El rol de seguridad de información se mueve más allá de la experiencia técnica
La comunicación y otras habilidades sociales se han convertido en parte de los requisitos de trabajo de los profesionales de seguridad de la información, dice el CISO del Instituto SANS.
En la reciente Conferencia Internacional AISS en Dallas, el editor de SearchCompliance, Ben Cole, se reunió con conferencistas para discutir el panorama cambiante de las amenazas de datos, y cómo está influyendo en el rol de la seguridad de la información. En esta entrevista, el CISO del Instituto SANS, Frank Kim, explica por qué la comunicación y otras habilidades sociales se han convertido en una gran parte de los requisitos de trabajo de los profesionales de seguridad de la información.
A medida que las amenazas a los datos de la empresa se han convertido en una de las principales preocupaciones empresariales, ¿cómo ha cambiado el papel del CISO y otros profesionales de la información?
Kim: Uno de los mayores desafíos que veo que tiene la gente de TI y de seguridad técnica es poder comunicarse con otras personas no técnicas y que no son de seguridad. Nosotros, en la industria en general, sufrimos de lo que se llama la ‘maldición del conocimiento’; cuando estamos tan bien informados acerca de un área en particular, tenemos dificultades para transmitir, en términos sencillos y lenguaje sencillo, lo que realmente significan esas cosas. Así que las habilidades de comunicación son vitales para el éxito del CISO moderno, porque ya no podemos hablar en siglas o capacidades técnicas. Tenemos que ser capaces de traducir estos en lenguaje de negocios y articular lo que es el riesgo cibernético correspondiente para la organización, no solo los aspectos específicos de la tecnología.
La mejor manera de aprender es a través de la experiencia. Muchas veces esa es la forma más amarga de aprender también, pero lo que realmente ayudó fue mostrarles la comunicación original, y luego la comunicación revisada en términos del lenguaje de negocios que fue entendida por nuestros altos ejecutivos, mostrándoles esos ejemplos particulares de antes y después. Simplemente pasar por esas experiencias, creo, ayuda mucho en términos de mejorar esas habilidades de comunicación.
Además de simplificar las comunicaciones, ¿qué pueden hacer los CISO y los profesionales de seguridad para que la seguridad de la información sea relevante y comprensible para los principales interesados en la organización?
Kim: Una cosa que la gente de seguridad puede hacer para ayudar mejor a la organización es entender el negocio, entender cómo la organización gana dinero. Si invertimos excesivamente en controles de seguridad y causamos demasiada fricción en procesos de negocios importantes, no solo los que estamos en seguridad no vamos a tener éxito, sino que la organización no va a tener éxito a la velocidad que debería. Tenemos que pensar en las nuevas iniciativas clave apoyadas por la tecnología –ya sea móvil, nube, internet de las cosas–; no podemos simplemente decir no a esas cosas. Tenemos que averiguar cómo decir que sí. Una lección es entender el negocio: Qué es importante para la organización, y averiguar cómo podemos apoyar eso, cómo podemos decir ‘sí’.
¿Qué pasa con los empleados que están fuera de la gerencia, que no son ejecutivos? ¿Cómo pueden los CISO y los profesionales de infoSec hacerles entender su papel en la protección de datos y asegurarse de que están adecuadamente capacitados para hacer eso?
Kim: En SANS, hacemos mucho con la conciencia de seguridad. No se trata solo de la conciencia técnica de seguridad. Lo que encontramos que ayuda mucho es llevarlo a casa para gente en particular. No solo lo que necesitamos hacer para asegurar nuestra computadora de trabajo, lo que necesitamos hacer para asegurar nuestro ambiente de trabajo, sino también cómo puede mantenerse a salvo en casa. Cómo puede asegurar su acceso inalámbrico en casa. Cómo mantener a sus hijos seguros en línea. Una cosa que encontramos que realmente ayuda es hacerlo personal para esa gente en particular en la organización. Al hacerlo personal, eso ayuda a impulsar el cambio de comportamiento, tal vez primero en casa y luego, por extensión, en el trabajo, lo que luego tiene un impacto mayor en la cultura de seguridad que nosotros, en la organización, estaríamos tratando de construir.
Fue originalmente publicado en: Techtarget.com