*Por Delta Protect, proveedor de servicios en ciberseguridad de aplicaciones, con un enfoque en la seguridad proactiva a través de la seguridad por diseño.
Incluso para las startups que no son de ciberseguridad, tener a alguien al mando de esta área es igual o más importante que tener alguien encargado de las finanzas (CFO) o de la mercadotecnia (CMO); no solo por las constantes amenazas cibernéticas a las que se enfrentan hoy las startups y las compañías en general, sino que se convertirán en una parte necesaria en la interacción de una organización con los medios.
Independientemente de que su empresa fabrique gadgets o trabaje con datos de clientes importantes, la seguridad debe estar en primer plano. Lo importante no es nada más decir que se “toman en serio la seguridad y la privacidad”. También tiene que demostrarse con hechos.
Un CISO tiene diferentes roles dentro de una empresa y llevará puestos los sombreros de los mismos. Sus papeles dependerán de la naturaleza de su organización, pero ellos trabajarán en los procesos y políticas internas, que son los que tienen una mayor incidencia en los resultados. Además, se les consultará sobre la utilidad de los productos o servicios en términos prácticos.
Pues es necesario asegurarse de que se está cumpliendo con las expectativas de privacidad esperadas por el consumidor. Pero para una startup de ciberseguridad promedio, un CISO también debe actuar como un punto de contacto para el producto o servicio de su compañía. Por lo mismo, ninguna startup de ningún tamaño, especialmente una de seguridad, debería vivir sin un CISO.
No obstante, la realidad es algo distinta, pues el 95% de las empresas más ricas del mundo no tienen un CISO. De hecho, Facebook no ha tenido a nadie que dirija la rienda de seguridad desde agosto, siendo una de las compañías que más debería de preocuparse por esto; esta compañía no la ha tenido nada fácil en términos de privacidad de sus usuarios y seguridad de sus sistemas en los último años. La compañía está corriendo sin cabeza sin una dirección a dónde ir. Esto es lo que les pasa a las organizaciones (de cualquiera que sea su tamaño) si no tienen un encargado de esta importantísima área.
Pero las nuevas empresas no pueden darse el lujo de cometer los mismos errores que los gigantes tecnológicos que ganan miles de millones de dólares y que se arriesgan a perder unos cuantos en el camino ya que, en realidad no les cuesta mucho recuperar sus ingresos. En los últimos meses, varias empresas nuevas en el mercado han cometido errores de novatos: errores de seguridad simples pero dolorosos que fueron encontrados por los investigadores en este campo.
Por ejemplo: la startup de gestión de documentos OpticsML filtró millones de documentos con la información de las hipotecas de sus clientes. Asimismo, el sitio de transmisión Kanopy expuso las estadísticas de visualización de sus usuarios; por otro lado, la compañía de registros médicos Meditab expuso, accidentalmente, un servidor con millones de registros médicos y grabaciones de llamadas que contenían información confidencial.
El CISO se encarga de la seguridad de la información de una organización, es decir, mantiene seguros los datos de la empresa y la información de los clientes. Tiene que hacerse ciertas preguntas clave como ¿están los datos encriptados y cómo la compañía guarda las claves de encriptación? ¿Quién puede acceder a los datos del usuario si lo solicita la policía? ¿Existen controles de acceso adecuados para evitar el uso indebido de información privilegiada?
Además de lo antes mencionado, desarrolla sistemas de protección para su producto: ya sea que esté recopilando o procesando datos de clientes u ofreciendo un producto que se conecta a Internet. También se dedica a hacer el presupuesto y la administración de riesgos. Así es como este actor clave en cualquier organización se asegura de que su producto proporcione seguridad y privacidad.
La moraleja aquí es que no importa qué tan grande o chica sea tu startup, puedes apostar a que alguien encontrará una vulnerabilidad.
Es necesario pensar en un CISO como una inversión más que como un gasto corriente de la compañía, ya que este actor juega un rol fundamental en la protección de datos, vulnerabilidades, ataques dirigidos e imprevistos en cuestiones de seguridad informática. Por ello, es que la ciberseguridad es primordial en el mundo interconectado del siglo XXI. Y el CISO será el encargado de esto.
Incluso para las startups que no son de ciberseguridad, tener a alguien al mando de esta área es igual o más importante que tener alguien encargado de las finanzas (CFO) o de la mercadotecnia (CMO); no solo por las constantes amenazas cibernéticas a las que se enfrentan hoy las startups y las compañías en general, sino que se convertirán en una parte necesaria en la interacción de una organización con los medios.
Independientemente de que su empresa fabrique gadgets o trabaje con datos de clientes importantes, la seguridad debe estar en primer plano. Lo importante no es nada más decir que se “toman en serio la seguridad y la privacidad”. También tiene que demostrarse con hechos.
Un CISO tiene diferentes roles dentro de una empresa y llevará puestos los sombreros de los mismos. Sus papeles dependerán de la naturaleza de su organización, pero ellos trabajarán en los procesos y políticas internas, que son los que tienen una mayor incidencia en los resultados. Además, se les consultará sobre la utilidad de los productos o servicios en términos prácticos.
Pues es necesario asegurarse de que se está cumpliendo con las expectativas de privacidad esperadas por el consumidor. Pero para una startup de ciberseguridad promedio, un CISO también debe actuar como un punto de contacto para el producto o servicio de su compañía. Por lo mismo, ninguna startup de ningún tamaño, especialmente una de seguridad, debería vivir sin un CISO.
No obstante, la realidad es algo distinta, pues el 95% de las empresas más ricas del mundo no tienen un CISO. De hecho, Facebook no ha tenido a nadie que dirija la rienda de seguridad desde agosto, siendo una de las compañías que más debería de preocuparse por esto; esta compañía no la ha tenido nada fácil en términos de privacidad de sus usuarios y seguridad de sus sistemas en los último años. La compañía está corriendo sin cabeza sin una dirección a dónde ir. Esto es lo que les pasa a las organizaciones (de cualquiera que sea su tamaño) si no tienen un encargado de esta importantísima área.
Pero las nuevas empresas no pueden darse el lujo de cometer los mismos errores que los gigantes tecnológicos que ganan miles de millones de dólares y que se arriesgan a perder unos cuantos en el camino ya que, en realidad no les cuesta mucho recuperar sus ingresos. En los últimos meses, varias empresas nuevas en el mercado han cometido errores de novatos: errores de seguridad simples pero dolorosos que fueron encontrados por los investigadores en este campo.
Por ejemplo: la startup de gestión de documentos OpticsML filtró millones de documentos con la información de las hipotecas de sus clientes. Asimismo, el sitio de transmisión Kanopy expuso las estadísticas de visualización de sus usuarios; por otro lado, la compañía de registros médicos Meditab expuso, accidentalmente, un servidor con millones de registros médicos y grabaciones de llamadas que contenían información confidencial.
El CISO se encarga de la seguridad de la información de una organización, es decir, mantiene seguros los datos de la empresa y la información de los clientes. Tiene que hacerse ciertas preguntas clave como ¿están los datos encriptados y cómo la compañía guarda las claves de encriptación? ¿Quién puede acceder a los datos del usuario si lo solicita la policía? ¿Existen controles de acceso adecuados para evitar el uso indebido de información privilegiada?
Además de lo antes mencionado, desarrolla sistemas de protección para su producto: ya sea que esté recopilando o procesando datos de clientes u ofreciendo un producto que se conecta a Internet. También se dedica a hacer el presupuesto y la administración de riesgos. Así es como este actor clave en cualquier organización se asegura de que su producto proporcione seguridad y privacidad.
La moraleja aquí es que no importa qué tan grande o chica sea tu startup, puedes apostar a que alguien encontrará una vulnerabilidad.
Es necesario pensar en un CISO como una inversión más que como un gasto corriente de la compañía, ya que este actor juega un rol fundamental en la protección de datos, vulnerabilidades, ataques dirigidos e imprevistos en cuestiones de seguridad informática. Por ello, es que la ciberseguridad es primordial en el mundo interconectado del siglo XXI. Y el CISO será el encargado de esto.