Confidencialidad, integridad y disponibilidad de los datos.
- OT: En los entornos OT, la prioridad es la disponibilidad e integridad de los sistemas y procesos físicos, con un fuerte enfoque en la seguridad y fiabilidad operacional.

Normativas y Regulaciones

- IT: Cumplimiento de normas y estándares como RGPD, LOPDGDD, ISO 27001, o PCI-DSS, entre otras.
- OT: Cumplimiento de normas específicas de la industria como IEC 62443 (para la seguridad de sistemas de control industrial), NERC CIP (para el sector eléctrico), y otras regulaciones específicas de infraestructura crítica como LPIC o las nuevas directivas NIS2 o CER.

SIMILITUDES ENTRE CISOS EN ENTORNOS IT Y OT

Objetivo Común

- Ambos roles buscan proteger los activos de la organización, ya sean datos digitales (IT) o procesos industriales (OT), de amenazas internas y externas.

Habilidades y Conocimientos

- Ambos CISOs necesitan tener un profundo conocimiento de las amenazas cibernéticas, las vulnerabilidades y las mejores prácticas de seguridad.
- Deben estar familiarizados con las herramientas y tecnologías de seguridad, así como con las metodologías de gestión de riesgos.

Estrategia de Seguridad

- Ambos desarrollan e implementan estrategias de seguridad para sus respectivos dominios, incluyendo políticas, procedimientos y controles de seguridad.
- Necesitan coordinarse con otros departamentos y con la alta dirección para alinear la seguridad con los objetivos empresariales.

Gestión de Incidentes

- Ambos son responsables de la gestión de incidentes de seguridad, lo que incluye la prevención, detección, respuesta y recuperación ante incidentes cibernéticos.
- Desarrollan planes de contingencia y recuperación ante desastres para asegurar la continuidad del negocio.

Formación y Concienciación

- Ambos CISOs promueven la formación y concienciación en ciberseguridad dentro de la organización, educando al personal sobre las mejores prácticas de seguridad y cómo identificar amenazas.

REQUISITOS

Una vez que hemos decidido la especialización de CISO en la que nos queremos enfocar profesionalmente, veamos cuales son los requisitos que necesitamos disponer o conseguir a través de la formación específica para nuestra preparación:

A) EDUCACIÓN

- Grado universitario: Una titulación universitaria equivalente o superior a grado universitario, de nivel 2 o superior (MECES) en TIC, informática, ingenierías, ciberseguridad, sistemas de información, derecho o un campo relacionado.
- Educación avanzada: Un máster en ciberseguridad, gestión de IT o de OT, puede ser muy beneficioso y a menudo preferido por las grandes organizaciones.
- Formación técnica: Una titulación universitaria de nivel 1 o superior (MECES) en ciclos formativos de técnico superior (Formación profesional) en las áreas de tecnología TIC, de ciberseguridad o similar.
- Competencias: disponer de las competencias requeridas para ejercer como responsable de ciberseguridad: Prevención y asesoramiento, identificación, detección, respuesta, recuperación, supervisión, coordinación y seguimiento.

B) EXPERIENCIA PROFESIONAL

- Experiencia en TI y seguridad: Es valorable la experiencia en roles relacionados con la seguridad de la información y la tecnología.
- Cargos de liderazgo: Tener experiencia en posiciones de liderazgo y gestión de equipos es un apoyo. Hay que tener en cuenta que los CISO deben supervisar y coordinar equipos de seguridad multidisciplinares.

C) CERTIFICACIONES

- Certificaciones en ciberseguridad: Disponer de certificaciones reconocidas internacionalmente como Certified Information Systems Security Professional (CISSP) de ICS2, Certified Cyber Security Professional (CCSP) de ISMS, Certified Information Security Manager (CISM), Certified Information Systems Auditor (CISA), o Certified in Risk and Information Systems Control (CRISC) de ISACA, sirven como apoyo y evidencia de la formación, aunque debemos aclarar que lo realmente importante es el conocimiento que se demuestre más que cualquier certificado.
- Certificaciones adicionales: Dependiendo del enfoque de la empresa en la que quiera ejercer sus funciones, otras certificaciones como Offensive Security Certified Professional (OSCP), Certified Ethical Hacker (CEH) o certificaciones específicas de la industria le podrían ser requeridas antes, durante o después de su incorporación.

D) HABILIDADES TÉCNICAS

- Conocimiento profundo de ciberseguridad: Se requiere tener un conocimiento de las amenazas y vulnerabilidades cibernéticas, así como de las mejores prácticas para mitigarlas.
- Competencia en herramientas de seguridad: Estar familiarizado con herramientas y tecnologías de seguridad de la información, como firewalls, sistemas de detección de intrusos, gestión de identidad y acceso, y software de análisis de vulnerabilidades.

E) SOFT SKILLS

- Trabajo en equipo, liderazgo y gestión: Habilidades para trabajar en equipo, liderar y motivar equipos multidisciplinares, tomar decisiones estratégicas y gestionar proyectos.
- Comunicación: Capacidad para comunicar conceptos técnicos complejos de manera clara y concisa a la alta dirección y a otros stakeholders no técnicos.
- Pensamiento estratégico, creativo y crítico para la resolución de problemas: Habilidad para la planificación y el control, para analizar problemas de seguridad, desarrollar soluciones efectivas y enfrentarte a problemas de diferente índole, viendo oportunidades y detectando amenazas.
- Ética profesional: Ser coherente con tus ideas y acciones, apreciando y comprometiéndose con lo importante, algo que transmite confianza en las decisiones, en lo que dices y en lo que haces.
- Gestión del tiempo: saber administrar los tiempos propios y los del equipo que dirige, como reflejo de la eficiencia y el cumplimiento de los plazos, la capacidad de priorización de tareas.

F) CONOCIMIENTO DEL NEGOCIO

- Comprensión del negocio: Es fundamental conocer el sector y la empresa en la que se trabaja o se quiere trabajar, y cómo la ciberseguridad se integra en los objetivos estratégicos de las organizaciones.
- Gestión de riesgos: Es necesario tener desarrollar la capacidad para evaluar y gestionar riesgos, y para desarrollar políticas y procedimientos que equilibren la seguridad con las necesidades del negocio.

G) DESARROLLO PROFESIONAL CONTINUO

- Mantenerse actualizado: El CISO, al igual que otras muchas profesiones, depende directamente de la ciberseguridad, un campo en constante evolución, por lo que es crucial mantenerse al día con las últimas amenazas, tecnologías y regulaciones.
- Participación en la comunidad: Para mantener esa actualización se requiere asistir y/o participar en conferencias, seminarios y grupos de trabajo, lo que proporciona valiosas oportunidades de aprendizaje y networking.

CONCLUSIÓN

Como vemos, para convertirse en CISO se requiere disponer de un equilibrio entre los conocimientos técnicos, habilidades de gestión y la comprensión del negocio. Es una carrera profesional desafiante pero tremendamente gratificante (aunque también estresante y angustiante en ciertos momentos de crisis) que desempeña un papel crucial en la protección de los activos de las organizaciones.

José Antonio Sánchez Durán, Senior Consultant & Advisor
Govertis, parte de Telefónica Tech

Por Blog AEC Govertis

29 de mayo de 2024

Cookie	Duración	Descripción
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie records the user consent for the cookies in the "Advertisement" category.
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie records the user consent for the cookies in the "Analytics" category.
cookielawinfo-checkbox-functional	1 year	The GDPR Cookie Consent plugin sets the cookie to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-non-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Non Necessary".
CookieLawInfoConsent	1 year	CookieYes sets this cookie to record the default button state of the corresponding category and the status of CCPA. It works only in coordination with the primary cookie.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.
wpEmojiSettingsSupports	session	WordPress sets this cookie when a user interacts with emojis on a WordPress site. It helps determine if the user's browser can display emojis properly.

Cookie	Duración	Descripción
PREF	8 months	PREF cookie is set by Youtube to store user preferences like language, format of search results and other customizations for YouTube Videos embedded in different sites.
VISITOR_INFO1_LIVE	6 months	YouTube sets this cookie to measure bandwidth, determining whether the user gets the new or old player interface.
VISITOR_PRIVACY_METADATA	6 months	YouTube sets this cookie to store the user's cookie consent state for the current domain.
YSC	session	Youtube sets this cookie to track the views of embedded videos on Youtube pages.
yt.innertube::nextId	never	YouTube sets this cookie to register a unique ID to store data on what videos from YouTube the user has seen.
yt.innertube::requests	never	YouTube sets this cookie to register a unique ID to store data on what videos from YouTube the user has seen.

Cookie	Duración	Descripción
_ga	1 year 1 month 4 days	Google Analytics sets this cookie to calculate visitor, session and campaign data and track site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognise unique visitors.
_ga_*	1 year 1 month 4 days	Google Analytics sets this cookie to store and count page views.

Cookie	Duración	Descripción
yt-player-headers-readable	never	The yt-player-headers-readable cookie is used by YouTube to store user preferences related to video playback and interface, enhancing the user's viewing experience.
yt-remote-cast-available	session	The yt-remote-cast-available cookie is used to store the user's preferences regarding whether casting is available on their YouTube video player.
yt-remote-cast-installed	session	The yt-remote-cast-installed cookie is used to store the user's video player preferences using embedded YouTube video.
yt-remote-connected-devices	never	YouTube sets this cookie to store the user's video preferences using embedded YouTube videos.
yt-remote-device-id	never	YouTube sets this cookie to store the user's video preferences using embedded YouTube videos.
yt-remote-fast-check-period	session	The yt-remote-fast-check-period cookie is used by YouTube to store the user's video player preferences for embedded YouTube videos.
yt-remote-session-app	session	The yt-remote-session-app cookie is used by YouTube to store user preferences and information about the interface of the embedded YouTube video player.
yt-remote-session-name	session	The yt-remote-session-name cookie is used by YouTube to store the user's video player preferences using embedded YouTube video.
ytidb::LAST_RESULT_ENTRY_KEY	never	The cookie ytidb::LAST_RESULT_ENTRY_KEY is used by YouTube to store the last search result entry that was clicked by the user. This information is used to improve the user experience by providing more relevant search results in the future.

menú

Club CISO