Teléfono: +52 (55) 5335 1181 | +52 (55) 5335 1182 Email: ventas@integridata.com.mx
20marzo

“No hay CISOs en América Latina”: Adrián Palma

By Artículos

Adrian Palma

La definición oficial de un director de seguridad de la información (Chief Information Security Officer, CISO) es un ejecutivo de nivel superior responsable por alinear las iniciativas de seguridad con los programas empresariales y los objetivos de negocio, asegurando que los activos y las tecnologías de información estén adecuadamente protegidos. Para Adrián Palma, director general de Integridata, no existen CISOs como tales en América Latina.

El ejecutivo, cuya empresa se dedica a la seguridad de la información y la continuidad del negocio, explicó a SearchDataCenter en Español cuáles son las razones por las que tiene este punto de vista y los retos que tienen los profesionales de seguridad para seguir avanzando en su carrera.

SearchDataCenter en Español: ¿Cómo ves la figura del CISO en México y en América Latina?

Adrián Palma: Primero, no hay CISOs en las organizaciones, en la mayoría; yo les llamo encargados de seguridad. Porque primero no tienen el nivel, no de competencia, sino el nivel jerárquico; no tienen la visión que debe tener realmente un CISO; y tercero, su enfoque está netamente a lo que llamamos fierro, bits y bytes, y nada más. No nada más pasa en México y en América Latina, sino también en parte de Estados Unidos, en Europa, en Asia sí no te puedo decir, pero en esos [lugares que mencioné] sí te puedo garantizar que así es.

Entonces, no hay ese enfoque. La tendencia, o lo que debe venir en los siguientes años es que el CISO, antes que otra cosa, su principal habilidad es que debe tener una visión organizacional, antes que una visión técnica. Segundo, debe tener una serie de responsabilidades que hoy en día se desconocen en la mayoría de organizaciones. Por ejemplo, ir por presupuestos; quitar la barrera que hay entre las áreas de negocio y la gente de tecnología y la misma gente de seguridad; hacer entender a la alta dirección que estos son temas importantes –a lo mejor no son de prioridad uno, pero sí son de prioridad dos– que me van a ayudar en el principal punto a que las actividades o prioridades de nivel uno se hagan de una manera adecuada. Además de todo el rollo que hay de cumplimiento, de marcos regulatorios, estándares de la industria, etc.

Así que hoy en día sí siento una falta, primero de entender cuál es el rol del CISO en la organización y segundo necesitamos, de alguna otra manera, generar esas habilidades porque no van a aparecer por ósmosis, entonces sí se requiere de entrenamiento y de visión para poder llegar a eso.

SDCE: ¿Cuáles consideras entonces que son los principales retos que tienen los CISOs y los profesionales de seguridad con visión hacia este panorama?

Adrián Palma: Muy sencillo. Hoy en día yo digo que estamos en [la era de] el IT Security, no del Information Security. Lo primero es entender que la posición de la gente de seguridad de la información (Information Security) debe tener otra perspectiva, totalmente distinta, a la gente especialista en IT security. La diferencia del IT security es que esta es una responsabilidad de TI, es decir del custodio, no es una responsabilidad de seguridad. ¿A qué me refiero con eso? A la implementación, configuración y administración de toda la tecnología de seguridad: firewalls, IPS, IDS, suites de gestión de identidad, suites de control de acceso, infraestructuras de llave pública, todo lo que tenga que ver con la parte de controles técnicos, eso lo debe tener la gente de TI, porque es infraestructura.

La gente de seguridad debe tener otro rol, que es más normativo, más de estar buscando, un equipo consultor dentro de la organización, que entienda los requerimientos que necesita el dueño de los datos –que es a quién comúnmente llamamos gente de negocio– en cuestión de confidencialidad, integridad y disponibilidad, siendo su rol principal como apoyo, dando experiencia, método y forma para poder obtener esos datos. Esos datos, esa información, la tiene el dueño, no seguridad. Seguridad ya tendrá formas para poder hacer diagnósticos de seguridad, análisis de riesgo –que es la base para hacer una estrategia de seguridad– desarrollos de normatividad (como políticas, estándares, guías, procedimientos, baselines), desarrollar estrategias de awareness, train and education, además de toda la parte de compliance, gobierno de seguridad. Todo ese tipo de cosas son responsabilidad de gente de seguridad y que muchas veces en las organizaciones no se hacen porque en las áreas de seguridad se dedican a la parte de infraestructura. Hay una brecha muy grande en las organizaciones y la pregunta es quién hace realmente el trabajo de seguridad de la información.

SDCE: ¿Cómo llegamos de un punto a otro? ¿De tener el perfil de un profesional de seguridad de TI a ser un profesional de seguridad de la información?

Adrián Palma: Con mucho esfuerzo, mucho trabajo. Pero primero es entender lo que yo tengo que hacer, porque si no lo entiendo, difícilmente lo voy a poder permear. Después de eso, trazar una estrategia dependiendo de la organización en la que yo esté. Es una tarea titánica. Es cambiar más de 30 años de un enfoque al nuevo que se requiere, pero se va a tener que hacer. Y esto va a explotar, según yo, en los próximos cinco a seis años.

SDCE: ¿Qué recomendaciones les puedes dar a los profesionales de seguridad para que empiecen a tener esa visión, especialmente los que quieren llegar a ser un CISO?

Adrián Palma: Desafortunadamente no tenemos una escuela. Hoy en día te hablo a nivel México y también a nivel de Latinoamérica, no la hay. Pero lo primero es buscar, en ciertas organizaciones –como ALAPSI o el Diplomado de Seguridad del Tecnológico de Monterrey, de la misma universidad– el cambio de enfoque. Lo primero que se debe hacer es entender cuál es el rol del CISO, de seguridad de la información, y eso sí lo puedes encontrar en muchas buenas prácticas genéricas, no al nivel de detalle que estoy comentando, pero ese es el primer entry level, porque es muy complejo. Yo te diría hay tres libros, hay tres revistas, pero no los hay.

SDCE: ¿Sirven las certificaciones?

Adrián Palma: Sí, pero no te hacen mejor. ¿A qué voy con esto? A que la certificación te da una forma distinta de ver las cosas; sin embargo, yo conozco gente que tiene certificaciones y que su trabajo deja mucho que desear, y conozco gente que no tiene certificaciones y que hace muy bien su trabajo. Entonces, sí te da un nivel de estructura de conocimientos óptima –es difícil obtener una certificación– pero no te garantiza el éxito en una carrera de éstas.

1 Like