El pasado mes de septiembre la revista red seguridad publicó un artículo bastante interesante de Miguel García Menéndez titulado "El 'Gobernador' de la seguridad de la información: ¿una nueva cara en el equipo directivo?". Miguel, aparte de ser "buen tipo" es miembro de la Junta Directiva del capítulo de Madrid de ISACA (más conocido como ASIA) y lleva bastante tiempo trabajando en lo que se ha denominado IT Governance.
Aunque lo leí hace tiempo, he estado un poco [bastante] vago (como habréis podido observar) a la hora de escribir y me ha parecido muy oportuno retomar la actividad, comentando brevemente dicho artículo del que recomiendo su lectura detenida.
Básicamente, Miguel parte de la introducción de la figura del CSGO - Chief Security Governance Officer como responsable de "proporcionar el debido apoyo al Consejo de Administración y al resto de la alta dirección, a fin de maximizar la contribución hecha por las iniciativas de seguridad de la información al éxito de la organización "para desarrollar una serie de conceptos básicos como, por ejemplo, los KRI - Key Risk Indicator o el nuevo paradigma de "las 4 A" como evolución del tradicional CIA (confidencialidad - integridad - disponibilidad).
Todo ello para, al final, hacer la pregunta del millón: ¿No debería ser el CISO este CSGO? Y aquí es donde yo quería llegar.
En mi opinión, la disyuntiva no es si debería ser o no, sino cuándo lo será. Es decir, creo que la única salida que tiene el CISO para evolucionar en una organización es adoptar un enfoque de gestión de riesgos en el marco de una estrategia corporativa. De esta forma se puede aspirar a ese "proceso sistemático de gobierno del valor" y conseguir, además, un enfoque global que permita una gestión de riesgos mucho más eficiente evitando duplicidades y enfoques sesgados de cobertura para los mismos riesgos.
En definitiva, ¿para cuándo el CISO - CSGO?
Aunque lo leí hace tiempo, he estado un poco [bastante] vago (como habréis podido observar) a la hora de escribir y me ha parecido muy oportuno retomar la actividad, comentando brevemente dicho artículo del que recomiendo su lectura detenida.
Básicamente, Miguel parte de la introducción de la figura del CSGO - Chief Security Governance Officer como responsable de "proporcionar el debido apoyo al Consejo de Administración y al resto de la alta dirección, a fin de maximizar la contribución hecha por las iniciativas de seguridad de la información al éxito de la organización "para desarrollar una serie de conceptos básicos como, por ejemplo, los KRI - Key Risk Indicator o el nuevo paradigma de "las 4 A" como evolución del tradicional CIA (confidencialidad - integridad - disponibilidad).
Todo ello para, al final, hacer la pregunta del millón: ¿No debería ser el CISO este CSGO? Y aquí es donde yo quería llegar.
En mi opinión, la disyuntiva no es si debería ser o no, sino cuándo lo será. Es decir, creo que la única salida que tiene el CISO para evolucionar en una organización es adoptar un enfoque de gestión de riesgos en el marco de una estrategia corporativa. De esta forma se puede aspirar a ese "proceso sistemático de gobierno del valor" y conseguir, además, un enfoque global que permita una gestión de riesgos mucho más eficiente evitando duplicidades y enfoques sesgados de cobertura para los mismos riesgos.
En definitiva, ¿para cuándo el CISO - CSGO?
No hay comentarios:
Publicar un comentario