No se me entienda mal, no quiero decir que el Responsable de Seguridad sea un don-nadie... ni mucho menos, lo que quiero decir es que al CISO no le pagan para decir que "no" (ojo, tampoco que "sí"), eso es una labor que corresponde a Negocio.No obstante, cada organización es un mundo y, por eso, es importante que cada uno sepa cual es su rol en la organización en la que está, para saber que es lo que se espera de él/ella.
En mi opinión, el CISO es un experto en el análisis de riesgos tecnológicos y su labor se circunscribe a poner de manifiesto cuales son los riesgos de las opciones presentadas por negocio para que, en conjunción con los beneficios que se esperan, se pueda tomar la mejor decisión posible. Por eso, no es nuestra labor decir que "no", sino que lo que se está proponiendo supone ciertos riesgos que han de ser sopesados para que, en caso de ser asumidos, seguir adelante o, si por el contrario, se considera que no son asumibles, hacer las modificaciones que corresponda.
Actuar de esta manera, evitaría que los responsables de seguridad tengan esa imagen interna de ser el/la que siempre dice "no" y que no tiene ninguna visión de negocio.
Fotografía tomada de www.librarybytes.com
Actuar de esta manera, evitaría que los responsables de seguridad tengan esa imagen interna de ser el/la que siempre dice "no" y que no tiene ninguna visión de negocio.
Fotografía tomada de www.librarybytes.com