Documentos de Académico
Documentos de Profesional
Documentos de Cultura
CISO Report+Tribus
CISO Report+Tribus
y dónde encontrarlas
Traducido al Español
por
Introducción………………………………………………………………………………………….3
18 diferenciadores………………………………………………………………………………….5
En tribus y evolución……………………………………………………………………………..16
Apéndice A ………………………………………………………………………………………...19
Este trabajo está bajo la licencia Creative Commons Attribution-Share Alike 4.0.
Para ver una copia de esta licencia, visite http://creativecommons.org/licenses/by-sa/4.0/legalcode o envíe una carta a Creative
Commons, 171 Second Street, Suite 300, San Francisco, California, 94105, EE. UU.
Introducción
Si usted es un CISO, este trabajo es para usted. Resulta que los CISO son seres humanos, y los seres
humanos a veces se preocupan por lo que hacen y por el por qué lo hacen. Se hacen preguntas tales
como ¿cómo me comparo con mis compañeros? ¿Qué es lo que hacen los demás en este rol? ¿Me
estoy perdiendo algo obvio que todos los demás ya saben? ¿Qué puedo hacer para mejorar mi
rendimiento? Estas son solo cuatro de las muchas preguntas que intentamos responder en este
trabajo. Nuestro objetivo general es describir qué hace un CISO todo el día y cómo se organiza y
ejecuta ese trabajo.
Los datos importan, especialmente en seguridad informática. Como científicos, nos gusta recopilar
datos y luego describir los datos que hemos reunido en un modelo coherente. Este es el enfoque que
1
tomamos en el Proyecto BSIMM , y es el mismo enfoque que tomamos en este proyecto.
Recopilamos datos en una serie de entrevistas realizadas en persona a 25 CISO. Las organizaciones
que elegimos estudiar incluyeron a ADP, Aetna, Allergan, Bank of America, Cisco, Citizens Bank, Eli
Lilly, Facebook, Fannie Mae, Goldman Sachs, HSBC, Human Longevity, JPMorgan Chase, LifeLock,
Morningstar, Starbucks y US Bank. En conjunto, nuestra población representa casi 150 años de
experiencia en el rol de CISO.
Aunque sabíamos cuando comenzamos este proyecto que nuestros resultados estarían basados en
datos, no teníamos idea de lo que descubriríamos. Por lo tanto, nos preparamos para un trabajo
duro. Los CISO son todos individuos con modos de operación influenciados por carreras largas y
distinguidas. En 2016, produjimos una versión inicial de este informe basada en el análisis de datos
de 12 CISO. Duplicando el tamaño de la población (25 CISO), la versión actual del informe valida y
refina nuestro modelo.
Identificamos cuatro enfoques distintos para el rol del CISO, cada uno con características únicas y
diferenciadoras. A continuación, describimos las cuatro "tribus", con énfasis en lo que separa unas de
otras (a diferencia de lo que las hace a todas iguales). La división de los CISO en tribus conduce a
una idea sobre el desarrollo profesional y el progreso de su carrera. Creemos que cuando los CISO
comprendan sus propios abordajes profesionales, con referencia a los demás, estarán mejor
informados sobre los caminos a seguir para avanzar.
1
BSIMM - Building Security In Maturity Model – Construyendo Seguridad en Modelos de Madurez – Más
información en https://bsimm.com/ (en inglés)
De lo que no vamos a hablar:
El CISO genérico
Desafortunadamente, la pobre descripción del rol del CISO que se escribe habitualmente es
elaborada por personas que no son CISO, que nunca han sido CISO y que ni siquiera conocen CISO
reales. Esto nos desagrada. Los resultados a menudo se presentan como una lista de lavandería, con
ítems genéricos que se pueden marcar como distintivos de mérito, como si el tamaño de la lista de
controles determinara el mejor CISO. Vamos a evitar el enfoque de la lista de lavandería en este
trabajo.
En el mundo real, dos factores esenciales son más importantes que cualquier otro cuando se trata
del éxito en el rol de CISO: la persona y la organización, es decir, la personalidad y la experiencia del
líder, la cultura, la actitud frente a la seguridad y los recursos de la compañía. La pregunta difícil de
responder es si alguno de estos factores puede variar o evolucionar, en una determinada situación.
¿Puede una cebra cambiar sus rayas si está atrapada en el zoológico?
Antes de comenzar nuestras entrevistas, nuestro enfoque fue diseñar un marco para sustentar las
conversaciones. Por supuesto, en casos como este, el marco debe basarse en datos reales. Como
paso cero entonces, llevamos a cabo una serie de conversaciones telefónicas para obtener una
comprensión básica de los principales temas, palabras clave y otras formas de dividir el espacio
problemático del CISO.
Identificamos tres dominios que todas las organizaciones tenían en común, que son Recursos
Humanos (Workforce), Gobierno (Governance) y Controles (Controls) (o en términos ligeramente
más trillados, Personas, Procesos y Tecnología). Estos tres dominios ayudan a organizar nuestros
resultados en un patrón significativo.
El dominio de los Recursos Humanos cubre las personas e incluye la estructura organizacional, la
2
interacción de la Dirección, los objetivos / OBM y el desarrollo del personal.
2
OBM - Gestión del comportamiento organizacional se asemeja a la gestión de recursos humanos ,es un
análisis de comportamiento aplicado para mejorar el rendimiento individual y grupal y la seguridad del
trabajador
También debatimos sobre con cada uno de nuestros participantes los grupos de pares, la coherencia
de los roles y la evolución del rol del CISO.
Utilizando este marco para CISO de tres dominios, nuestras 25 entrevistas presenciales generaron
una gran cantidad de datos del mundo real.
RECURSOS HUMANOS GOBIERNO CONTROLES
ESTRUCTURA MÉTRICAS MARCO REFERENCIAL
ORGANIZACIONAL
GESTIÒN /DIRECCIÓN PRESUPUESTO GESTIÓN DE
VULNERABILIDADES
PERSONAL PROYECTOS PROVEEDORES
Según los datos que reunimos, identificamos cuatro grupos de CISO, que denominamos las cuatro
tribus. Son:
En nuestro modelo, ser miembro en una tribu es mutuamente excluyente de la membresía en las
otras. Cada uno de los 25 CISO encaja en una de estas cuatro tribus.
Nuestra teoría es que cualquier CISO caerá en una de estas cuatro tribus. Además, saber en qué tribu
se encuentras puede ayudarlo a planificar su evolución y a mejorar de la manera más eficiente.
Describiremos a continuación cada una de las cuatro tribus, pero antes de hacerlo, presentamos un
conjunto de diferenciadores que pueden utilizarse para discriminar a las tribus entre sí.
18 diferenciadores
¿Qué diferencia a nuestras cuatro tribus de CISO? ¿Hay aspectos particulares de las cuatro tribus que
difieren unos de otros de manera sustancial? ¿Pueden organizarse de manera significativa estas
diferencias? La respuesta a estas tres preguntas se puede encontrar en lo que llamamos
diferenciadores.
En pocas palabras, los diferenciadores se pueden usar para categorizar a los CISO en diferentes
tribus. Y como es lógico, los diferenciadores ayudan a aclarar qué hace que una tribu en particular
funcione. Finalmente, se pueden usar para influir sobre la estrategia de manera directa y eficiente.
Para cumplir con nuestro marco CISO, dividimos a los diferenciadores en nuestros tres dominios:
Recursos Humanos, Gobierno y Controles. A cada uno de los 18 elegidos, se le asocia un número en
números romanos (I a XVIII). El dominio de Recursos Humanos abarca ocho diferenciadores (I-VIII);
el de Gobierno, cinco (IX-XIII) y el de Controles, otros cinco (XIV-XVIII).
RECURSOS HUMANOS
GOBIERNO
CONTROLES
Cada uno de los 18 diferenciadores puede tener hasta cuatro sub-entradas que describen cómo se
asigna ese diferenciador en particular a cada tribu. Por ejemplo, el diferenciador I se llama "postura
ejecutiva del CISO". Este diferenciador tiene cuatro sub-entradas, una para cada una de las cuatro
tribus. Cada una de estas sub-entradas está etiquetada con su tribu asociada de la siguiente manera:
T1 = Facilitador, T2 = Tecnología, T3 = Cumplimiento, T4 = Centro de Costos. Por ejemplo, I.T1 es la
3
KPI – Key performance indicator – Indicador clave de rendimiento
4
KRI – Key risk indicator – Indicador clave de riesgo
5
SSI - Software security initiatives . Iniciativas en seguridad del software
sub-inserción del diferenciador I, Tribu 1. Observe a continuación como se presenta nuestro esquema
para que le quede claro.
En algunos casos, un diferenciador no tiene una sub-inserción para cada una de las cuatro tribus. Eso
es porque no hay diferencia entre dos tribus particulares en el caso de ese diferenciador. Por
ejemplo, el diferenciador II, "Relaciones CISO-Dirección" tiene una sub-inserción compartida entre T1
y T2. Cuando no hay cambios en una sub-inserción con respecto a las tribus, se la etiqueta con
todas las tribus relevantes (en algunos casos, hasta tres tribus comparten una misma sub-inserción).
No se puede usar ningún diferenciador individual para categorizar una tribu. Las tribus están
asociadas a conjuntos de diferenciadores. Además, las sub-entradas de los diferenciadores
asociados con las cuatro tribus no siempre tienen límites contiguos. Es decir, pueden no describir
perfectamente cualquier CISO individual. Por ejemplo, las sub-entradas para el diferenciador II
describen solo tres de todos los tipos posibles de relaciones CISO - Dirección.
Ahora lo más importante es comprender cada uno de los 18 diferenciadores que hemos enumerado
anteriormente, sin preocuparse demasiado por las sub-inserciones. Proporcionamos las sub-
inserciones aquí para que pueda consultar esta sección más adelante.
I.T2 El CISO tiene un importante pasado técnico y en muchos casos, aún se lo reconoce
principalmente por su trabajo técnico. El CISO tiene sólidas habilidades comerciales, que aún
pueden encontrarse en desarrollo.
I.T3 El CISO es un alto ejecutivo experimentado sin un importante pasado técnico. A menudo
es un excelente administrador.
I.T4 El líder de seguridad, cuyo título probablemente no es CISO pero que se encuentra en la
cima de la problemática de seguridad, es una persona proveniente del campo de la
tecnología.
II.T1-T2 El CISO disfruta de interacción directa e influencia tanto al CEO como a la Dirección.
II.T3 El CISO disfruta de interacción directa con el CEO. La interacción con la Dirección
probablemente incluye asistencia pero no capacitación directa sobre seguridad.
II.T4 El líder de seguridad carece de una relación de colaboración con el CEO o la Dirección.
Si bien ambos pueden conocer de vista al líder de seguridad, el mensaje de seguridad pasa a
través de otras capas de la alta gerencia antes de llegar a la cúpula.
IV.T2 El CISO ha cambiado el concepto de cumplimiento como único objetivo que existía en
el pasado, pero queda trabajo por hacer para integrar la seguridad en el negocio.
V.T1 Refleja el enfoque empresarial del negocio y no solo está impulsada por la tecnología.
En el caso de las organizaciones globales, la geografía a menudo juega un papel en la
estructura de la organización.
VII.T1 El desarrollo del personal del área de seguridad está alineado con el negocio e incluye
que el nivel de liderazgo termine sus estudios (al igual que las oportunidades que se
encuentran fuera del área de seguridad).
VII.T2 El desarrollo del personaldel área de seguridad no está claramente alineado con el
negocio y tiende a poner demasiado énfasis en los aspectos técnicos.
VII.T3 El desarrollo del personal del área de seguridad está alineado con el negocio.
VII.T4 Si bien hay promociones y cambios de título, el ámbito de la seguridad se limita a las
“malas hierbas” técnicas. Sin una comprensión bidireccional de y por el negocio, los objetivos
del personal del área de seguridad están limitados al ahora y no ayudan a prepararlos a ellos,
ni a la organización para el futuro.
VIII.T1-T2 La cultura de la organización se alinea con la seguridad y está en parte definida por
ella.
IX.T1-T2-T3 Junto con los informes directos, el CISO determina qué Indicadores de KPI y KRI
recopilar, rastrear e informar.
IX.T4 Las medidas tienden a ser conteos de esfuerzos. Hay poca o ninguna evidencia de que
se transformen los datos brutos en KPI / KRI importantes para el negocio.
X. Seguridad y crisis
X.T1 La seguridad se ha integrado al negocio habitual. No se requiere crisis. Forma parte del
negocio
X.T2 La seguridad aún no es parte del negocio habitual, aunque puede haber un plan y una
unidad de propósito. Una crisis puede haber sido el catalizador para renovar el esfuerzo de
seguridad y un cambio en la filosofía.
X.T4 El presupuesto puede incluir una cantidad de fondos para una crisis anticipada (una
permitida por año).
XI. Gestión de proyectos
XI.T4 No existe una PMO para la administración de proyectos, que en cambio es manejada
directamente por el personal.
XII. Presupuesto
XII.T1 El presupuesto nunca es un problema, porque la Dirección y los altos ejecutivos están
alineados con la misión de la seguridad. La financiación dentro de la misión de seguridad
acordada siempre es posible.
XII.T3 Los recursos son ajustados y la falta de inversión es común. La inversión se limita a
los esfuerzos de cumplimiento.
XIII.T3 La seguridad se trata como gestión de riesgos. Sin embargo, la deuda técnica no se
contabiliza en el paradigma de gestión de riesgos.
CINCO
CINCO DIFERENCIADORES DE CONTROLES
XV.T3 Los controles de seguridad principales, incluido el IAM, el uso de criptografía y los
registros, aún están rezagados. Los proyectos para mejorar están en marcha.
XV.T4 Los mejores controles de seguridad están en un estado de flujo en el mejor de los
casos. IAM puede ignorarse por completo, el uso de la criptografía es fortuito y los registros
son débiles.
XVI.T3 La gestión de la vulnerabilidad está retrasada en la curva, pero hay planes para
solucionar el problema. La inteligencia de amenazas y otros ejercicios similares están
limitados a lo que se compra sin personalización.
XVI.T4 La gestión de parches es la cola que mueve al perro de la gestión de debilidades. Los
principios básicos de seguridad de la red pueden no estar implementados (por ejemplo, los
de segmentación de la red).
XVII.T1 Las líneas de negocio están alineadas con las solicitudes de seguridad y hacen lo
correcto. Esto sucede a pesar de que las solicitudes pueden no ser de mayor interés en el a
corto plazo, porque están alineadas con la misión de seguridad y la misión de seguridad está
alineada con ellas.
XVII.T3 Se está utilizando una crisis de seguridad pasada como palanca para forzar la
seguridad en las líneas de negocio.
XVII.T4 La seguridad se proporciona como un servicio a las líneas de negocio, que pueden
optar por ignorar por completo los servicios. La seguridad aconseja pero probablemente no
se puede hacer cumplir.
Los 18 diferenciadores y sus sub- entradas se reproducen en forma de tabla como Apéndice A.
Piense en los diferenciadores como vectores que definen un espacio. Para pasar de una forma (o
tribu) a otra, se requieren cambios en el conjunto asociado de diferenciadores (y se pueden observar
y medir). Por lo tanto, conocer a los diferenciadores (y su tribu) es el primer paso para avanzar.
Las cuatro tribus
De nuestro análisis de los datos surgen cuatro grupos de organismos con similitudes, que llamamos
tribus. Describimos los cuatro grupos a continuación. Usamos los 18 diferenciadores como un
aspecto crítico de la identificación de cada tribu.
II.T1-T2 El CISO disfruta de interacción directa e influencia tanto al CEO como a la Dirección.
V.T1 Refleja el enfoque empresarial del negocio y no solo está impulsada por la tecnología.
En el caso de las organizacións globales, la geografía a menudo juega un papel en la
estructura de la organización.
VII.T1 El desarrollo de los empleados en seguridad está alineado con el negocio e incluye el
liderazgo que determina la escuela y directrices (al igual que las oportunidades que se
encuentran fuera de la seguridad).
X.T1 La seguridad se ha integrado al negocio habitual. No se requiere crisis. Forma parte del
negocio
XII.T1 El presupuesto nunca es un problema, porque la Dirección y los altos ejecutivos están
alineados con la misión de la seguridad. La financiación dentro de la misión de seguridad
acordada siempre es posible.
Diferenciadores de control
XIV.T1-T2 Se utiliza en forma proactiva un marco de seguridad cibernética (por ejemplo, el
marco NIST) para impulsar y conducir las directrices de seguridad.
XVII.T1 Las líneas de negocio están alineadas con las solicitudes de seguridad y hacen lo
correcto. Esto sucede a pesar de que las solicitudes pueden no ser de mayor interés en el a
corto plazo, porque están alineadas con la misión de seguridad y la misión de seguridad está
alineada con ellas.
II.T1-T2 El CISO disfruta de interacción directa e influencia tanto al CEO como a la Dirección.
IV.T2 El CISO ha cambiado el concepto de cumplimiento como único objetivo que existía en
el pasado, pero queda trabajo por hacer para integrar la seguridad en el negocio.
VIII.T1-T2 La cultura de la organización se alinea con la seguridad y está en parte definida por
la seguridad.
Diferenciadores de gobierno
IX.T1-T2-T3 Junto con los informes directos, el CISO determina qué Indicadores de KPI y KRI
recopilar, rastrear e informar.
X.T2 La seguridad aún no es parte del negocio habitual, aunque puede haber un plan y una
unidad de propósito. Una crisis puede haber sido el catalizador para renovar el esfuerzo de
seguridad y un cambio en la filosofía.
Diferenciadores de control
XIV.T1-T2 Se utiliza en forma proactiva un marco de seguridad cibernética (por ejemplo, el
marco NIST) para impulsar y conducir las directrices de seguridad.
XVII.T3 Se está utilizando una crisis de seguridad pasada como palanca para forzar la
El cumplimiento es tanto una bendición como una pesadilla para la seguridad. La tribu de
cumplimiento intencionalmente aprovecha los requisitos de cumplimiento para hacer un progreso de
seguridad real. Pero el cumplimiento solo nunca ha mantenido fuera a un delincuente. Eso significa
que el cumplimiento es a la vez un estándar mínimo que debe alcanzarse y un obstáculo que algunas
organizaciones están luchando por superar. En muchos casos, el liderazgo de seguridad anterior fue
reemplazado al mismo tiempo que se impuso un régimen de cumplimiento desde el exterior
(posiblemente como consecuencia de una crisis). La falta de inversión histórica en seguridad, que
puede haber alcanzado proporciones de crisis, lleva a estas organizaciones a seguir invirtiendo poco
en seguridad incluso frente a los requisitos de cumplimiento. Eso es porque el gasto de
cumplimiento de hoy es, en muchos casos mayor al gasto existente antes de la crisis. En pocas
palabras, estaban gastando una moneda de diez centavos en lugar de un dólar en el pasado y ahora
se sienten optimistas al gastar un cuarto cuando aún se necesita un dólar. Los CISO en la tribu de
cumplimiento no suelen ser tecnólogos profundos, pero al mismo tiempo tienden a tener habilidades
directivas y de liderazgo sólidas. Esto puede llevar a una situación en la que se asignan recursos
limitados y se logra un progreso claro, incluso mientras se acumula la deuda técnica.
II.T3 El CISO disfruta de interacción directa con el CEO. La interacción con la Dirección
probablemente incluye asistencia pero no capacitación directa sobre seguridad.
III.T3 El CISO no facilita una comprensión del mensaje de seguridad en toda su magnitud.
Aunque la Dirección puede entender que el cumplimiento por sí solo es insuficiente, los
objetivos de seguridad se mantienen difusos.
Diferenciadores de gobierno
IX.T1-T2-T3 Junto con los informes directos, el CISO determina qué Indicadores de KPI y KRI
recopilar, rastrear e informar.
XII.T3 Los recursos son ajustados y la falta de inversión es común. La inversión se limita a
los esfuerzos de cumplimiento.
XIII.T3 La seguridad se trata como gestión de riesgos. Sin embargo, la deuda técnica no se
contabiliza en el paradigma de gestión de riesgos.
Diferenciadores de control
XIV.T3 Se utiliza en forma proactiva un marco de seguridad cibernética (por ejemplo, el
marco NIST) para impulsar la seguridad. El uso del marco no se puede adaptar de forma
creativa al negocio.
XV.T3 Los controles de seguridad principales, incluido el IAM, el uso de criptografía y los
registros, aún están rezagados. Los proyectos para mejorar están en marcha.
XVI.T3 La gestión de la vulnerabilidad está retrasada en la curva, pero hay planes para
solucionar el problema. La inteligencia de amenazas y otros ejercicios similares están
limitados a lo que se compra sin personalización.
XVII.T3 Se está utilizando una crisis de seguridad pasada como palanca para forzar la
seguridad en las líneas de negocio.
La tribu del Centro de Costos está abrumada y con pocos recursos. En la mayoría de los casos, el liderazgo de
seguridad existe bajo varios niveles de liderazgo ejecutivo (y algunas veces incluso de mandos medios) que
tratan la seguridad como un centro de costos. La seguridad consume presupuesto, pero nunca impulsa la
creación de presupuesto y, en cierto sentido, tiene un techo de cristal grueso impuesto. Sin un asiento real en
la mesa de la Dirección, la seguridad queda relegada al plano de solución de problemas, al igual que la mesa
de ayuda.
Diferenciadores de Recursos Humanos
I.T4 El líder de seguridad, cuyo título probablemente no es CISO pero que se encuentra en la
cima de la problemática de seguridad, es una persona proveniente del campo de la
tecnología.
II.T4 El líder de seguridad carece de una relación de colaboración con el CEO o la Dirección.
Si bien ambos pueden conocer de vista al líder de seguridad, el mensaje de seguridad pasa a
través de otras capas de la alta gerencia antes de llegar a la cúpula.
VII.T4 Si bien hay promociones y cambios de título, el ámbito de la seguridad se limita a las
malas hierbas técnicas. Sin una comprensión bidireccional de y por el negocio, los objetivos
del personal de seguridad están limitados al ahora y no ayudan a prepararlos a ellos, ni a la
organización para el futuro.
Diferenciadores de gobierno
IX.T4 Las medidas tienden a ser conteos de esfuerzo. Hay poca o ninguna evidencia de que
se transformen los datos brutos en KPI / KRI importantes para el negocio.
X.T4 El presupuesto puede incluir una cantidad de fondos para una crisis anticipada (una
permitida por año).
XI.T4 No existe una PMO para la administración de proyectos, que en cambio es manejada
directamente por el personal.
Diferenciadores de control
VIX.T4 No existe un marco de seguridad cibernética subyacente.
XV.T4 Los mejores controles de seguridad están en un estado de flujo en el mejor de los
casos. IAM puede ignorarse por completo, el uso de la criptografía es fortuito y los registros
son débiles.
XVI.T4 La gestión de parches es la cola que mueve al perro de la gestión de debilidades. Los
principios básicos de seguridad de la red pueden no estar implementados (por ejemplo, los
de segmentación de la red).
XVII.T4 La seguridad se proporciona como un servicio a las líneas de negocio, que pueden
optar por ignorar por completo los servicios. La seguridad aconseja pero probablemente no
se puede hacer cumplir.
Aunque para este trabajo categorizamos a cada CISO con sus individualidades en una tribu
determinada, los límites entre las tribus no son tan precisos. Los diferenciadores de un CISO pueden
extenderse a través de múltiples tribus, aunque en cada caso observado al evaluar el conjunto de
diferenciadores asociados al CISO, se lo ubica claramente a una tribu en particular.
La distancia conceptual entre las tribus varía. La Tribus 1 y la Tribu 2 comparten muchas
características y son conceptualmente similares, como lo demuestra la superposición de
diferenciadores. Hemos observado que los CISO en ambas Tribus pueden ser muy efectivos en sus
respectivas organizaciones.
Los diferenciadores asociados con Tribu 3 tienen poca superposición con los diferenciadores de las
Tribus 1 y 2. Desde nuestro punto de vista, las Tribus 1 y 2 están mucho más cerca conceptualmente
entre ellas que la Tribu 3 de ambas. Hemos observado en muchos casos que el enfoque
organizacional en relación al cumplimiento se convierte en un hábito difícil de superar. Es posible que
no haya voluntad de avanzar más allá del cumplimiento incluso después de que se haya alcanzado la
meta. El objetivo se convierte en el límite.
Los diferenciadores de la tribu 4 son un grupo único. No hay superposición con los diferenciadores
de las Tribus 1, 2 o 3. Conceptualmente, la Tribu 4 está muy lejos, más lejos de la Tribu 3 que la Tribu
3 de las Tribus 1 y 2. Tememos que la Tribu 4 sea de una gran magnitud, lo que significaría que hay
mucho para la mejorar en el terreno de la seguridad en todo el mundo.
Moverse entre tribus es ciertamente posible. Pasar de la Tribu 4 a la Tribu 3 puede requerir una crisis,
sobre esto vemos muchas evidencias en nuestros datos. Afortunadamente, no todas las
organizaciones tienen que comenzar en la Tribu 4. Por otro lado, el cumplimiento es un tema común
en todos programas de seguridad en las Tribus 1, 2 y 3. La pregunta es si el cumplimiento es un
techo de cristal de seguridad. Pasar de la Tribu 3 a la Tribu 1 o 2 puede ser posible, pero requiere
realizar un trabajo arduo. En las Tribus 1 y 2, el cumplimiento es un efecto colateral de la seguridad.
Las tribus 1 y 2 son las mejores situaciones en las que puede encontrarse un CISO. Aunque estas
dos tribus son muy similares en apariencia, pasar de la Tribu 2 a la Tribu 1 requiere ganar un lugar en
la mesa de la dirección ejecutiva senior.
Usar los diferenciadores para mejorar
Primero, una advertencia: cambiarse de tribu puede ser una propuesta no trivial que requiere no solo
un cambio importante en la filosofía de la organización, sino también un enfoque del liderazgo
claramente diferente. Evolucionar de una tribu a otra, no siempre puede ser posible.
Dicho esto, cada uno de nuestros 18 diferenciadores y sus sub-entradas se pueden utilizar como una
hoja de ruta para pasar de una tribu a otra. Considere el diferenciador reproducido a continuación:
I.T2 El CISO tiene un importante pasado técnico y en muchos casos, aún se lo reconoce
principalmente por su trabajo técnico. El CISO tiene sólidas habilidades comerciales, que aún
pueden encontrarse en desarrollo.
I.T3 El CISO es un alto ejecutivo experimentado sin un importante pasado técnico. A menudo
es un excelente administrador.
I.T4 El líder de seguridad, cuyo título probablemente no es CISO pero que se encuentra en la
cima de la problemática de seguridad, es una persona proveniente del campo de la
tecnología.
Cada uno de los diferenciadores ayuda a definir un detalle de posibles mejoras e instancias de
evolución de la tribu.
Ocho observaciones que hemos advertido en los datos son dignas de mención y están asociadas al
estado de la seguridad.
Gerencia intermedia
Muchas organizaciones de seguridad sufren de una falta de mandos medios. Por cierto, esto
también se observa comúnmente en otros campos técnicos. El liderazgo ejecutivo senior a menudo
es fuerte y está presente, al igual que los grupos de tecnólogos calificados. Lo que falta es la
integración entre ellos. Para que el liderazgo crezca y se fortalezca, debe haber un camino de
integración profesional claramente definido, desde las niveles de áreas técnicas hasta los niveles
directivos más altos. Por otra parte, la ejecución se ve obstaculizada por la falta de mandos medios.
Hay mucho que aprender de los CISO que se enfocan en la planificación de sus posibles sucesores y
en la rotación de puestos de trabajo.
Programas
La seguridad no es solo un conjunto de proyectos. La visión estratégica alineada con el negocio es
fácil de esbozar en papel, pero sigue siendo un verdadero desafío. No alcanza con una visión
estratégica limitada al cumplimiento, es necesaria una visión con un horizonte amplio alineado con
los objetivos de la organización.
Talento
No hay suficientes recursos humanos de seguridad. Adquirir, desarrollar y retener una estructura de
seguridad bien aceitada requiere prestar atención al personal involucrado. Incluso los mejores CISO
del mundo tienen un problema de talento e invierten importantes recursos en formar a su personal. El
desarrollo del liderazgo es tan importante como la compensación económica cuando se trata de
retener a personal talentoso. Los CISO inteligentes pueden matar a dos pájaros de un tiro,
haciéndose cargo de las brechas en los mandos medios y generar el contexto necesario para
producir ejecutivos de seguridad altamente calificados comprometidos con la organización.
Escalabilidad
Es poco probable que un enfoque que funcione para un equipo de 10 personas escale a un ejército
de 10,000. Los mejores CISO piensan en la escalabilidad desde el primer día, tanto en el área de
desarrollo y como en la de operaciones. Los procesos de seguridad deben evolucionar al mismo
ritmo que el negocio, de no ser así los riesgos pueden quedar atrás, sin gestión.
Fraude
La mayoría de los CISO no realizan un control sobre el fraude. Entre los 25 CISO que observamos,
solo 2 de ellos tenían algo que ver con el control de fraude. En pocas palabras, el fraude está más allá
del alcance de la estructura de seguridad, incluso cuando hay un enfoque activo de control de fraude
en la organización.
SOC
Casi todos los CISO en nuestro estudio tienen un centro de operaciones de seguridad (SOC - Security
Operations Center). Aunque la tendencia parece ser que muchas de las tareas del SOC se
subcontratan con terceros, muchas organizaciones están realizando este trabajo internamente con
recursos propios. Algunas veces, las tareas de SOC se dividen entre proveedores externos y
personal interno. Incluso dentro de la tribu de los Facilitadores, las formas de implementar el SOC,
con diferentes en cada organización.
Control de proveedores
Ninguna organización, sin importar en qué tribu esté, ha resuelto el problema del control del
proveedores. Curiosamente, el control de proveedores está presente en la agenda de todos.
Ahora qué?
Hemos aprendido mucho sobre los CISO y esperamos que Uds. lo hayan hecho también. En todos
los lugares en los hemos estado hasta ahora, hemos visto un gran interés en lo que realmente hacen
los CISO, por qué lo hacen y cómo pueden hacerlo mejor. Ocasionalmente, grupos de CISO de ideas
afines se reúnen, especialmente si todos tienen la misma orientación o cercanía en su ubicación.
Esta es una tendencia alentadora que apoyamos. En el mejor de los mundos posibles, el modelo que
describimos puede proporcionar no solo un vocabulario común sino también, una base para una
mayor discusión y profesionalización.
Por favor, comparta este trabajo con todos los CISO que conoce. Si usted es un CISO y desea
participar en nuestro proyecto científico, póngase en contacto con nosotros. Todos son bienvenidos.
Anexo A
T1 T2 T3 T4 Código Diferenciador
RECURSOS HUMANOS
GOBIERNO
X. Seguridad y crisis
XII. Presupuesto
CONTROLES
Synopsys ofrece la solución más completa para crear integridad, seguridad y calidad en su SDLC y en
la cadena de suministro. Hemos unido tecnologías de prueba líderes, análisis automatizados y
expertos para crear una sólida cartera de productos y servicios. Esta cartera permite a las
organizaciones desarrollar programas personalizados para detectar y remediar defectos y
vulnerabilidades al principio del proceso de desarrollo, minimizando los riesgos y maximizando la
productividad. Synopsys, es un líder reconocido en pruebas de seguridad de aplicaciones, se
encuentra en una posición única para adaptar y aplicar las mejores prácticas a las nuevas
tecnologías y tendencias tales como IoT, DevOps, CI/CD y la nube. No terminamos cuando la prueba
termina. Ofrecemos asistencia de incorporación e implementación, orientación de remediación
específica y una variedad de soluciones de capacitación que lo entrenan para optimizar su inversión.
Ya sea que recién esté comenzando o ya se encuentre en camino, nuestra plataforma le ayudará a
garantizar la integridad de las aplicaciones que impulsan su negocio.