CISO Report+Tribus

Cuatro tribus de CISO
y dónde encontrarlas
Traducido al Español
por
Sara Bursztein - Patricia Prandini
Posgrado Seguridad Informática - UBA
Con autorización de Gary McGraw

Tabla de contenido
Introducción………………………………………………………………………………………….3
De lo que no vamos a hablar: el CISO genérico……………………………………………….4
Datos de CISO reales……………………………………………………………………………….5
18 diferenciadores………………………………………………………………………………….5
•Ocho diferenciadores de la fuerza de trabajo……………………..…………7
•Cinco diferenciadores de gobierno…………………………………………….9
•Cinco diferenciadores de controles…………………………………………..10
Las cuatro tribus…………………………………………………………………………………....11
•Tribu 1: la seguridad como Facilitador……………………………………………11
•Tribu 2: la seguridad como tecnología………………………………………..12
•Tribu 3: seguridad como cumplimiento……………………………………….14
•Tribu 4: la seguridad como un centro de costos……………………………15
En tribus y evolución……………………………………………………………………………..16
Usar los diferenciadores para mejorar……………………………………………………….16
Ocho cosas más…………………………………………………………………………………..17
¿Ahora qué?. ……………………………………………………………………………………...18
Apéndice A ………………………………………………………………………………………...19
Este trabajo está bajo la licencia Creative Commons Attribution-Share Alike 4.0.
Para ver una copia de esta licencia, visite http://creativecommons.org/licenses/by-sa/4.0/legalcode o envíe una carta a Creative
Commons, 171 Second Street, Suite 300, San Francisco, California, 94105, EE. UU.
Introducción
Si usted es un CISO, este trabajo es para usted. Resulta que los CISO son seres humanos, y los seres
humanos a veces se preocupan por lo que hacen y por el por qué lo hacen. Se hacen preguntas tales
como ¿cómo me comparo con mis compañeros? ¿Qué es lo que hacen los demás en este rol? ¿Me
estoy perdiendo algo obvio que todos los demás ya saben? ¿Qué puedo hacer para mejorar mi
rendimiento? Estas son solo cuatro de las muchas preguntas que intentamos responder en este
trabajo. Nuestro objetivo general es describir qué hace un CISO todo el día y cómo se organiza y
ejecuta ese trabajo.
Los datos importan, especialmente en seguridad informática. Como científicos, nos gusta recopilar
datos y luego describir los datos que hemos reunido en un modelo coherente. Este es el enfoque que
1
tomamos en el Proyecto BSIMM , y es el mismo enfoque que tomamos en este proyecto.
Recopilamos datos en una serie de entrevistas realizadas en persona a 25 CISO. Las organizaciones
que elegimos estudiar incluyeron a ADP, Aetna, Allergan, Bank of America, Cisco, Citizens Bank, Eli
Lilly, Facebook, Fannie Mae, Goldman Sachs, HSBC, Human Longevity, JPMorgan Chase, LifeLock,
Morningstar, Starbucks y US Bank. En conjunto, nuestra población representa casi 150 años de
experiencia en el rol de CISO.
Aunque sabíamos cuando comenzamos este proyecto que nuestros resultados estarían basados en
datos, no teníamos idea de lo que descubriríamos. Por lo tanto, nos preparamos para un trabajo
duro. Los CISO son todos individuos con modos de operación influenciados por carreras largas y
distinguidas. En 2016, produjimos una versión inicial de este informe basada en el análisis de datos
de 12 CISO. Duplicando el tamaño de la población (25 CISO), la versión actual del informe valida y
refina nuestro modelo.
Identificamos cuatro enfoques distintos para el rol del CISO, cada uno con características únicas y
diferenciadoras. A continuación, describimos las cuatro "tribus", con énfasis en lo que separa unas de
otras (a diferencia de lo que las hace a todas iguales). La división de los CISO en tribus conduce a
una idea sobre el desarrollo profesional y el progreso de su carrera. Creemos que cuando los CISO
comprendan sus propios abordajes profesionales, con referencia a los demás, estarán mejor
informados sobre los caminos a seguir para avanzar.
1
BSIMM - Building Security In Maturity Model – Construyendo Seguridad en Modelos de Madurez – Más
información en https://bsimm.com/ (en inglés)
De lo que no vamos a hablar:
El CISO genérico
Desafortunadamente, la pobre descripción del rol del CISO que se escribe habitualmente es
elaborada por personas que no son CISO, que nunca han sido CISO y que ni siquiera conocen CISO
reales. Esto nos desagrada. Los resultados a menudo se presentan como una lista de lavandería, con
ítems genéricos que se pueden marcar como distintivos de mérito, como si el tamaño de la lista de
controles determinara el mejor CISO. Vamos a evitar el enfoque de la lista de lavandería en este
trabajo.
Aunque terminamos con listas de controles y resmas de información de seguridad técnica en

nuestros datos, enfocamos nuestra discusión en otros aspectos del rol de CISO. En particular,
estamos interesados en la manera en que las cuatro tribus que hemos identificado difieren en la
ejecución del plan de seguridad y en lo que pueden aprender unas de otras.
En el mundo real, dos factores esenciales son más importantes que cualquier otro cuando se trata
del éxito en el rol de CISO: la persona y la organización, es decir, la personalidad y la experiencia del
líder, la cultura, la actitud frente a la seguridad y los recursos de la compañía. La pregunta difícil de
responder es si alguno de estos factores puede variar o evolucionar, en una determinada situación.
¿Puede una cebra cambiar sus rayas si está atrapada en el zoológico?
Antes de comenzar nuestras entrevistas, nuestro enfoque fue diseñar un marco para sustentar las
conversaciones. Por supuesto, en casos como este, el marco debe basarse en datos reales. Como
paso cero entonces, llevamos a cabo una serie de conversaciones telefónicas para obtener una
comprensión básica de los principales temas, palabras clave y otras formas de dividir el espacio
problemático del CISO.
Identificamos tres dominios que todas las organizaciones tenían en común, que son Recursos
Humanos (Workforce), Gobierno (Governance) y Controles (Controls) (o en términos ligeramente
más trillados, Personas, Procesos y Tecnología). Estos tres dominios ayudan a organizar nuestros
resultados en un patrón significativo.
El dominio de los Recursos Humanos cubre las personas e incluye la estructura organizacional, la
2
interacción de la Dirección, los objetivos / OBM y el desarrollo del personal.
El dominio de Gobierno cubre el proceso e incluye métricas, frecuencia de informes, presupuestos,

interacción con la línea de negocio y gestión de proyectos.
Finalmente, el dominio de Controles cubre la tecnología e incluye marcos de ciberseguridad, gestión

de riesgos, operaciones de red, respuesta a incidentes, características de seguridad, evaluación y
gestión de vulnerabilidades, inteligencia de amenazas, seguridad de software y control de
proveedores. De los tres dominios, el dominio Controles corría el mayor riesgo de convertirse en una
lista de lavandería, que como mencionamos anteriormente, nos propusimos evitar.
2
OBM - Gestión del comportamiento organizacional se asemeja a la gestión de recursos humanos ,es un
análisis de comportamiento aplicado para mejorar el rendimiento individual y grupal y la seguridad del
trabajador
También debatimos sobre con cada uno de nuestros participantes los grupos de pares, la coherencia
de los roles y la evolución del rol del CISO.
Utilizando este marco para CISO de tres dominios, nuestras 25 entrevistas presenciales generaron
una gran cantidad de datos del mundo real.
RECURSOS HUMANOS GOBIERNO CONTROLES
ESTRUCTURA MÉTRICAS MARCO REFERENCIAL
ORGANIZACIONAL
GESTIÒN /DIRECCIÓN PRESUPUESTO GESTIÓN DE
VULNERABILIDADES
PERSONAL PROYECTOS PROVEEDORES
Datos sobre la realidad de los CISO
Según los datos que reunimos, identificamos cuatro grupos de CISO, que denominamos las cuatro
tribus. Son:
• Tribu 1: Seguridad como Facilitador
• Tribu 2: Seguridad como Tecnología
• Tribu 3: seguridad como Cumplimiento
• Tribu 4: seguridad como Centro de Costos
En nuestro modelo, ser miembro en una tribu es mutuamente excluyente de la membresía en las
otras. Cada uno de los 25 CISO encaja en una de estas cuatro tribus.
Nuestra teoría es que cualquier CISO caerá en una de estas cuatro tribus. Además, saber en qué tribu
se encuentras puede ayudarlo a planificar su evolución y a mejorar de la manera más eficiente.
Describiremos a continuación cada una de las cuatro tribus, pero antes de hacerlo, presentamos un
conjunto de diferenciadores que pueden utilizarse para discriminar a las tribus entre sí.
18 diferenciadores
¿Qué diferencia a nuestras cuatro tribus de CISO? ¿Hay aspectos particulares de las cuatro tribus que
difieren unos de otros de manera sustancial? ¿Pueden organizarse de manera significativa estas
diferencias? La respuesta a estas tres preguntas se puede encontrar en lo que llamamos
diferenciadores.
En pocas palabras, los diferenciadores se pueden usar para categorizar a los CISO en diferentes
tribus. Y como es lógico, los diferenciadores ayudan a aclarar qué hace que una tribu en particular
funcione. Finalmente, se pueden usar para influir sobre la estrategia de manera directa y eficiente.
Para cumplir con nuestro marco CISO, dividimos a los diferenciadores en nuestros tres dominios:
Recursos Humanos, Gobierno y Controles. A cada uno de los 18 elegidos, se le asocia un número en
números romanos (I a XVIII). El dominio de Recursos Humanos abarca ocho diferenciadores (I-VIII);
el de Gobierno, cinco (IX-XIII) y el de Controles, otros cinco (XIV-XVIII).
RECURSOS HUMANOS
I. Postura ejecutiva del CISO

II. Relaciones CISO y Dirección
III. El CISO y la comunicación del mensaje de seguridad
IV. El CISO y el cumplimiento
V. Estructura de seguridad en la organización
VI. Trayectoria profesional en seguridad
VII. Alineamiento de la seguridad con el negocio
VIII. Cultura y seguridad de la organización
GOBIERNO
IX. KPI3, KRI4 y métricas

X. Seguridad y crisis
XI. Gestión de proyectos
XII. Presupuesto
XIII. Gestión de riesgos y deuda técnica
CONTROLES
XIV. Marco de seguridad cibernética

XV. Controles de seguridad
XVI. Gestión de vulnerabilidad, riesgo y amenazas
XVII. Líneas de alineamiento del negocio
XVIII. Medición de SSI5
Cada uno de los 18 diferenciadores puede tener hasta cuatro sub-entradas que describen cómo se
asigna ese diferenciador en particular a cada tribu. Por ejemplo, el diferenciador I se llama "postura
ejecutiva del CISO". Este diferenciador tiene cuatro sub-entradas, una para cada una de las cuatro
tribus. Cada una de estas sub-entradas está etiquetada con su tribu asociada de la siguiente manera:
T1 = Facilitador, T2 = Tecnología, T3 = Cumplimiento, T4 = Centro de Costos. Por ejemplo, I.T1 es la
3
KPI – Key performance indicator – Indicador clave de rendimiento
4
KRI – Key risk indicator – Indicador clave de riesgo
5
SSI - Software security initiatives . Iniciativas en seguridad del software
sub-inserción del diferenciador I, Tribu 1. Observe a continuación como se presenta nuestro esquema
para que le quede claro.
En algunos casos, un diferenciador no tiene una sub-inserción para cada una de las cuatro tribus. Eso
es porque no hay diferencia entre dos tribus particulares en el caso de ese diferenciador. Por
ejemplo, el diferenciador II, "Relaciones CISO-Dirección" tiene una sub-inserción compartida entre T1
y T2. Cuando no hay cambios en una sub-inserción con respecto a las tribus, se la etiqueta con
todas las tribus relevantes (en algunos casos, hasta tres tribus comparten una misma sub-inserción).
No se puede usar ningún diferenciador individual para categorizar una tribu. Las tribus están
asociadas a conjuntos de diferenciadores. Además, las sub-entradas de los diferenciadores
asociados con las cuatro tribus no siempre tienen límites contiguos. Es decir, pueden no describir
perfectamente cualquier CISO individual. Por ejemplo, las sub-entradas para el diferenciador II
describen solo tres de todos los tipos posibles de relaciones CISO - Dirección.
Ahora lo más importante es comprender cada uno de los 18 diferenciadores que hemos enumerado
anteriormente, sin preocuparse demasiado por las sub-inserciones. Proporcionamos las sub-
inserciones aquí para que pueda consultar esta sección más adelante.
Usando estos 18 diferenciadores, describiremos en detalle las cuatro tribus.
OCHO DIFERENCIADORES DE RECURSOS HUMANOS
I. Postura ejecutiva de CISO
I.T1 El CISO es un alto ejecutivo experimentado. Aunque a menudo tiene un importante

pasado técnico, el CISO se centra mucho más en el negocio y menos en la tecnología.
I.T2 El CISO tiene un importante pasado técnico y en muchos casos, aún se lo reconoce
principalmente por su trabajo técnico. El CISO tiene sólidas habilidades comerciales, que aún
pueden encontrarse en desarrollo.
I.T3 El CISO es un alto ejecutivo experimentado sin un importante pasado técnico. A menudo
es un excelente administrador.
I.T4 El líder de seguridad, cuyo título probablemente no es CISO pero que se encuentra en la
cima de la problemática de seguridad, es una persona proveniente del campo de la
tecnología.
II. Relaciones CISO y Dirección
II.T1-T2 El CISO disfruta de interacción directa e influencia tanto al CEO como a la Dirección.
II.T3 El CISO disfruta de interacción directa con el CEO. La interacción con la Dirección
probablemente incluye asistencia pero no capacitación directa sobre seguridad.
II.T4 El líder de seguridad carece de una relación de colaboración con el CEO o la Dirección.
Si bien ambos pueden conocer de vista al líder de seguridad, el mensaje de seguridad pasa a
través de otras capas de la alta gerencia antes de llegar a la cúpula.
III. El CISO y la comunicación del mensaje de seguridad
III.T1-T2 El CISO facilita la comprensión del mensaje de seguridad a la Dirección, que ya no se

trata de una visión solo de cumplimiento.
III.T3 El CISO no facilita una comprensión del mensaje de seguridad en toda su magnitud.
Aunque la Dirección puede entender que el cumplimiento por sí solo es insuficiente, los
objetivos de seguridad se mantienen difusos.
III.T4 La Dirección tiene una comprensión limitada de la ciberseguridad, no está siendo

capacitada y su visión puede estar impulsada por los medios. En muchos casos, está al
tanto de la actividad de seguridad sin ninguna conexión con el riesgo real para la
organización.
IV.T1 El CISO ha movido a la organización del cumplimiento al compromiso.
IV.T2 El CISO ha cambiado el concepto de cumplimiento como único objetivo que existía en
el pasado, pero queda trabajo por hacer para integrar la seguridad en el negocio.
IV.T3 La firma ha elaborado o está trabajando activamente en los requisitos de cumplimiento

y ha identificado otros objetivos asociados a un conjunto de medidas de seguridad, pero no
se está ejecutando ninguna acción en relación a ellos.
IV.T4 El programa de seguridad se limita al cumplimiento y tiene una gran limitación de

recursos.
V.T1 Refleja el enfoque empresarial del negocio y no solo está impulsada por la tecnología.
En el caso de las organizaciones globales, la geografía a menudo juega un papel en la
estructura de la organización.
V.T2 La estructura de la organización de seguridad se basa en objetivos y metas técnicas y

puede no reflejar el enfoque empresarial del negocio, pero la falta de personal no es un
problema.

puede no reflejar el enfoque comercial de la organización. Además, la falta de personal puede
ser un problema.
V.T4 La organización de seguridad no cuenta con personal suficiente para lograr el

cumplimiento.
VI.T1 La trayectoria profesional en seguridad está bien definida e incluye la planificación de la

continuidad y una tutoría ejecutiva directa. El contenido de los informes directos del CISO a
menudo no son técnicos.

continuidad y una tutoría ejecutiva directa. Sin embargo, el avance profesional tiende a
exagerar la destreza de la seguridad técnica a pesar de que hay algunos esfuerzos directos
para focalizar la seguridad sobre el negocio.
VI.T3 La trayectoria en seguridad es turbia y probablemente no sea técnica, aunque las

responsabilidades sean técnicas.
VI.T4 El trabajo de seguridad es de naturaleza táctica, a menudo solo es técnico y no se

alinea con la progresión necesaria de la carrera.
VII. Alineamiento de seguridad con el negocio
VII.T1 El desarrollo del personal del área de seguridad está alineado con el negocio e incluye
que el nivel de liderazgo termine sus estudios (al igual que las oportunidades que se
encuentran fuera del área de seguridad).
VII.T2 El desarrollo del personaldel área de seguridad no está claramente alineado con el
negocio y tiende a poner demasiado énfasis en los aspectos técnicos.
VII.T3 El desarrollo del personal del área de seguridad está alineado con el negocio.
VII.T4 Si bien hay promociones y cambios de título, el ámbito de la seguridad se limita a las
“malas hierbas” técnicas. Sin una comprensión bidireccional de y por el negocio, los objetivos
del personal del área de seguridad están limitados al ahora y no ayudan a prepararlos a ellos,
ni a la organización para el futuro.
VIII.T1-T2 La cultura de la organización se alinea con la seguridad y está en parte definida por
ella.
VIII.T3 La cultura de la organización está comenzando a alinearse con la seguridad en los

niveles ejecutivos superiores. Sin embargo, la visión armonizada aún no se ha definido, a
veces incluso en la propia organización de seguridad.
VIII.T4 La cultura de la organización no favorece la seguridad. El cumplimiento es el único

incentivo.
CINCO DIFERENCIADORES DE GOBIERNO
IX. KPI, KRI y métricas
IX.T1-T2-T3 Junto con los informes directos, el CISO determina qué Indicadores de KPI y KRI
recopilar, rastrear e informar.
IX.T4 Las medidas tienden a ser conteos de esfuerzos. Hay poca o ninguna evidencia de que
se transformen los datos brutos en KPI / KRI importantes para el negocio.
X.T1 La seguridad se ha integrado al negocio habitual. No se requiere crisis. Forma parte del
negocio
X.T2 La seguridad aún no es parte del negocio habitual, aunque puede haber un plan y una
unidad de propósito. Una crisis puede haber sido el catalizador para renovar el esfuerzo de
seguridad y un cambio en la filosofía.
X.T3 La seguridad aún no es un factor habitual en el negocio y es posible que no se tengan

en cuenta por completo los requisitos de cumplimiento. Una crisis puede haber causado un
cambio en el liderazgo de seguridad, pero aún no se ve con claridad el camino a seguir.
X.T4 El presupuesto puede incluir una cantidad de fondos para una crisis anticipada (una
permitida por año).
XI.T1-T2-T3 Una Oficina de Administración de Programas (PMO) impulsa el avance de los

proyectos.
XI.T4 No existe una PMO para la administración de proyectos, que en cambio es manejada
directamente por el personal.
XII. Presupuesto
XII.T1 El presupuesto nunca es un problema, porque la Dirección y los altos ejecutivos están
alineados con la misión de la seguridad. La financiación dentro de la misión de seguridad
acordada siempre es posible.
XII.T2 El presupuesto no es realmente un problema, porque la Dirección y los altos ejecutivos

están alineados con la misión de seguridad. Sin embargo, la aceptación en las diferentes
áreas del negocio puede ser problemática cuando la organización no está completamente
alineada con la seguridad.
XII.T3 Los recursos son ajustados y la falta de inversión es común. La inversión se limita a
los esfuerzos de cumplimiento.
XII.T4 La seguridad se administra como un centro de costos y no se proporcionan los

recursos adecuados. El aparato de seguridad a menudo se paga con el aporte de las áreas
del negocio directamente.
XIII.T1-T2 La seguridad se trata como gestión de riesgos. La deuda técnica se entiende y se

contabiliza en el paradigma de gestión de riesgos.
XIII.T3 La seguridad se trata como gestión de riesgos. Sin embargo, la deuda técnica no se
XIII.T4 La seguridad se limita a un ejercicio de cumplimiento. La seguridad tiene poco o

ningún control sobre la deuda técnica.
CINCO
CINCO DIFERENCIADORES DE CONTROLES
XIV.T1-T2 Se utiliza en forma proactiva un marco de seguridad cibernética (por ejemplo, el

marco NIST) para impulsar y conducir las directrices de seguridad.
XIV.T3 Se utiliza en forma proactiva un marco de seguridad cibernética (por ejemplo, el

marco NIST) para impulsar la seguridad. El uso del marco no se puede adaptar de forma
creativa al negocio.
VIX.T4 No existe un marco de seguridad cibernética subyacente.

XV.T1-T2 Los principales controles de seguridad incluyen la gestión de identidades y accesos

(Identity and Access Management - IAM), uso de criptografía y registros (logs) y análisis.
XV.T3 Los controles de seguridad principales, incluido el IAM, el uso de criptografía y los
registros, aún están rezagados. Los proyectos para mejorar están en marcha.
XV.T4 Los mejores controles de seguridad están en un estado de flujo en el mejor de los
casos. IAM puede ignorarse por completo, el uso de la criptografía es fortuito y los registros
son débiles.
XVI.T1 La organización de seguridad ha movido el ejercicio de administración de

vulnerabilidades mucho más allá de penetrar y parchear y está impulsado por el riesgo.

vulnerabilidades más allá de penetrar y parchear, pero está impulsada por amenazas en
lugar de riesgos.
XVI.T3 La gestión de la vulnerabilidad está retrasada en la curva, pero hay planes para
solucionar el problema. La inteligencia de amenazas y otros ejercicios similares están
limitados a lo que se compra sin personalización.
XVI.T4 La gestión de parches es la cola que mueve al perro de la gestión de debilidades. Los
principios básicos de seguridad de la red pueden no estar implementados (por ejemplo, los
de segmentación de la red).
XVII. Alineamiento de la seguridad con el negocio
XVII.T1 Las líneas de negocio están alineadas con las solicitudes de seguridad y hacen lo
correcto. Esto sucede a pesar de que las solicitudes pueden no ser de mayor interés en el a
corto plazo, porque están alineadas con la misión de seguridad y la misión de seguridad está
alineada con ellas.
XVII.T2 La seguridad proporciona a las líneas de negocio un conjunto de servicios que

pueden no estar en todos los casos, alineados con la organización. Debido a esto, la
aceptación en las líneas de negocio puede variar.
XVII.T3 Se está utilizando una crisis de seguridad pasada como palanca para forzar la
seguridad en las líneas de negocio.
XVII.T4 La seguridad se proporciona como un servicio a las líneas de negocio, que pueden
optar por ignorar por completo los servicios. La seguridad aconseja pero probablemente no
se puede hacer cumplir.
XVIII. Medición de SSI
XVIII.T1-T2-T3 El BSIMM se usa para medir el progreso de la seguridad del software.
XVIII.T4 Es inexistente o incipiente cualquier iniciativa de seguridad de software.
Los 18 diferenciadores y sus sub- entradas se reproducen en forma de tabla como Apéndice A.
Piense en los diferenciadores como vectores que definen un espacio. Para pasar de una forma (o
tribu) a otra, se requieren cambios en el conjunto asociado de diferenciadores (y se pueden observar
y medir). Por lo tanto, conocer a los diferenciadores (y su tribu) es el primer paso para avanzar.
Las cuatro tribus
De nuestro análisis de los datos surgen cuatro grupos de organismos con similitudes, que llamamos
tribus. Describimos los cuatro grupos a continuación. Usamos los 18 diferenciadores como un
aspecto crítico de la identificación de cada tribu.
TRIBU 1: SEGURIDAD COMO FACILITADOR

La tribu del Facilitador tiene varias características destacadas. Las organizaciones en esta tribu han
evolucionado hace mucho tiempo, de la misión de seguridad del cumplimiento hacia la la misión de
seguridad del compromiso. Esto significa que la cultura de la organización prioriza la seguridad y
logra el cumplimiento como un efecto secundario planificado. Incluso la Dirección de la organización
ha superado el cumplimiento y utiliza un enfoque de gestión de riesgos para proporcionar
supervisión. La seguridad no es solo un problema técnico, y el enfoque centrado en el negocio hace
que líneas del negocio participen en la misión de seguridad. El balance del personal entre tecnólogos
y ejecutivos se construye cuidadosamente. Hablando de ejecutivos, independientemente de si los
CISO en la tribu de Facilitadores tienen un profundo pasado técnico, hoy se parecen a sus pares
ejecutivos seniors desde el punto de vista comercial. Al igual que los buenos ejecutivos seniors, los
CISO de esta tribu se anticipan proactivamente al problema, tanto interna como externamente, al
influenciar intencionalmente los estándares por los cuales serán juzgados.
Diferenciadores de Recursos Humanos


IV.T1 El CISO ha movido a la organización del cumplimiento al compromiso.
V.T1 Refleja el enfoque empresarial del negocio y no solo está impulsada por la tecnología.
En el caso de las organizacións globales, la geografía a menudo juega un papel en la
estructura de la organización.

continuidad y una tutoría ejecutiva directa. El contenido de los informes directos del CISO a
menudo no son técnicos.
VII.T1 El desarrollo de los empleados en seguridad está alineado con el negocio e incluye el
liderazgo que determina la escuela y directrices (al igual que las oportunidades que se
encuentran fuera de la seguridad).
VIII.T1-T2 La cultura de la organización se alinea con la seguridad y está en parte definida

por la seguridad.
Diferenciadores de gobierno
X.T1 La seguridad se ha integrado al negocio habitual. No se requiere crisis. Forma parte del
negocio
XI.T1-T2-T3 Una Oficina de administración de programas (PMO) impulsa el avance de los

proyectos.
XII.T1 El presupuesto nunca es un problema, porque la Dirección y los altos ejecutivos están
alineados con la misión de la seguridad. La financiación dentro de la misión de seguridad

Diferenciadores de control


vulnerabilidades mucho más allá de penetrar y parchear y está impulsado por el riesgo.
XVII.T1 Las líneas de negocio están alineadas con las solicitudes de seguridad y hacen lo
correcto. Esto sucede a pesar de que las solicitudes pueden no ser de mayor interés en el a
corto plazo, porque están alineadas con la misión de seguridad y la misión de seguridad está
alineada con ellas.
De las 25 organizaciones relevadas en nuestro conjunto de datos , 5 se pueden categorizar en Tribu

1.
TRIBU 2: SEGURIDAD COMO TECNOLOGÍA
Una característica destacada de la tribu de Tecnología es un enfoque de seguridad no limitado por el

cumplimiento. Debido a que los CISO en el grupo de Tecnología comenzaron sus carreras como alfa
geeks – macho Alfa del mundo tecnológico- , su visión del mundo tiende a exagerar los aspectos
técnicos de los desafíos de seguridad. Primero traen como punta de lanza la tecnológia para brindar
solución a todos los problemas de seguridad. Aparte de eso, un CISO de tecnología se propone ser
una buen profesional del negocio, pero no ha alcanzado el peso del ejecutivo senior de la tribu de
Facilitadores. Aprender los hilos del negocio por las malas (es decir, a través de la prueba y error
como experiencia en crudo) es un desafío continuo. Debido a que a los tecnólogos les gusta resolver
problemas difíciles, una trampa común para los CISO tecnológicos es asumir los desafíos
comerciales más duros. Una falta de conocimiento organizacional lleva a lo que llamamos el
"síndrome de Superman", en el cual el CISO de Tecnología a menudo se deja arrastrar por un
problema particular en lugar de delegar, por ejemplo, tratar de descubrir y resolver amenazas a las 5
a.m. y creer que aportar un poco de ingresos a la organización es el mejor uso del tiempo.

IV.T2 El CISO ha cambiado el concepto de cumplimiento como único objetivo que existía en
el pasado, pero queda trabajo por hacer para integrar la seguridad en el negocio.

puede no reflejar el enfoque empresarial del negocio, pero la falta de personal no es un
problema.

continuidad y una tutoría ejecutiva directa. Sin embargo, el avance profesional tiende a
exagerar la destreza de la seguridad técnica a pesar de que hay algunos esfuerzos directos
para focalizar la seguridad sobre el negocio.
VII.T2 El desarrollo de los empleados en seguridad no está claramente alineado con el

negocio y tiende a poner demasiado énfasis en los aspectos técnicos.
VIII.T1-T2 La cultura de la organización se alinea con la seguridad y está en parte definida por
la seguridad.
X.T2 La seguridad aún no es parte del negocio habitual, aunque puede haber un plan y una
unidad de propósito. Una crisis puede haber sido el catalizador para renovar el esfuerzo de

proyectos.
XII.T2 El presupuesto no es realmente un problema, porque la Dirección y los altos ejecutivos

están alineados con la misión de seguridad. Sin embargo, la aceptación en las diferentes
áreas del negocio puede ser problemática cuando la organización no está completamente
alineada con la seguridad.


vulnerabilidades más allá de penetrar y parchear, pero está impulsada por amenazas en
lugar de riesgos.
XVII.T2 La seguridad proporciona a las líneas de negocio un conjunto de servicios que

pueden no estar en todos los casos, alineados con la organización. Debido a esto, la
De las 25 organizaciones relevadas en nuestro conjunto de datos, 8 se pueden categorizar en Tribe 2.
TRIBU 3: SEGURIDAD COMO CUMPLIMIENTO
El cumplimiento es tanto una bendición como una pesadilla para la seguridad. La tribu de
cumplimiento intencionalmente aprovecha los requisitos de cumplimiento para hacer un progreso de
seguridad real. Pero el cumplimiento solo nunca ha mantenido fuera a un delincuente. Eso significa
que el cumplimiento es a la vez un estándar mínimo que debe alcanzarse y un obstáculo que algunas
organizaciones están luchando por superar. En muchos casos, el liderazgo de seguridad anterior fue
reemplazado al mismo tiempo que se impuso un régimen de cumplimiento desde el exterior
(posiblemente como consecuencia de una crisis). La falta de inversión histórica en seguridad, que
puede haber alcanzado proporciones de crisis, lleva a estas organizaciones a seguir invirtiendo poco
en seguridad incluso frente a los requisitos de cumplimiento. Eso es porque el gasto de
cumplimiento de hoy es, en muchos casos mayor al gasto existente antes de la crisis. En pocas
palabras, estaban gastando una moneda de diez centavos en lugar de un dólar en el pasado y ahora
se sienten optimistas al gastar un cuarto cuando aún se necesita un dólar. Los CISO en la tribu de
cumplimiento no suelen ser tecnólogos profundos, pero al mismo tiempo tienden a tener habilidades
directivas y de liderazgo sólidas. Esto puede llevar a una situación en la que se asignan recursos
limitados y se logra un progreso claro, incluso mientras se acumula la deuda técnica.

II.T3 El CISO disfruta de interacción directa con el CEO. La interacción con la Dirección
probablemente incluye asistencia pero no capacitación directa sobre seguridad.
III.T3 El CISO no facilita una comprensión del mensaje de seguridad en toda su magnitud.
Aunque la Dirección puede entender que el cumplimiento por sí solo es insuficiente, los
objetivos de seguridad se mantienen difusos.
IV.T3 La firma ha elaborado o está trabajando activamente en los requisitos de cumplimiento

y ha identificado otros objetivos asociados a un conjunto de medidas de seguridad, pero no

puede no reflejar el enfoque comercial de la organización. Además, la falta de personal puede
ser un problema.
VI.T3 La trayectoria en seguridad es turbia y probablemente no sea técnica, aunque las

responsabilidades sean técnicas.
VII.T3 El desarrollo del empleado en seguridad está alineado con el negocio.
VIII.T3 La cultura de la organización está comenzando a alinearse con la seguridad en los

niveles ejecutivos superiores. Sin embargo, la visión armonizada aún no se ha definido, a
X.T3 La seguridad aún no es un factor habitual en el negocio y es posible que no se tengan

en cuenta por completo los requisitos de cumplimiento. Una crisis puede haber causado un
cambio en el liderazgo de seguridad, pero aún no se ve con claridad el camino a seguir.

proyectos.
XII.T3 Los recursos son ajustados y la falta de inversión es común. La inversión se limita a
los esfuerzos de cumplimiento.
XIII.T3 La seguridad se trata como gestión de riesgos. Sin embargo, la deuda técnica no se
XIV.T3 Se utiliza en forma proactiva un marco de seguridad cibernética (por ejemplo, el
marco NIST) para impulsar la seguridad. El uso del marco no se puede adaptar de forma
XV.T3 Los controles de seguridad principales, incluido el IAM, el uso de criptografía y los
registros, aún están rezagados. Los proyectos para mejorar están en marcha.
XVI.T3 La gestión de la vulnerabilidad está retrasada en la curva, pero hay planes para
solucionar el problema. La inteligencia de amenazas y otros ejercicios similares están
limitados a lo que se compra sin personalización.
seguridad en las líneas de negocio.
TRIBU 4: SEGURIDAD COMO CENTO DE COSTOS
La tribu del Centro de Costos está abrumada y con pocos recursos. En la mayoría de los casos, el liderazgo de
seguridad existe bajo varios niveles de liderazgo ejecutivo (y algunas veces incluso de mandos medios) que
tratan la seguridad como un centro de costos. La seguridad consume presupuesto, pero nunca impulsa la
creación de presupuesto y, en cierto sentido, tiene un techo de cristal grueso impuesto. Sin un asiento real en
la mesa de la Dirección, la seguridad queda relegada al plano de solución de problemas, al igual que la mesa
de ayuda.
tecnología.
II.T4 El líder de seguridad carece de una relación de colaboración con el CEO o la Dirección.
Si bien ambos pueden conocer de vista al líder de seguridad, el mensaje de seguridad pasa a
través de otras capas de la alta gerencia antes de llegar a la cúpula.
III.T4 La Dirección tiene una comprensión limitada de la ciberseguridad, no está siendo

capacitada y su visión puede estar impulsada por los medios. En muchos casos, está al
tanto de la actividad de seguridad sin ninguna conexión con el riesgo real para la
organización.
IV.T4 El programa de seguridad se limita al cumplimiento y tiene una gran limitación de
V.T4 La organización de seguridad no cuenta con personal suficiente para lograr el

cumplimiento.
VI.T4 El trabajo de seguridad es de naturaleza táctica, a menudo solo es técnico y no se

alinea con la progresión necesaria de la carrera.
VII.T4 Si bien hay promociones y cambios de título, el ámbito de la seguridad se limita a las
malas hierbas técnicas. Sin una comprensión bidireccional de y por el negocio, los objetivos
del personal de seguridad están limitados al ahora y no ayudan a prepararlos a ellos, ni a la
organización para el futuro.
VIII.T4 La cultura de la organización no favorece la seguridad. El cumplimiento es el único

incentivo.
IX.T4 Las medidas tienden a ser conteos de esfuerzo. Hay poca o ninguna evidencia de que
se transformen los datos brutos en KPI / KRI importantes para el negocio.
X.T4 El presupuesto puede incluir una cantidad de fondos para una crisis anticipada (una
permitida por año).
XI.T4 No existe una PMO para la administración de proyectos, que en cambio es manejada
directamente por el personal.
XII.T4 La seguridad se administra como un centro de costos y no se proporcionan los

recursos adecuados. El aparato de seguridad a menudo se paga con el aporte de las áreas
del negocio directamente.
XIII.T4 La seguridad se limita a un ejercicio de cumplimiento. La seguridad tiene poco o

ningún control sobre la deuda técnica.
XV.T4 Los mejores controles de seguridad están en un estado de flujo en el mejor de los
casos. IAM puede ignorarse por completo, el uso de la criptografía es fortuito y los registros
son débiles.
XVI.T4 La gestión de parches es la cola que mueve al perro de la gestión de debilidades. Los
principios básicos de seguridad de la red pueden no estar implementados (por ejemplo, los
XVII.T4 La seguridad se proporciona como un servicio a las líneas de negocio, que pueden
optar por ignorar por completo los servicios. La seguridad aconseja pero probablemente no
se puede hacer cumplir.
XVIII.T4 Es inexistente o incipiente cualquier iniciativa de seguridad de software.
Sobre las tribus y su evolución
Aunque para este trabajo categorizamos a cada CISO con sus individualidades en una tribu
determinada, los límites entre las tribus no son tan precisos. Los diferenciadores de un CISO pueden
extenderse a través de múltiples tribus, aunque en cada caso observado al evaluar el conjunto de
diferenciadores asociados al CISO, se lo ubica claramente a una tribu en particular.
La distancia conceptual entre las tribus varía. La Tribus 1 y la Tribu 2 comparten muchas
características y son conceptualmente similares, como lo demuestra la superposición de
diferenciadores. Hemos observado que los CISO en ambas Tribus pueden ser muy efectivos en sus
respectivas organizaciones.
Los diferenciadores asociados con Tribu 3 tienen poca superposición con los diferenciadores de las
Tribus 1 y 2. Desde nuestro punto de vista, las Tribus 1 y 2 están mucho más cerca conceptualmente
entre ellas que la Tribu 3 de ambas. Hemos observado en muchos casos que el enfoque
organizacional en relación al cumplimiento se convierte en un hábito difícil de superar. Es posible que
no haya voluntad de avanzar más allá del cumplimiento incluso después de que se haya alcanzado la
meta. El objetivo se convierte en el límite.
Los diferenciadores de la tribu 4 son un grupo único. No hay superposición con los diferenciadores
de las Tribus 1, 2 o 3. Conceptualmente, la Tribu 4 está muy lejos, más lejos de la Tribu 3 que la Tribu
3 de las Tribus 1 y 2. Tememos que la Tribu 4 sea de una gran magnitud, lo que significaría que hay
mucho para la mejorar en el terreno de la seguridad en todo el mundo.
Moverse entre tribus es ciertamente posible. Pasar de la Tribu 4 a la Tribu 3 puede requerir una crisis,
sobre esto vemos muchas evidencias en nuestros datos. Afortunadamente, no todas las
organizaciones tienen que comenzar en la Tribu 4. Por otro lado, el cumplimiento es un tema común
en todos programas de seguridad en las Tribus 1, 2 y 3. La pregunta es si el cumplimiento es un
techo de cristal de seguridad. Pasar de la Tribu 3 a la Tribu 1 o 2 puede ser posible, pero requiere
realizar un trabajo arduo. En las Tribus 1 y 2, el cumplimiento es un efecto colateral de la seguridad.
Las tribus 1 y 2 son las mejores situaciones en las que puede encontrarse un CISO. Aunque estas
dos tribus son muy similares en apariencia, pasar de la Tribu 2 a la Tribu 1 requiere ganar un lugar en
la mesa de la dirección ejecutiva senior.
Usar los diferenciadores para mejorar
Primero, una advertencia: cambiarse de tribu puede ser una propuesta no trivial que requiere no solo
un cambio importante en la filosofía de la organización, sino también un enfoque del liderazgo
claramente diferente. Evolucionar de una tribu a otra, no siempre puede ser posible.
Dicho esto, cada uno de nuestros 18 diferenciadores y sus sub-entradas se pueden utilizar como una
hoja de ruta para pasar de una tribu a otra. Considere el diferenciador reproducido a continuación:
I. Postura ejecutiva del CISO

tecnología.
Un CISO de la Tribu 4 puede iniciarse en la Tribu 2 ascendiendo en el escalafón de jerarquía ejecutiva.

Para ello, se requerirá un ejercicio explícito en el desarrollo del liderazgo. De hecho, un CISO de la
Tribu 2 aún puede tener trabajo por hacer para pasar a la Tribu 1, desde una perspectiva de
estrategia empresarial.
Cada uno de los diferenciadores ayuda a definir un detalle de posibles mejoras e instancias de
evolución de la tribu.
Ocho observaciones más
Ocho observaciones que hemos advertido en los datos son dignas de mención y están asociadas al
estado de la seguridad.
Gerencia intermedia
Muchas organizaciones de seguridad sufren de una falta de mandos medios. Por cierto, esto
también se observa comúnmente en otros campos técnicos. El liderazgo ejecutivo senior a menudo
es fuerte y está presente, al igual que los grupos de tecnólogos calificados. Lo que falta es la
integración entre ellos. Para que el liderazgo crezca y se fortalezca, debe haber un camino de
integración profesional claramente definido, desde las niveles de áreas técnicas hasta los niveles
directivos más altos. Por otra parte, la ejecución se ve obstaculizada por la falta de mandos medios.
Hay mucho que aprender de los CISO que se enfocan en la planificación de sus posibles sucesores y
en la rotación de puestos de trabajo.
Dueño del riesgo

No es trivial “cruzar el Rubicon”, pasando de hacerse cargo de la propiedad de todos los riesgos en
una organización, a identificarlos, distribuirlos y administrarlos entre todos los ejecutivos
responsables. Demasiados CISO se hacen cargo de todo el riesgo. No es bueno para la organización
que todos los riesgos recaigan únicamente sobre el CISO, exponiendo constantemente su gestión.
Los CISO deben estar en el negocio de la gestión de riesgos, no en el acaparamiento de riesgos.
Programas
La seguridad no es solo un conjunto de proyectos. La visión estratégica alineada con el negocio es
fácil de esbozar en papel, pero sigue siendo un verdadero desafío. No alcanza con una visión
estratégica limitada al cumplimiento, es necesaria una visión con un horizonte amplio alineado con
los objetivos de la organización.
Talento
No hay suficientes recursos humanos de seguridad. Adquirir, desarrollar y retener una estructura de
seguridad bien aceitada requiere prestar atención al personal involucrado. Incluso los mejores CISO
del mundo tienen un problema de talento e invierten importantes recursos en formar a su personal. El
desarrollo del liderazgo es tan importante como la compensación económica cuando se trata de
retener a personal talentoso. Los CISO inteligentes pueden matar a dos pájaros de un tiro,
haciéndose cargo de las brechas en los mandos medios y generar el contexto necesario para
producir ejecutivos de seguridad altamente calificados comprometidos con la organización.
Escalabilidad
Es poco probable que un enfoque que funcione para un equipo de 10 personas escale a un ejército
de 10,000. Los mejores CISO piensan en la escalabilidad desde el primer día, tanto en el área de
desarrollo y como en la de operaciones. Los procesos de seguridad deben evolucionar al mismo
ritmo que el negocio, de no ser así los riesgos pueden quedar atrás, sin gestión.
Fraude
La mayoría de los CISO no realizan un control sobre el fraude. Entre los 25 CISO que observamos,
solo 2 de ellos tenían algo que ver con el control de fraude. En pocas palabras, el fraude está más allá
del alcance de la estructura de seguridad, incluso cuando hay un enfoque activo de control de fraude
en la organización.
SOC
Casi todos los CISO en nuestro estudio tienen un centro de operaciones de seguridad (SOC - Security
Operations Center). Aunque la tendencia parece ser que muchas de las tareas del SOC se
subcontratan con terceros, muchas organizaciones están realizando este trabajo internamente con
recursos propios. Algunas veces, las tareas de SOC se dividen entre proveedores externos y
personal interno. Incluso dentro de la tribu de los Facilitadores, las formas de implementar el SOC,
con diferentes en cada organización.
Control de proveedores
Ninguna organización, sin importar en qué tribu esté, ha resuelto el problema del control del
proveedores. Curiosamente, el control de proveedores está presente en la agenda de todos.
Ahora qué?
Hemos aprendido mucho sobre los CISO y esperamos que Uds. lo hayan hecho también. En todos
los lugares en los hemos estado hasta ahora, hemos visto un gran interés en lo que realmente hacen
los CISO, por qué lo hacen y cómo pueden hacerlo mejor. Ocasionalmente, grupos de CISO de ideas
afines se reúnen, especialmente si todos tienen la misma orientación o cercanía en su ubicación.
Esta es una tendencia alentadora que apoyamos. En el mejor de los mundos posibles, el modelo que
describimos puede proporcionar no solo un vocabulario común sino también, una base para una
mayor discusión y profesionalización.
Por favor, comparta este trabajo con todos los CISO que conoce. Si usted es un CISO y desea
participar en nuestro proyecto científico, póngase en contacto con nosotros. Todos son bienvenidos.
Anexo A
A continuación se presenta la tabla correspondiente a los diferenciadores
• T1 - Tribu 1: Seguridad como Facilitador
• T2 - Tribu 2: Seguridad como Tecnología
• T3 - Tribu 3: seguridad como Cumplimiento
• T4 - Tribu 4: seguridad como Centro de Costos
T1 T2 T3 T4 Código Diferenciador
RECURSOS HUMANOS
Postura ejecutiva del CISO
I.T1 El CISO es un alto ejecutivo experimentado. Aunque a

menudo tiene un importante pasado técnico, el CISO se
centra mucho más en el negocio y menos en la tecnología.
I.T2 El CISO tiene un importante pasado técnico y en muchos
casos, aún se lo reconoce principalmente por su trabajo
técnico. El CISO tiene sólidas habilidades comerciales, que
aún pueden encontrarse en desarrollo.
I.T3 El CISO es un alto ejecutivo experimentado sin un
importante pasado técnico. A menudo es un excelente
administrador.
I.T4 El líder de seguridad, cuyo título probablemente no es CISO
pero que se encuentra en la cima de la problemática de
seguridad, es una persona proveniente del campo de la
tecnología.
Relaciones CISO y Dirección
El CISO disfruta de interacción directa e influencia tanto al

II.T1-T2 CEO como a la Dirección.
II.T3 El CISO disfruta de interacción directa con el CEO. La

interacción con la Dirección probablemente incluye
asistencia pero no capacitación directa sobre seguridad.
II.T4 El líder de seguridad carece de una relación de colaboración

con el CEO o la Dirección. Si bien ambos pueden conocer de
vista al líder de seguridad, el mensaje de seguridad pasa a
través de otras capas de la alta gerencia antes de llegar a la
cúpula.
El CISO y la comunicación del mensaje de seguridad
El CISO facilita la comprensión del mensaje de seguridad a la

III.T1-T2 Dirección, que ya no se trata de una visión solo de
cumplimiento.
III.T3 El CISO no facilita una comprensión del mensaje de

seguridad en toda su magnitud. Aunque la Dirección puede
entender que el cumplimiento por sí solo es insuficiente, los
objetivos de seguridad se mantienen difusos..
III.T4 La Dirección tiene una comprensión limitada de la

ciberseguridad, no está siendo capacitada y su visión puede
estar impulsada por los medios. En muchos casos, está al
tanto de la actividad de seguridad sin ninguna conexión con
el riesgo real para la organización.
El CISO ha movido a la organización del cumplimiento al

IV.T1 compromiso.
El CISO ha cambiado el concepto de cumplimiento como

IV.T2 único objetivo que existía en el pasado, pero queda trabajo
por hacer para integrar la seguridad en el negocio.
IV.T3 La firma ha elaborado o está trabajando activamente en los

requisitos de cumplimiento y ha identificado otros objetivos
asociados a un conjunto de medidas de seguridad, pero no
IV.T4 El programa de seguridad se limita al cumplimiento y tiene

una gran limitación de recursos.
Refleja el enfoque empresarial del negocio y no solo está

V.T1 impulsada por la tecnología. En el caso de las
organizaciones globales, la geografía a menudo juega un
papel en la estructura de la organización.
La estructura de la organización de seguridad se basa en
V.T2 objetivos y metas técnicas y puede no reflejar el enfoque
empresarial del negocio, pero la falta de personal no es un
problema.
V.T3 La estructura de la organización de seguridad se basa en

objetivos y metas técnicas y puede no reflejar el enfoque
comercial de la organización. Además, la falta de personal
puede ser un problema.
V.T4 La organización de seguridad no cuenta con personal

suficiente para lograr el cumplimiento
La trayectoria profesional en seguridad está bien definida e

VI.T1 incluye la planificación de la continuidad y una tutoría
ejecutiva directa. El contenido de los informes directos del
CISO a menudo no son técnicos.
VI.T2 La trayectoria profesional en seguridad está bien definida e

incluye la planificación de la continuidad y una tutoría
ejecutiva directa. Sin embargo, el avance profesional tiende
a exagerar la destreza de la seguridad técnica a pesar de
que hay algunos esfuerzos directos para focalizar la
seguridad sobre el negocio.
VI.T3 La trayectoria en seguridad es turbia y probablemente no
sea técnica, aunque las responsabilidades sean técnicas.
VI.T4 El trabajo de seguridad es de naturaleza táctica, a menudo

solo es técnico y no se alinea con la progresión necesaria
de la carrera.
VII. Alineamiento de seguridad con el negocio
El desarrollo de los empleados en seguridad está alineado

VII.T1 con el negocio e incluye el liderazgo que determina la
escuela y directrices (al igual que las oportunidades que se
encuentran fuera de la seguridad).
VII.T2 El desarrollo de los empleados en seguridad no está
claramente alineado con el negocio y tiende a poner
demasiado énfasis en los aspectos técnicos.
VII.T3 El desarrollo del empleado en seguridad está alineado con
el negocio.
VII.T4 Si bien hay promociones y cambios de título, el ámbito de

la seguridad se limita a las malas hierbas técnicas. Sin una
comprensión bidireccional de y por el negocio, los objetivos
del personal de seguridad están limitados al ahora y no
ayudan a prepararlos a ellos, ni a la organización para el
futuro.
La cultura de la organización se alinea con la seguridad y

VIII.T1-T2 está en parte definida por la seguridad.
VIII.T3 La cultura de la organización está comenzando a alinearse

con la seguridad en los niveles ejecutivos superiores. Sin
embargo, la visión armonizada aún no se ha definido, a
VIII.T4 La cultura de la organización no favorece la seguridad. El
cumplimiento es el único incentivo.
GOBIERNO
IX. KPI, KRI y métricas
IX.T1-T2-T3 Junto con los informes directos, el CISO determina qué

Indicadores de KPI y KRI recopilar, rastrear e informar.
IX.T4 Las medidas tienden a ser conteos de esfuerzo. Hay poca

o ninguna evidencia de que se transformen los datos
brutos en KPI / KRI importantes para el negocio
La seguridad se ha integrado al negocio habitual. No se

X.T1 requiere crisis. Forma parte del negocio.
X.T2 La seguridad aún no es parte del negocio habitual, aunque

puede haber un plan y una unidad de propósito. Una crisis
puede haber sido el catalizador para renovar el esfuerzo de
X.T3 La seguridad aún no es un factor habitual en el negocio y
es posible que no se tengan en cuenta por completo los
requisitos de cumplimiento. Una crisis puede haber
causado un cambio en el liderazgo de seguridad, pero aún
no se ve con claridad el camino a seguir.
X.T4 El presupuesto puede incluir una cantidad de fondos para
una crisis anticipada (una permitida por año).
XI.T1-T2- Una Oficina de administración de programas (PMO) impulsa

T3 el avance de los proyectos.
XI.T4 No existe una PMO para la administración de proyectos, que

en cambio es manejada directamente por el personal
XII. Presupuesto
El presupuesto nunca es un problema, porque la Dirección y

XII.T1 los altos ejecutivos están alineados con la misión de la
seguridad. La financiación dentro de la misión de seguridad
El presupuesto no es realmente un problema, porque la

XII.T2 Dirección y los altos ejecutivos están alineados con la misión
de seguridad. Sin embargo, la aceptación en las diferentes
áreas del negocio puede ser problemática cuando la
organización no está completamente alineada con la
seguridad.
XII.T3 Los recursos son ajustados y la falta de inversión es común.
La inversión se limita a los esfuerzos de cumplimiento.
XII.T4 La seguridad se administra como un centro de costos y no

se proporcionan los recursos adecuados. El aparato de
seguridad a menudo se paga con el aporte de las áreas del
negocio directamente.
La seguridad se trata como gestión de riesgos. La deuda

XIII.T1-T2 técnica se entiende y se contabiliza en el paradigma de
gestión de riesgos.
XIII.T3 La seguridad se trata como gestión de riesgos. Sin embargo,
la deuda técnica no se contabiliza en el paradigma de
gestión de riesgos.
XIII.T4 La seguridad se limita a un ejercicio de cumplimiento. La
seguridad tiene poco o ningún control sobre la deuda
técnica.
.
CONTROLES
XIV.T1-T2 Se utiliza en forma proactiva un marco de seguridad

cibernética (por ejemplo, el marco NIST) para impulsar y
conducir las directrices de seguridad.
XIV.T3 Se utiliza en forma proactiva un marco de seguridad
cibernética (por ejemplo, el marco NIST) para impulsar la
seguridad. El uso del marco no se puede adaptar de forma
Los principales controles de seguridad incluyen la gestión

XV.T1-T2 de identidades y accesos (Identity and Access
Management - IAM), uso de criptografía y registros (logs) y
análisis.
XV.T3 Los controles de seguridad principales, incluido el IAM, el

uso de criptografía y los registros, aún están rezagados.
Los proyectos para mejorar están en marcha.
XV.T4 Los mejores controles de seguridad están en un estado de

flujo en el mejor de los casos. IAM puede ignorarse por
completo, el uso de la criptografía es fortuito y los registros
son débiles.
La organización de seguridad ha movido el ejercicio de

XVI.T1 administración de vulnerabilidades mucho más allá de
penetrar y parchear y está impulsado por el riesgo.
XVI.T2 La organización de seguridad ha movido el ejercicio de

administración de vulnerabilidades más allá de penetrar y
parchear, pero está impulsada por amenazas en lugar de
riesgos.
XVI.T3 La gestión de la vulnerabilidad está retrasada en la curva,

pero hay planes para solucionar el problema. La inteligencia
de amenazas y otros ejercicios similares están limitados a lo
que se compra sin personalización.
XVI.T4 La gestión de parches es la cola que mueve al perro de la

gestión de debilidades. Los principios básicos de seguridad
de la red pueden no estar implementados (por ejemplo, los
XVII. Alineamiento con líneas del negocio
Las líneas de negocio están alineadas con las solicitudes de

XVII.T1 seguridad y hacen lo correcto. Esto sucede a pesar de que
las solicitudes pueden no ser de mayor interés en el a corto
plazo, porque están alineadas con la misión de seguridad y
la misión de seguridad está alineada con ellas..
XVII.T2 La seguridad proporciona a las líneas de negocio un
conjunto de servicios que pueden no estar en todos los
casos, alineados con la organización. Debido a esto, la
XVII.T3 Se está utilizando una crisis de seguridad pasada como

palanca para forzar la seguridad en las líneas de negocio.
XVII.T4 La seguridad se proporciona como un servicio a las líneas de

negocio, que pueden optar por ignorar por completo los
servicios. La seguridad aconseja pero probablemente no se
puede hacer cumplir.
XVIII. Medición de SSI
El BSIMM se usa para medir el progreso de la seguridad del

XVIII.T1- software.
T2-T3
XVIII.T4 Es inexistente o incipiente cualquier iniciativa de seguridad
de software.
TRIBU 3: SEGURIDAD COMO CENTO DE COSTOS
La diferencia de Synopsys
Synopsys ofrece la solución más completa para crear integridad, seguridad y calidad en su SDLC y en
la cadena de suministro. Hemos unido tecnologías de prueba líderes, análisis automatizados y
expertos para crear una sólida cartera de productos y servicios. Esta cartera permite a las
organizaciones desarrollar programas personalizados para detectar y remediar defectos y
vulnerabilidades al principio del proceso de desarrollo, minimizando los riesgos y maximizando la
productividad. Synopsys, es un líder reconocido en pruebas de seguridad de aplicaciones, se
encuentra en una posición única para adaptar y aplicar las mejores prácticas a las nuevas
tecnologías y tendencias tales como IoT, DevOps, CI/CD y la nube. No terminamos cuando la prueba
termina. Ofrecemos asistencia de incorporación e implementación, orientación de remediación
específica y una variedad de soluciones de capacitación que lo entrenan para optimizar su inversión.
Ya sea que recién esté comenzando o ya se encuentre en camino, nuestra plataforma le ayudará a
garantizar la integridad de las aplicaciones que impulsan su negocio.
Para más información dirigirse a www.synopsys.com/software.
185 Berry Street, Suite 6500

San Francisco, CA 94107 USA
U.S. Sales: 800.873.8193
International Sales: +1 415.321.5237
Email: sig-info@synopsys.com

CISO Report+Tribus

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

CISO Report+Tribus

Cargado por

Copyright:

Formatos disponibles

Cuatro tribus de CISO

Sara Bursztein - Patricia Prandini

Posgrado Seguridad Informática - UBA

Con autorización de Gary McGraw

De lo que no vamos a hablar: el CISO genérico……………………………………………….4

Datos de CISO reales……………………………………………………………………………….5

•Ocho diferenciadores de la fuerza de trabajo……………………..…………7

•Cinco diferenciadores de gobierno…………………………………………….9

•Cinco diferenciadores de controles…………………………………………..10

Las cuatro tribus…………………………………………………………………………………....11

•Tribu 1: la seguridad como Facilitador……………………………………………11

•Tribu 2: la seguridad como tecnología………………………………………..12

•Tribu 3: seguridad como cumplimiento……………………………………….14

•Tribu 4: la seguridad como un centro de costos……………………………15

Usar los diferenciadores para mejorar……………………………………………………….16

Ocho cosas más…………………………………………………………………………………..17

¿Ahora qué?. ……………………………………………………………………………………...18

Aunque terminamos con listas de controles y resmas de información de seguridad técnica en

El dominio de Gobierno cubre el proceso e incluye métricas, frecuencia de informes, presupuestos,

Finalmente, el dominio de Controles cubre la tecnología e incluye marcos de ciberseguridad, gestión

Datos sobre la realidad de los CISO

• Tribu 1: Seguridad como Facilitador

• Tribu 2: Seguridad como Tecnología

• Tribu 3: seguridad como Cumplimiento

• Tribu 4: seguridad como Centro de Costos

I. Postura ejecutiva del CISO

IX. KPI3, KRI4 y métricas

XIV. Marco de seguridad cibernética

Usando estos 18 diferenciadores, describiremos en detalle las cuatro tribus.

OCHO DIFERENCIADORES DE RECURSOS HUMANOS

I. Postura ejecutiva de CISO

I.T1 El CISO es un alto ejecutivo experimentado. Aunque a menudo tiene un importante

II. Relaciones CISO y Dirección

III. El CISO y la comunicación del mensaje de seguridad

III.T1-T2 El CISO facilita la comprensión del mensaje de seguridad a la Dirección, que ya no se

III.T4 La Dirección tiene una comprensión limitada de la ciberseguridad, no está siendo

IV. El CISO y el cumplimiento

IV.T1 El CISO ha movido a la organización del cumplimiento al compromiso.

IV.T3 La firma ha elaborado o está trabajando activamente en los requisitos de cumplimiento

IV.T4 El programa de seguridad se limita al cumplimiento y tiene una gran limitación de

V. Estructura de seguridad en la organización

V.T2 La estructura de la organización de seguridad se basa en objetivos y metas técnicas y

V.T3 La estructura de la organización de seguridad se basa en objetivos y metas técnicas y

V.T4 La organización de seguridad no cuenta con personal suficiente para lograr el

VI. Trayectoria profesional en seguridad

VI.T1 La trayectoria profesional en seguridad está bien definida e incluye la planificación de la

VI.T2 La trayectoria profesional en seguridad está bien definida e incluye la planificación de la

VI.T3 La trayectoria en seguridad es turbia y probablemente no sea técnica, aunque las

VI.T4 El trabajo de seguridad es de naturaleza táctica, a menudo solo es técnico y no se

VIII. Cultura y seguridad de la organización

VIII.T3 La cultura de la organización está comenzando a alinearse con la seguridad en los

VIII.T4 La cultura de la organización no favorece la seguridad. El cumplimiento es el único

CINCO DIFERENCIADORES DE GOBIERNO

IX. KPI, KRI y métricas

X.T3 La seguridad aún no es un factor habitual en el negocio y es posible que no se tengan

XI.T1-T2-T3 Una Oficina de Administración de Programas (PMO) impulsa el avance de los

XII.T2 El presupuesto no es realmente un problema, porque la Dirección y los altos ejecutivos

XII.T4 La seguridad se administra como un centro de costos y no se proporcionan los

XIII. Gestión de riesgos y deuda técnica

XIII.T1-T2 La seguridad se trata como gestión de riesgos. La deuda técnica se entiende y se

XIII.T4 La seguridad se limita a un ejercicio de cumplimiento. La seguridad tiene poco o

XIV. Marco de seguridad cibernética

XIV.T1-T2 Se utiliza en forma proactiva un marco de seguridad cibernética (por ejemplo, el

XIV.T3 Se utiliza en forma proactiva un marco de seguridad cibernética (por ejemplo, el