Habilidades y competencias para liderar la práctica de seguridad de la información y ciberseguridad

Juan Carlos López M, presidente ISACA Capítulo Quito 

CISA, CGEIT, CRISC, CISM, COBIT Accredited Trainer 

Si consideramos los principios más importantes de la Gestión de la Seguridad de la Información y Ciberseguridad como defender y apoyar al negocio, es imperativo que el CISO y otros roles de liderazgo como los miembros del comité de seguridad y ciberseguridad tengan un conocimiento profundo de la organización, la industria, los elementos contextuales internos y externos, sus partes interesadas y los requisitos que impactan en su estrategia.

En lo que respecta a las habilidades y competencias para liderar la práctica de seguridad de la información y ciberseguridad sin duda están relacionadas con la dirección (gobierno) y la gerencia (administración). Es muy importante tener una especialización técnica, pero si este conocimiento y experiencia no se aplican con una orientación estratégica, la gestión de la seguridad y ciberseguridad se vuelve operativa y reactiva. Algunos síntomas y signos de lo que he detallado se observa cuando la relevancia de práctica no es visible en la organización y responde más al cumplimiento que a la generación de valor, se aplican normas y buenas prácticas como simples checklist o se invierten en herramientas y soluciones tecnológicas: SOC, Ethical Hacking, certificaciones, etc., como respuesta a tendencias que no son explotadas y cuya generación de valor no es clara para la organización.

Ampliando los conceptos de dirección y gerencia es importante que los líderes, ya sean CISOs, Gerentes de Seguridad e inclusive miembros de los Comités especializados tengan competencias como: Gobierno, Gestión de Riesgos, según mi experiencia ésta es la competencia más importante donde hay más necesidad de fortalecimiento.

En el ámbito de la Gerencia, el espectro se amplía debido a que el sistema se administra mediante la Gestión de programas y proyectos cuyas inversiones deben ser justificadas en la Gestión de portafolio. Otros conocimientos importantes son Gobierno y Gestión de datos y Gestión de servicios tecnológicos.

Por otro lado, también son esenciales habilidades y competencias de comunicación, enseñanza, consultoría, gestión de proveedores y auditoría.

Para llegar a la Alta Dirección, además de los requisitos mencionadas, es necesario habilidades y competencias para elaborar y presentar casos de negocio, que a su vez implica, realizar presupuestos, valorar inversiones y riesgos, y otros que forman parte de la habilidad de la gestión de portafolios. Todo desde el punto de vista de negocio con una comunicación clara, didáctica y sencilla. De manera que, al invertir en un servicio de SOC, por ejemplo, se demuestre el valor, beneficios, optimización de riesgos y recursos.

No debemos olvidar, la importancia sobre el conocimiento sólido de las regulaciones y normativas relacionadas con la seguridad de la información, además, de las regulaciones locales, su cumplimiento y buenas prácticas. Sin embargo, es relevante que más allá de conocer cada ítem de las normativa o buena práctica, entendamos el motivador de riesgo o valor que está implícito en cada requerimiento. En otras palabras, debemos aprender a aplicar las normativas en diferentes situaciones, desarrollar nuestro criterio y no depender totalmente de lo que dice una publicación. Con frecuencia los profesionales defienden la implementación de un control porque lo especifica una norma o un marco de referencia y no porque hay un riesgo que debe mitigarse o a su vez, buscan respuestas en las publicaciones para situaciones específicas, en vez de realizar un análisis aplicando competencias y experiencia.  Por ejemplo, se debe establecer un adecuado proceso de gestión de cambios tecnológicos no porque es un control de la ISO27002, COBIT, el NIST, ITIL, o porque una buena práctica lo define, sino porque no hacerlo generaría impactos negativos específicos y demostrables en la disponibilidad y seguridad de los servicios tecnológicos de la organización. Y así es como se debe transmitir su relevancia a la organización.

Un director o/gerente debe ser capaz de definir y construir estratégicamente las capacidades de sus sistemas de gestión en función de las habilidades principales descritas anteriormente. Sino tenemos estas habilidades básicas, inclusive se corre el riesgo de malinterpretar las definiciones de las normativas o buenas prácticas.

Definir los roles que tienen responsabilidades dentro del sistema de gestión de seguridad y ciberseguridad es importante y no solamente por cargo, por ejemplo, deben definirse los perfiles de los miembros del Comité de Seguridad y Ciberseguridad que cumplen con roles de dirección. Cada perfil debe tener habilidades y competencias necesarias asociadas, partiendo de lo que se espera (TO BE), seguido de un diagnóstico de la situación actual de esas habilidades y competencias para definir la brecha existente de conocimientos o experiencia existente. Finalmente, esa brecha debe ser cubierta con un programa completo de formación y entrenamiento. Un marco de referencia en el que podemos apoyarnos para definir habilidades y competencias es el Skills framework for the Information Age https://sfia-online.org/en/sfia-8

Adicionalmente, es necesario trabajar en la cultura. Los líderes influyen con su comportamiento en la creación de una cultura de seguridad y ciberseguridad y de la misma manera que establecimos las habilidades y competencias requeridas, es necesario   definir los comportamientos que deseamos crear y eliminar y en función de ello, desarrollar un programa de concienciación y cultura. Podemos apoyarnos en COBIT Focus Area: Information Security que propone 9 comportamientos deseados y 3 aspectos de liderazgo que un sistema de gestión de seguridad debe lograr en las personas.

Para ser competente no solo basta con el entrenamiento, sino que además, es necesario, aplicar los conocimientos adquiridos en la práctica. Estas habilidades deben ser demostrables. Por ejemplo, el marco del SFIA en cada habilidad propone una escala de medición de las competencias específicas demostrables que permiten a la organización medir la evolución de un profesional.

Otra forma de evaluar las habilidades y competencias son las certificaciones y los certificados profesionales. ISACA (www.isaca.org) establece que las certificaciones son aquellas que validan tanto los conocimientos de prácticas específicas de la profesión como la experiencia. Las certificaciones actualizan anualmente reportando horas de educación continua. Algunas certificaciones importantes relacionadas con la seguridad y ciberseguridad son:

• CISM – Gerente de Seguridad de Información Certificado (https://www.isaca.org/credentialing/cism),
• CRISC – Certificado en Riesgos y Controles de Sistemas de Información (https://www.isaca.org/credentialing/crisc),
• CDPSE – Ingeniero certificado en soluciones de Privacidad de Datos (https://www.isaca.org/credentialing/cdpse)
• CSX -P – Experto en Ciberseguridad certificado (https://www.isaca.org/credentialing/csx-p)

En lo que se refiere a certificados están relacionados con la aprobación de un examen para demostrar el conocimiento de una temática específica que generalmente es una buena práctica como la ISO 27001, COBIT (https://www.isaca.org/credentialing/cobit-foundation e ITIL por mencionar algunas. No valida la aplicación práctica de este conocimiento.

Las organizaciones deben entender el alcance de las certificaciones y certificados y procurar que sus profesionales las obtengan para acreditar experiencia y conocimientos según sea necesario. Recomiendo que los CISOs y Gerentes de Seguridad y Ciberseguridad obtengan alguna de las certificaciones mencionadas.