Para Gissele Gallardo, CISO-Americas Region everis NTT DATA, la ingeniería social es la amenaza de seguridad número uno para cualquier organización.

Gissele Gallardo, CISO-Americas Region everis NTT DATA

¿Cuál debe ser el rol del CISO en la organización?
El CISO debe conocer la visión, misión, proceso core del negocio, y procesos de soporte de la organización. Debe participar en el plan estratégico y táctico del negocio. Y tener la capacidad de transmitir en lenguaje simple y sencillo los riesgos de seguridad de la información e impacto en el negocio. Tener claro el impacto a nivel financiero, reputacional, legal, regulatorio y de continuidad operativa del negocio en caso se materialice una amenaza de seguridad.

Es importante que el CISO conforme un Comité Ejecutivo de Seguridad de la Información que lo presida el CEO y lo componga la Alta Dirección para aprobar plan estratégico y táctico de seguridad, aprobar el plan de presupuesto, presentar los riesgos prioritarios de seguridad y establecer el apetito de riesgo, entre otros temas de seguridad relevantes para la organización.

¿Cómo podemos reforzar la cultura y concientización de la seguridad de la información en la organización?
La estrategia para generar cultura y conciencia en seguridad de la información a los empleados se divide en 2 factores: Conocimiento y Conducta.

El conocimiento es usar técnicas que permitan dar información al empleado usando técnicas de retención, gamificación, e interés, para esto nos apoyamos con Soluciones Integradas de Capacitación y Concientización en Seguridad de la Información y Plataforma de Simulador de Phishing.

La conducta implica aplicar mecanismos persuasivos positivos como concursos de Seguridad de la información con premios y Felicitaciones Públicas, y aplicar mecanismos persuasivos de castigo como procesos disciplinarios en el reglamento interno o acuerdos de contratación de trabajo.

La ingeniería social es la amenaza de seguridad número uno para cualquier organización. El alarmante crecimiento de los ciberataques sofisticados empeora este problema, ya que los ciberdelincuentes buscan el fruto o la presa más fácil: los empleados.

Es importante establecer un Programa Annual de Concientización en Seguridad de la Información que contenga diversas actividades como charlas de concientización, juegos, concursos, podcast, micro contents in videos, posters, newsletters, entre otros. Asimismo, es importante medir periódicamente el nivel de concientización de los empleados a través de simulación de ataques de ingeniería social como phishing, vishing, entre otros.

¿Cómo reforzamos la imagen de seguridad de la información para que vean que estamos ahí para ayudar a respaldar el negocio en lugar de estar solo sobre la tecnología?
El CISO debe realizar entrevistas con la Alta Dirección para conocer los procesos core y de soporte del negocio. Asimismo, conocer qué riesgos de seguridad les preocupa, a qué le interesa que el CISO ponga foco para analizar los riesgos de seguridad a los que está expuesto la organización. Aprovechar dichas entrevistas también para transmitir el valor que brinda el CISO al negocio al proactivamente analizar y gestionar los riesgos de seguridad a nivel de proceso y activos de información de manera periódica.

Asimismo, el CISO debe presentar a la Alta Dirección los resultados del análisis y gestión de riesgos de seguridad de los procesos core y de soporte. Esto le permitirá evidenciar su conocimiento sobre el negocio, y el valor que implica para la organización tratar los riesgos de manera proactiva como: proteger su reputación, proteger el crecimiento y rentabilidad, incrementar el valor generando confianza de la marca, mejor alineación regulatoria, y gestión efectiva de los riesgos y continuidad de las operaciones.







Continúa con tu red social preferida

Al continuar serás un suscriptor gratuito

O continúa tu correo.

Escriba su correo electrónico con el que se suscribió para acceder

Suscríbete

Ya me suscribí.