brecha de habilidades ciso2

El dilema de las habilidades de cumplimiento del CISO

¿Existe una falta generalizada de personas con las habilidades necesarias para asumir el rol de CISO? ¿Con técnicos que no pueden interactuar con la junta directiva y tipos directivos que no son tomados en serio por los técnicos? ¿Qué pasa con aquellas habilidades que se necesitan para el cumplimiento y la regulación? ¿También escasean? Dan Raywood evalúa el problema.

La cuestión de la brecha de habilidades se ha debatido durante mucho tiempo, particularmente en lo que respecta a aquellos que están capacitados para asumir las responsabilidades del CISO.

Además de la confianza para hablar e informar a la junta directiva, existen consideraciones sobre si el CISO debe tener conocimientos técnicos y estar al tanto del funcionamiento y las configuraciones de las defensas, además de ser capaz de difundir la conciencia de seguridad y gestionar riesgo en toda la organización.

Si eso parece mucho para una persona, considere el elemento de cumplimiento. Sí, la gobernanza, el riesgo y el cumplimiento (GRC) son las piedras angulares del plan de seguridad de una empresa, pero ¿en qué medida el cumplimiento se tiene en cuenta en las habilidades del CISO? ¿Existe una escasez de nuevas habilidades en los marcos y regulaciones de cumplimiento para el futuro CISO?

In la investigación Dirigí para la revista Infosecurity en 2019, interactué con estudiantes, personas en prácticas y aquellos que comienzan sus carreras en ciberseguridad. En ese caso, pregunté a los encuestados si sabían qué RGPD, PCI DSS y PSD2 eran y en qué se diferenciaban. Recibimos 54 respuestas, de las cuales 35 fueron positivas y 19 negativas.

Esas regulaciones particulares han recibido mucha atención, y el concepto de RGPD No debería haber escapado a la persona promedio en la calle, pero desde la perspectiva del liderazgo en seguridad, ¿es obvio lo que se debe hacer para llenar este vacío? ¿Existe un vacío de conocimiento sobre cómo satisfacer las necesidades de cumplimiento?

Brian Honan, director ejecutivo de BH Consulting, cree que hay escasez de personas con experiencia disponibles como CISO. Ante la presión sobre las organizaciones para que demuestren que se toman la “seguridad en serio”, se está nombrando a muchas personas para el puesto de CISO que pueden no ser adecuadas para ello.

“Muchos CISO sin experiencia tienden a centrarse en los aspectos técnicos de su función, ya que a menudo es allí donde se sienten más cómodos; sin embargo, es posible que no tengan experiencia en gestión de riesgos cibernéticos, desarrollo e implementación de políticas o en el desarrollo de un programa de concientización eficaz”, dice.

Otro problema con el que suelen luchar los CISO es centrar el programa de cumplimiento solo en la seguridad o la función de TI dentro de una organización, afirma Honan, ya que "en muchos casos, un programa de cumplimiento se aplica a toda la organización y no solo a esas funciones".

Comprender e implementar el cumplimiento es más que simplemente integrarlo en su equipo de seguridad y capas de defensa, sino también en la organización en general.

"El otro problema que veo a menudo con los requisitos de cumplimiento normativo, como el GDPR o la Ley de Protección de Datos del Reino Unido, es que muchos CISO solo se centran en el elemento de seguridad de esas regulaciones, lo que hace que la organización no las cumpla plenamente", afirma.

Rowenna Fielding, directora de Miss IG Geek Ltd, dice, a partir de sus compromisos con clientes y otras personas en la industria de la seguridad, "definitivamente puedo decir que existen lagunas importantes en relación con el RGPD". En particular, dice, "alarmantemente pocas personas de seguridad tienen una comprensión sólida de lo que realmente significa 'datos personales' (la mayoría los confunde con PII)" en un esfuerzo que "socava cada actividad de cumplimiento de GDPR en la que participan, al establecer el alcance demasiado estrecho desde el principio”.

Cuando se le pregunta por qué sus empleadores no invierten en capacitación eficaz y significativa para cumplir con los requisitos, Fielding dice que a menudo se considera que cuesta demasiado, "y tener el tiempo libre y los fondos para buscar educación de forma individual es un lujo".

Ella dice que un desafío es que a menudo hay demasiado marketing de productos que promete garantías para lograr el cumplimiento, ya que “las personas de cumplimiento buscan desesperadamente 'soluciones' (incluida la subcontratación) que esperan alivien parte de la inmensa carga cognitiva del trabajo, pero esas ' Las propias soluciones todavía requieren mucho esfuerzo humano para configurar, monitorear, verificar, adaptar y mantener sus funciones, además de todos los nuevos riesgos que las propias soluciones introducen”.

Owanate Bestman es el fundador de la firma de recursos de personal de ciberseguridad Bestman Solutions, y cuando se le pregunta si cree que hay una escasez de habilidades en esta área, dice que no, ya que a menudo hay demasiadas empresas contratantes “buscando unicornios para abofetear el título de CISO”. on” cuando en realidad la empresa está buscando a alguien que haga GRC y trabaje con los reguladores.

Si hay escasez de personas necesarias para cumplir con los requisitos de los marcos regulatorios y de cumplimiento, se debe considerar el riesgo de que esas funciones queden sin cubrir. Si alguien no asume la responsabilidad a un nivel superior, ¿existe el peligro de que no se haga?

Honan dice que existe el problema de que los CISO desestimen los marcos, los estándares e incluso las obligaciones legales como gastos generales innecesarios que no los "harán más seguros" o incluso citarán el argumento de que "las políticas no detendrán a un hacker".

“Lo que a menudo les falta es que los requisitos descritos en las leyes y marcos están ahí para proporcionar un enfoque estructurado a la seguridad y garantizar el compromiso empresarial con una mejor seguridad”, afirma. "Un buen CISO comprenderá cómo los marcos, los estándares y las obligaciones legales pueden ayudar a reducir el riesgo para el negocio y, al mismo tiempo, obtener los recursos que necesitan para proteger mejor a las organizaciones".

Las opciones para aprender qué se necesita para permitir el cumplimiento en una organización están disponibles, pero los elementos preventivos son el costo y el tiempo en lugar de una falta total de habilidades. "No creo que haya falta de habilidades, pero definitivamente hay una proporción inmanejable entre la capacidad intelectual disponible y la demanda de tareas". Fielding está de acuerdo y dice que las personas tienen todo lo que necesitan para cumplir, excepto el tiempo y la energía para aplicarlos de manera efectiva.

Autor

Daniel Raywood

Dan Raywood ha escrito sobre seguridad de TI desde 2008 y fue analista en la práctica de seguridad de la información en 451 Research. Ha hablado en programas como 44CON, SecuriTay, SteelCon, Irisscon e Infosecurity Europe, además de escribir para varios blogs de proveedores y realizar presentaciones en webcasts.

Ver todas las publicaciones de Dan Raywood

Artículos Relacionados

ISMS.online ahora es compatible con ISO 42001, el primer sistema de gestión de IA del mundo. Haga clic para saber más