Una de las primeras cosas que debemos hacer, si no lo has hecho incluso antes de incorporarte a tu puesto como responsable de seguridad (a.k.a., CISO) es: Enteder cuál es tu rol en la organización.Seguro que tu jefe te habrá explicado lo que espera de ti, pero no es todo lo que debes saber, créeme. En todas las organizaciones siempre hay toda un conjunto de relaciones no explícitas que "mandan" casi tanto como las explícitas y, lo que se espera de ti como responsable de seguridad, también tendrás que extraerlo de ese conocimiento implícito. Y la única forma que se me ocurre para hacerlo es estableciendo buenas relaciones con todos los actores de la organización.
Para entender bien tu rol deberías ser capaz de tener respuesta a unas cuantas preguntas:
- ¿Mi rol ha de ser más operativo o más prescriptor? Es decir, me encargaré de operar los mecanismos de control o crearé las pautas para que sean administradas por otro grupo de la organización.
- ¿Cómo se orquestará la relación con los administradores de seguridad?
- ¿Qué tipo de relación se espera que establezca con las áreas de negocio?
- ¿Se espera de mi que sea el que frene todas las actividades arriesgadas que se produzcan o el que busque mecanismos para minimizar el riesgo de las mismas? Es decir, tengo que ser un héroe o un villano (por eso lo de Anakin).
- ¿Me tengo que limitar a hacer cumplir con la LOPD (y similares) o puedo establecer objetivos más ambiciosos? Ya sabéis, ISOs y cosas por el estilo...
- ¿De quién es responsabilidad "eso de la disponibilidad de los sistemas"?
¿Cómo lo veis? ¿Me he dejado alguna?
Espero vuestros comentarios y nos "vemos" en la próxima entrega de la serie...
No hay comentarios:
Publicar un comentario