¿Qué es una OSC?
Pregunta 2:2: ¿Qué significa OSC?
CSO también puede denominarse CISO (abreviatura de director de seguridad de la información) o ISO (abreviatura de director de seguridad de la información), que es diferente de CIO (abreviatura de director de información).
El director de seguridad (CSO) es responsable de las operaciones de seguridad de toda la organización, incluida la seguridad física y la seguridad de la información digital. El CSO supervisa y coordina los esfuerzos de seguridad internos de la empresa, incluida la tecnología de la información, los recursos humanos, las comunicaciones, el cumplimiento, la gestión de instalaciones y otras organizaciones. El CSO también es responsable de desarrollar medidas y estándares de seguridad. Las OSC necesitan organizar o participar con frecuencia en actividades en áreas relacionadas, como las relacionadas con la continuidad del negocio, la prevención de pérdidas, la prevención del fraude y la protección de la privacidad.
El director de seguridad de la información (CISO) es responsable de la estrategia de seguridad de toda la organización. El director de seguridad de la información a menudo depende del CIO (director de información) y, a veces, incluso directamente del director ejecutivo (director ejecutivo).
Sin embargo, en la vida real, los roles del director de seguridad y del director de seguridad de la información suelen ser interactivos.
Una generación de jefes de seguridad
Debido a diversos factores, diversos problemas de seguridad se juntan y necesitan ser protegidos por una sola organización, y surge el papel del CSO. Estos factores incluyen:
A nivel táctico, se están incorporando elementos tecnológicos a las herramientas de seguridad física, que están cada vez más impulsadas por la tecnología de bases de datos y la tecnología de redes.
A nivel estratégico, el CEO y el consejo de administración de la empresa controlan los riesgos desde el nivel corporativo de acuerdo con algunas leyes y regulaciones, como la Ley Sarbanes-Oxley.
A nivel práctico, la gestión unificada de los problemas de seguridad de CSO puede reducir significativamente los costos operativos.
Funciones laborales del director de seguridad
Las políticas de seguridad a menudo deben cambiar en función de las diferentes necesidades de la empresa. Aunque diferentes empresas requieren diferentes estrategias de seguridad, las estrategias de seguridad generalmente deben incluir las siguientes funciones:
1. Monitorear las agencias de seguridad y los proveedores de servicios son responsables de proteger los activos corporativos, la propiedad intelectual y la seguridad de los sistemas informáticos.
2. Determinar los objetivos de protección y el sistema de protección que sean consistentes con el plan estratégico de la empresa.
3. Desarrollar e implementar políticas de seguridad regionales y globales, estándares de seguridad, directrices y procedimientos de implementación para garantizar la resolución continua de los problemas de seguridad. Las responsabilidades de protección de la información incluyen: arquitectura de seguridad de la red, acceso a la red y monitoreo de políticas, y capacitación de los empleados.
4. Supervisar los planes de respuesta a incidentes de forma tan exhaustiva como las investigaciones de violaciones de seguridad y ayudar al departamento de violaciones de seguridad a mejorar los programas de formación y los asuntos legales cuando sea necesario.
5. Cooperar con consultores de seguridad externos, como consultores de auditoría de seguridad.
6. Desarrollar una estrategia integral de gestión de riesgos y asegurar su implementación. Comprender los riesgos actuales y posibles futuros, y ajustar las estrategias de manera oportuna de acuerdo con los cambios en los riesgos y amenazas cuando sea necesario.
7. Supervisar exhaustivamente el uso interno del producto y garantizar que el equipo de ingeniería mantenga comunicación con el equipo de operaciones para que cuando surjan problemas con el producto, puedan descubrirse y resolverse de manera oportuna.
8. Mejorar aún más la estrategia de recuperación ante desastres/continuidad del negocio y garantizar que tengamos un plan y una estrategia bien integrados a través de los esfuerzos conjuntos de varios departamentos comerciales.
9. Las responsabilidades de seguridad física deben incluir la protección de activos, la protección contra riesgos laborales, los sistemas de control de acceso y las medidas de videovigilancia.
Responsabilidades del director de seguridad
1. Mejorar el estado de seguridad de las empresas regionales e incluso globales mejorando el nivel de conciencia de la audiencia y la comprensión de sus ideas.
2. Proporcionar recursos de seguridad y métodos de inspección, y no afectar el normal funcionamiento de la empresa.
3. Iniciar proyectos clave que tengan un impacto significativo en toda la empresa.
4. Determine el alcance del programa general de riesgo y seguridad de la empresa considerando las prioridades, los activos y el análisis de brechas de la empresa.
5. Evitar que los problemas de seguridad se conviertan en un cuello de botella que dificulte el desarrollo de la productividad interna.
Las OSC deben evitar cometer los siguientes errores:
1. Pensar que los problemas de seguridad son sólo cuestiones técnicas.
2. Intenta comparar cuestiones macro y micro.
3. Los usuarios de Guess están interesados en temas de seguridad.
4. Supongo que los usuarios saben mucho sobre temas de seguridad.
Cualificaciones del director de seguridad
De la descripción anterior de las responsabilidades del CSO, él desempeña un papel muy importante en la empresa, por lo que los requisitos de calificación para el CSO también deben ser compatible con sus responsabilidades.
Debe ser un líder racional, elocuente y persuasivo. Como miembro competente del equipo directivo superior de la empresa, está cualificado para este puesto. Capacidad para comunicar ampliamente sobre conceptos relacionados con la seguridad tanto al personal técnico como al no técnico.
Experiencia en planificación empresarial, revisión contable y gestión de riesgos, incluyendo negociaciones contractuales y comerciales.
Tener cierta formación jurídica y comprender plenamente la tecnología de la información y la seguridad de la información, incluidos cortafuegos, VPN, detección de intrusos y otros equipos de seguridad.
Las cualidades básicas que debe poseer un director de seguridad cualificado.
Capacidad de gestión. El CSO debe diseñar mecanismos de seguridad, formular reglas de seguridad y comunicar a la dirección de la empresa por qué se necesita dicho plan de seguridad. Sus capacidades de gestión deben permitirle tomar sus propias decisiones.
Los mecanismos de seguridad incluyen firewalls, IDS y cómo implementar IPS. En respuesta a las vulnerabilidades de la red y los métodos de ataque de piratas informáticos, el CSO debe formular reglas de seguridad para que los gerentes de cada departamento de la empresa sepan lo que se debe hacer y realizar inspecciones periódicas para evaluar la seguridad de cada departamento.
Por ejemplo, en el negocio de comercio en línea de un banco, la información sobre precios y noticias de este negocio proviene de otras empresas. El banco necesita conectarse con muchas empresas de terceros diferentes para obtener dicha información de una manera. manera oportuna. Al mismo tiempo, los bancos también deberían abrir sus plataformas de negociación al mundo exterior, permitiendo a los usuarios iniciar sesión, ver precios y comprar y vender acciones. Este tipo de negocio es muy complejo e involucra información interna, externa y de terceros importante, y hay muchas cuestiones de seguridad que deben considerarse.
Cuando obtienes información de un tercero, solo puedes permitir que la otra parte envíe la información, pero no puedes permitir que el tercero obtenga la información interna del banco. El control es unilateral y no se pueden cometer errores en el medio. Si a los piratas informáticos se les permite colarse y publicar una noticia falsa, el mercado se verá gravemente afectado. Garantizar que los datos del tercero no hayan sido alterados y que la transmisión del tercero no se haya interrumpido no es sólo una cuestión técnica. Pensar en la seguridad únicamente desde una perspectiva técnica suele resultar inseguro.
Externamente, implica cómo controlar a los usuarios, lo que requiere algunas reglas. Por ejemplo, si un usuario ingresa una contraseña incorrecta tres veces, no podrá iniciar sesión y deberá pasar otra autenticación antes de volver a iniciar sesión. Estas reglas no son sólo externas sino también internas. Cuando los usuarios ingresan, debe considerar si hay IPS y firewalls para evitar piratas informáticos, si es necesario realizar una copia de seguridad del servidor de red, etc.
Para las bases de datos bancarias, el administrador no puede ver los datos personales del usuario, solo puede administrar la base de datos. Si es necesario agregar algunos mecanismos de seguridad entre la base de datos y el servidor de red, cómo realizar la autenticación para garantizar la seguridad de los datos del usuario, etc. , en realidad es difícil formular estas reglas.
Las OSC también necesitan entender la tecnología. Por supuesto, los requisitos técnicos no son muy estrictos, pero el CSO debe saber qué son las nuevas vulnerabilidades y los nuevos ataques, cómo protegerlos y cómo cumplir con los requisitos de seguridad.
Por ejemplo, si una empresa quiere comprar un firewall, el CSO no solo debe saber por qué está instalado el firewall, sino también cómo instalarlo y cómo concentrar el servidor de red y el servidor de correo en un área. y separarlos del área interna para garantizar que el área interna de la empresa esté protegida.
Ahora que IPS se ha vuelto popular, las OSC necesitan saber cómo utilizar IPS, dónde colocarlo y qué redes son importantes y no pueden permitir el ingreso de piratas informáticos. Todas estas son cosas técnicas que deben saberse.
El OSC debe tener conocimientos integrales, comprender las operaciones de la empresa y tener conocimientos jurídicos.
Por ejemplo, el CSO de un banco tiene diferentes requisitos de seguridad para varios departamentos del banco. El CSO debe tener buenos conocimientos para comprenderlos. El conocimiento no se trata sólo de tecnología. Necesita saber cómo operan departamentos específicos y utilizar sus habilidades técnicas para garantizar la seguridad de todos los departamentos. El CSO también necesita conocimientos jurídicos. Las leyes aplicables en cada departamento del banco son diferentes, por lo que también necesita esos conocimientos.