Seguridad Corporativa, ¿una más?

Seguridad Corporativa, ¿una más?

Sinceramente creo que la palabra “seguridad” es una de las palabras con más apellidos del mundo, cuando la realidad, en mi opinión, es que solo se debería hablar de seguridad, como si fuera una estrella del rock.

Hay tipos de seguridad muy conocidos como la ciberseguridad o la seguridad laboral, pero es cierto que hay muchas más. Solo en Wikipedia podemos encontrar 14 y falta muchas más:

  • Bioseguridad.
  • Seguridad ciudadana.
  • Seguridad humana.
  • Seguridad informática.
  • Seguridad jurídica.
  • Seguridad laboral.
  • Seguridad social.
  • Seguridad vial.
  • Seguridad bancaria.
  • Seguridad privada.
  • Seguridad de la información.
  • Seguridad nacional.
  • Seguridad alimentaria.
  • Seguridad física.

Pero hoy quiero hablar y centrarme en la llamada “Seguridad Corporativa” que me parece un concepto perfecto y que según vamos a ver en este articulo no es tan sencillo como pueda parecer.

Lo primero seria establecer un punto de partida y ese punto es un concepto:

La revista “Seguritecnia” en 2016 definió la “Seguridad Corporativa” como “el conjunto de políticas, procedimientos y recursos humanos, organizativos y técnicos destinados a proteger a las personas, a los activos tangibles e intangibles y a la reputación de una organización.”

La definición dada por Seguritecnia me parece un punto de partida muy bueno para entender que es la “Seguridad Corporativa”. Si analizamos un poco lo que hay dentro de esa definición podemos llegar a que la seguridad corporativa comprende diferente ramas o tipos de seguridad como la Seguridad informática o ciberseguridad, la seguridad perimetral, la seguridad laboral, la seguridad jurídica, …

De todo ello, podemos que la seguridad corporativa es la figura que engloba todo el proceso de seguridad de una organización, de hecho, en algunos foros y en algún momento también es llamada seguridad organizacional.

La seguridad corporativa, en mi opinión, es el rol que vela por el proceso global de seguridad de una compañía. Proceso en el que actúan muchos actores y tipos de seguridad. Esta figura debe ser liderada por un rol, que habitualmente llaman CSO o Chief Security Officer, que no debemos confundir con un CISO o Chief Information Security Officer.

 

 

Aunque en empresas pequeñas suele ser la misma persona, no es lo mismo el CISO que el CSO. El Chief Information Security Officer es el director de seguridad de la información de una empresa, por lo que no tiene tantas labores como el CSO. De hecho, el CISO debe reportar al CSO y este responder ante el CEO. Lo ideal es que ambos perfiles trabajen juntos, ya que hacen parte de su trabajo en común, por lo que deben estar coordinados siempre. Mientras que el CISO debe centrarse en la seguridad de la información y de los datos, el CSO debe ocuparse también de la misión y de los objetivos empresariales. Si cabe decir que en muchas empresas no tan pequeñas el CISO hace también las veces de CSO.

El CSO debe trabaja con los otros actores implicados en la seguridad como son recursos humanos, IT, financiero… debe ser como el mejor director de orquesta, de seguridad claro.

Ahora podríamos preguntarnos: ¿es necesario un CSO en toda compañía? Pues como gran apasionado de su trabajo mi respuesta es clara, un si rotundo. Pero teniendo en cuenta las organizaciones, el mercado y las capacidades de cada uno, se necesita el rol pero no siempre ha de ser una persona, un área… toda compañía debe velar por su seguridad en todos sus ámbitos y si cumple ese requisito esta cubriendo el rol de un CSO.

Otra pregunta que me viene a la cabeza es: ¿a que retos se enfrenta un CSO? Pues esta pregunta es muy interesante y desde mi punto de vista son muchos, pero podemos destacar:

  • Gestión de cambio: creo que este reto es el principal de todos y el más difícil de conseguir. En muchas ocasiones un CSO debe cambiar la forma de trabajar, de hacer negocio de una empresa y para ello es vital que un CSO tenga siempre la esponsorización de la alta dirección. Debe tener un enfoque hacia la concienciación del empleado de tal forma que no solo este cualificado para el trabajo que desempeña si no que sea consciente de la importancia de trabajar de forma segura.
  • Retorno de la inversión (ROI): con casi toda probabilidad las acciones que un CSO debe emprender en una compañía conllevan una inversión que en muchas ocasiones se ve como un gasto mas que como una inversión. Todo CSO debe hacer un estudio que establezca el ROI de la inversión en seguridad de tal forma que la compañía pueda ver cómo invertir en seguridad es ahorro de costes, aumento del negocio y aumento de la rentabilidad.
  • Evolución de los ataques: es en realidad es un reto de las empresas. Los ataques a las compañías evolucionan a la velocidad de la luz y cada vez combinan más técnicas y vectores de ataques. Viéndose ciber ataques que comienzan con una intrusión física.

Todo ello hace que un CSO tenga la obligación de velar por la seguridad corporativa con una visión 360 ya que cada día crece la información de nuestra organización, de nuestros empleados… y por lo tanto crezca la superficie de exposición.

Desde Asseco somos expertos en seguridad 360. Si quieres profundizar más o necesitas ayudar con la seguridad en tu empresa puedes ponerte en contacto con nosotros en cybersecurity@asseco.es

Carlos García Gallardo

Chief Information Security Officer

Asseco Spain Group