¿Cumplen convenientemente los CISOs (Chief Information Security Officer) su función en las empresas del país?
Para responder a esta interrogante -enviada por uno de nuestros suscriptores- y ahondar más sobre el tema, América Sistemas dialogó con el director de GTDI Tecnologías de la Información y Consultoría, Carlos Horna Vallejos.
Director de GTDI Tecnologías de la Información y Consultoría, Carlos Horna Vallejos:
“LAS EMPRESAS PERUANAS NO ENTIENDEN CUÁL ES EL ROL DE LA SEGURIDAD DE LA INFORMACIÓN”
El especialista indicó que el verdadero CISO’s toma decisiones en la empresa y su labor no debe estar limitada por el presupuesto de su organización
(americasistemas.com.pe. Lima, Perú – 30 de setiembre de 2015) ¿Cumplen convenientemente los CISOs (Chief Information Security Officer) su función en las empresas del país?
Para responder a esta interrogante -enviada por uno de nuestros suscriptores- y ahondar más sobre el tema, América Sistemas dialogó con el director de GTDI Tecnologías de la Información y Consultoría, Carlos Horna Vallejos, quien dijo que las funciones del CISO son específicas y pocas empresas corporativas peruanas lo admiten, incluso en “las empresas pequeñas no se aplica porque ese rol lo realiza más de una persona”.
Advirtió que en el Perú “los CISO’s” desarrollan los backup, analizan los antivirus, entre otras actividades, “pero no llegan a la alta dirección de las empresas”.
“En el país, un oficial de seguridad se encuentra por debajo del área de TI y esta dependencia está debajo del área de Administración. Por lo tanto, se desvirtúa el rol fundamental de un oficial de seguridad, incluso en otros países existe el rol de oficial de privacidad”, afirmó.
Horna destacó que el CISO se identifica porque tiene un nivel ejecutivo (igual que el CIO y CTO), toma decisiones y brinda información a la alta dirección de la organización vinculada al giro del negocio o algún riesgo para los objetivos de la empresa.
“LO QUE MUEVE A LAS ORGANIZACIONES ES LA INFORMACIÓN”
Según Carlos Horna, el rol del oficial de seguridad en el Perú, por lo general, es operativo y “ahí hay una brecha entre lo que debería hacer y lo que hace”.
“Las empresas peruanas no entienden cuál es el rol de la seguridad de la información y cómo ésta entrega valor en las organizaciones. En la actualidad, lo que mueve a las organizaciones es la información”, comentó.
Para el especialista, la labor del CISO es holística, transversal y se dedica a la protección activa de la información de la organización y, por consiguiente, del negocio. “Sin embargo, se cree que eso lo debe ver el área de TI o de Informática. Eso no es así”, sostuvo.
TIENE QUE ADAPTARSE
En el sector Estado el papel del oficial de seguridad es fundamental. “Una falta podría restringir algún derecho a la información, la justicia, la salud, etc.”, expresó el director de GTDI Tecnologías de la Información y Consultoría.
Asimismo, precisó que el oficial de seguridad de las empresas tiene que adaptar sus capacidades de acuerdo al sector, área o rubro en el que labora. “Por ejemplo, es diferente la labor de un oficial de seguridad de una empresa minera que de una entidad pública. Un oficial de seguridad conoce el negocio, es más un tomador de decisiones que un operativo”, aseguró.
El entrevistado anotó que las tecnologías son sólidos habilitadores y también generan riegos, por eso, el oficial de seguridad puede acompañar estos procesos. “El negocio emplea la información”, puntualizó.