Las violaciones de datos no desaparecerán. Con las amenazas de los estados nacionales, las organizaciones criminales y los grupos como Anonymous en aumento, estamos viendo más CEOs que reconocen la necesidad de contratar a un Director de Seguridad de la Información (CISO) para impulsar la seguridad de la información y la estrategia de riesgo.

Las recientes infracciones de alto perfil han resaltado la necesidad de un mejor conocimiento de la seguridad de la información del empleado promedio a la junta directiva. Sin embargo, ¿qué necesitamos saber sobre el papel del CISO? Hablamos con Bob West, director de Trust en CipherCloud, para conocer sus pensamientos.

TechRadar Pro: en una empresa, si la seguridad y las TI se encuentran bajo el mismo paraguas?

Bob West: Generalmente no, pero depende del tamaño de la organización y la composición del personal técnico. Puede tener sentido que una compañía de 1.000 personas tenga TI y seguridad en el mismo grupo. Pero tiene sentido que las empresas más grandes separen los roles y los equipos para propósitos de escalamiento.

Al final del día, las responsabilidades son fundamentalmente diferentes: la seguridad protege los activos de la organización; proporciona información sobre las decisiones tecnológicas y los posibles riesgos que enfrenta la empresa. IT entrega soluciones tecnológicas..

TRP: ¿Cuál es el papel de un CISO??

BW: El CISO asesora al equipo ejecutivo sobre cómo la organización necesita cumplir con los diversos requisitos de seguridad y privacidad para hacer negocios en su industria y territorios de operaciones. El CISO supervisa a un equipo que en conjunto tiene una visión de 360 ​​grados de los riesgos que enfrenta la empresa y establece las tecnologías y procesos de seguridad necesarios para minimizar los riesgos para la organización..

TRP: ¿Cómo se compara el rol del CISO con un CIO??

BW: Arriba, cubrimos el papel del CISO. Hay algunas áreas que se superponen con el CIO, que impulsa la estrategia tecnológica. Por ejemplo, cuando el grupo de tecnología está tomando una decisión de compra, el grupo de seguridad debe incorporarse para evaluar la tecnología desde un punto de vista de seguridad..

TRP: ¿Qué tan importante es el rol de CISO hoy??

BW: El rol crece en importancia con cada violación de seguridad y vulnerabilidad de seguridad identificada. Las amenazas han sido mucho más agresivas y van desde estados nacionales a organizaciones criminales..

TRP: ¿Debería cada organización tener un CISO??

BW: Como mencioné en mi respuesta a la primera pregunta, es posible que las PYMES no necesiten un CISO dedicado. En esos casos, podría tener sentido que el CIO también use el sombrero CISO y él / ella puede tener un consultor para proporcionar orientación a tiempo parcial.

TRP: ¿Fue la falta de un CISO un factor importante que contribuyó a la infame violación de datos de Target??

BW: No es fácil entender por qué una organización del tamaño de Target no empleó un CISO en ese momento, pero sin uno, es muy difícil garantizar que la información esté protegida de manera consistente en toda la empresa.

TRP: ¿Qué pueden hacer otras organizaciones para evitar que se repita una violación similar??

BW: Asegúrese de que haya un liderazgo de seguridad y el nivel de personal y presupuesto adecuados para que la información pueda protegerse adecuadamente. Las políticas que se pueden entender claramente deben escribirse para guiar a toda la organización. Todos deben entender lo que deben hacer para proteger la información como parte de su rol cotidiano. La protección de la información requiere la combinación correcta de personas, procesos y tecnología.

TRP: ¿Qué pueden hacer las empresas ahora para mejorar su seguridad en la nube independientemente de la infraestructura que tengan??

BW: El mayor peligro en la nube es que las empresas piensan que los proveedores de la nube tienen cobertura de seguridad o que no existen soluciones para la seguridad de la nube. En el punto anterior, los principales proveedores de la nube han desarrollado una sólida red y seguridad de infraestructura. Por ejemplo, en el caso del correo electrónico, Google y Microsoft han implementado el cifrado SSL para proteger los datos en la capa de transporte y eso es muy útil..

Pero la protección de los datos en sí va un paso más allá y es una necesidad para las empresas en el clima de negocios actual. Algunos de estos controles para la nube incluyen el descubrimiento de aplicaciones, el cifrado, la tokenización como una alternativa de enmascaramiento, la prevención de pérdida de datos para establecer y aplicar políticas, y el monitoreo para comprender la actividad inusual.