Qué conocimientos y cualidades debe tener el CISO

También puedes leer... DNS Security for Dummies Diez capas de seguridad para contenedores 20 Casos de uso de CASB Los riesgos de Blockchain Diez consejos sobre la gestión de Bots

El Libro Blanco del CISO, que acaba de publicar ISMS Forum, dedica uno de sus apartados a definir este perfil directivo en su responsabilidad sobre la gestión de la seguridad de la información.

Sin duda, es un profesional con un elevado conocimiento técnico pero tiene que conocer el negocio y los riesgos de seguridad informática y ciberseguridad para tomar decisiones con criterio.

Además, recuerda el documento que debe conocer el marco regulatorio y legal aplicable a la actividad de la empresa, así como las metodologías de análisis de riesgos (MAGERIT, NIST, CRAMM…), estándares para la seguridad de la información (ISO 27001) que deberá trasponer a las políticas de la empresa. “Igualmente lo será la certificación si es requisito para la empresa y cualquier acreditación para manejo de información conforme a las normativas”, añade.

Por otro lado, debería disponer de la habilitación que exige al Director de Seguridad la Ley 5/2014, de 4 de abril, de Seguridad Privada, ya que es posible su intervención en incidentes con trascendencia legal por delegación de éste.

En definitiva, como dice el Libro Blanco, “es esencial que el CISO disponga de una adecuada formación académica, conocimiento de idiomas, capacidad de interrelación con homólogos de otras empresas, asistencia a foros y eventos de ciberseguridad, etc. Cualquier otra formación o capacitación profesional complementaria es interesante para estar actualizado incluso a nivel técnico”.

Soft skills
En esta función “compleja”, como define esta publicación, se necesitan un profesional conocimientos del negocio y capacidad para valorar los daños que la pérdida de confidencialidad, integridad o disponibilidad de la información puedan causar a la empresa y que ofrezca soluciones, por lo que “en su carácter no puede faltar coraje y templanza no sólo para la toma de decisiones sino para ser capaz de afrontar y liderar actuaciones en casos de crisis”.

Asimismo, subraya que son importantes la flexibilidad, el sentido común, la capacidad de organización y priorización, constancia y compromiso con la compañía, dotes de liderazgo, formalidad, inteligencia emocional, etc.

Finalmente, en el caso del CISO es muy importante la integridad y la ética personal porque, según la publicación, no puede existir la ‘segunda oportunidad’ para las personas que defraudan la confianza. Se puede admitir una equivocación pero nunca una falta de honestidad o rectitud”.