Tras el CIO y el CTO, esta semana analizamos en nuestro serial de artículos "Plan de Carrera", el papel del Chief Security Officer (CSO), el ejecutivo de mayor rango dentro de una compañía encargado de la seguridad de la misma, tanto física como virtual.

La creciente digitalización de las empresas han reforzado el papel del CSO, tanto que en algunas compañías este cargo se complementa con el del CISO (Chief Information Security Officer). Pero vayamos por partes.

¿Qué es un CSO?


¿Cuáles son sus responsabilidades principales?La responsabilidad principal del CSO es diseñar e implementar las políticas de seguridad de una empresa, tanto a corto como a largo plazo, alineando dichas políticas con los objetivos estratégicos y las decisiones de negocio de la compañía.

En este sentido, mientras que el CISO está mucho más pegado a la implantación de políticas sobre el terreno y en el día a día, al CSO se le pide que tenga una visión de negocio que comprenda cuáles son los principales riesgos a los que se enfrenta la organización y cómo tratarlos. Entender qué papel juegan las presentes amenazas y hacia dónde se dirigen las futuras.

En segundo lugar, responsabilidad del CSO es asegurarse de que todas las actividades que se llevan acabo desde el ára de seguridad TI de la compañía, han sido planificadas y ejecutadas para responder a la misión y los objetivos de la organización. Aunque en muchas organización el CSO depende jerárquicamente del CIO, en otras responde únicamente ante el CEO, por lo puede tener voz y voto en el desarrollo estratégico de la empresa.

Una tercera gran área de responsabilidad incluiría además todo lo relativo a compliance y regulación. Debe este este sentido, estar al tanto de los cambios normativas (como podría ser la GDPR), informarse sobre cómo afectan a la a las actividades de la organización y proponer las medidas oportunas para adecuarse al nuevo marco. Finalmente, el CSO es el responsable de establecer planes de continuidad de negocio y recuperación de desastres en el ámbito de las tecnologías de la información.

¿Qué formación y habilidades tiene que tener?

Como en el caso del CIO, el rol del CSO combina tanto aspectos técnicos relacionados con el área TI de la empresa, con los de gestión empresarial y estratégica.

En el lado más técnico, el CSO suele haber cursado una carrera o licenciatura como informática o telecomunicaciones, añadiendo en este terreno un plus de seguridad IT. En este sentido, es probable que el CSO tenga los conocimientos que se derivan de haber superado alguno los distintos cursos de posgrado en seguridad informática, o haber obtenido incluso una certificación específica en gestión de la seguridad de la información (CISSP).

Por otro lado, y aunque el cursar un MBA no es para este perfil tan interesante como en el caso de un CIO, sí que es cierto que el CSO necesita tener cierta preparación sobre gestión empresarial y en este terreno podemos hablar de algunos cursos que en los últimos años se han especializado en combinar gestión empresarial y transformación digital. Como consecuencia de todo lo anterior, algunas de las habilidades clave del CSO, son las siguientes:

  • Tener una visión global de la empresa desde la perspectiva de la dirección general. Saber analizar su situación, la de su entorno y la de su competencia para implementar la estrategia más adecuada.
  • Saber dirigir personas y gestionar equipos. Integrarlos en la cultura empresarial y alinearlos con los objetivos de la compañía.
  • Seguridad: Aunque el papel de "securizar" la compañía recae fundamentalmente sobre el CISO (Chief Information Security Officer), el CSO debe saber definir la estrategia, teniendo en cuenta por ejemplo el nivel de riesgo que resulta aceptable para la compañía.
  • Cumplimiento normativo: el CSO juega un papel a la hora de gestionar y proteger los datos que forman parte de la organización. Debe tener la habilidad de comprender cómo la protección de dichos datos se alinea con el cumplimiento de la legislación vigente.
  • Innovación: el CSO tiene que tener la capacidad para innovar en el área de seguridad, de modo que siempre esté al día de las mejores prácticas para securizar su organización.



Fuente: MuyComputerPro