Solución:
Como alguien que ha supervisado una serie de CISO compartidos y organizaciones vendidas sobre la necesidad de alguien en esta función, puedo decirle que el problema es que cada organización tiene diferentes necesidades y diferentes expectativas de un CISO. Algunos esperan soporte operativo, otros requieren un experto en riesgos dedicado, algunos solo quieren un representante de la función de seguridad a nivel de Junta que actúe como traductor.
El objetivo principal de la organización es conocer los riesgos, gestionar y monitorear los riesgos y comunicar los riesgos a las organizaciones y a las partes interesadas. El CISO necesita pensar en los riesgos que la organización no puede.
Además, el CISO debería poder liderar la función de seguridad, la función de riesgo y / o la función reguladora del negocio. Pero las expectativas aquí dependen de la organización.
Deloitte tiene sus “Cuatro caras del CISO”, que es una guía bastante buena de lo que debería ser un CISO.
Los CISO continúan desempeñando las funciones vitales de administrar tecnologías de seguridad (tecnólogo) y la protección de los activos de la empresa (guardián). Al mismo tiempo, se espera cada vez más que se centren más en establecer una estrategia de seguridad (estratega) y asesorar a los líderes empresariales sobre la importancia de la seguridad (tutor).
Por lo tanto, no existe una lista establecida de “cosas que hacer” para un CISO. Hay una larga lista de cosas que deben hacerse, pero no necesita un CISO para hacerlas. Para eso, tome un marco (ISO 27001, NIST CSF, Cyber Essentials, etc.) y comience a trabajar. Su lista en su pregunta es un pequeño conjunto de cosas para abordar, pero una buena lista.
El requisito de nivel básico del CISO variaría de una organización a otra, pero lo siguiente sería una guía de alto nivel sobre el alcance.
El alcance del CISO es proporcionar visión y liderazgo para desarrollar y respaldar iniciativas de seguridad. El CISO gobierna la planificación e implementación del sistema de TI empresarial, la operación comercial y los mecanismos de defensa contra ataques de seguridad, brechas y problemas de vulnerabilidad. Este CISO también es responsable de auditar los sistemas existentes, mientras dirige la administración de las políticas, actividades y estándares de seguridad. El CISO también es responsable de la implementación de los estándares de seguridad requeridos, sistemas de cumplimiento, auditorías, etc.
El alcance del trabajo de CISO se puede definir en los siguientes dominios principales:
Planificación y gestión de la estrategia de seguridad:
Por ejemplo: Liderar la planificación estratégica de seguridad para lograr los objetivos comerciales priorizando las iniciativas de defensa y coordinando la evaluación, implementación y gestión de las tecnologías de seguridad actuales y futuras utilizando una metodología de evaluación basada en riesgos.
Planificación e implementación de seguridad:
Por ejemplo: identificar las necesidades de seguridad de la organización y planificar el despliegue de los mecanismos de seguridad, estándares, prácticas operativas, etc.
Operaciones de seguridad:
Ej .: Gestionar la administración de todos los sistemas de seguridad informática y su software correspondiente o asociado, incluidos firewalls, sistemas de detección de intrusos, sistemas de criptografía y software antivirus.
Informes de gestión:
Por ejemplo: actuar como punto de origen para los informes de gestión en términos de informes relacionados con la seguridad, paneles, registro de riesgos, etc.