¿Por qué y cómo Convertirse en un CISO?

Por qué y cómo convertirse en un CISO

Quick Intro:

El gran jefe de un departamento de seguridad de TI dentro de una organización es el Director de Seguridad de la Información (CISO). Las funciones principales de un CISO son seleccionar, supervisar y proporcionar el liderazgo y la gestión adecuados para cualquier iniciativa relacionada con la seguridad cibernética principal de una organización. En una posición de nivel C en organizaciones de gran escala, a veces asesora en asuntos críticos de seguridad corporativa con el FBI, la policía y el gobierno.

What is a CISO responsible for?

Debería esperar tomar un trabajo que le brinde tanto poder como libertad. Si bien este es el caso habitual, es posible que algunas organizaciones tengan un poder muy bajo o incluso nulo. La siguiente lista le brinda las principales responsabilidades que puede asumir como  el CISO de una organización, liderando todo el dominio de seguridad.

  • Usted es responsable de seleccionar un grupo de expertos en seguridad de TI y guiarlos todo el tiempo.
  • Es su responsabilidad diseñar un plan estratégico confiable que maneje las implementaciones de las tecnologías de seguridad de la información utilizadas dentro de la organización. Además, su plan incluirá las mejoras propuestas que se aplicarán a dichas técnicas.
  • Debe asegurarse de que todas las políticas de seguridad corporativas se desarrollen y cumplan con los estándares de seguridad definidos. Su supervisión también debe incluir todos los estándares de seguridad o cualquier procedimiento realizado dentro de la organización.
  • Debe asegurarse de que todo el desarrollo de cualquier sistema de TI dentro de la organización sea consistente con las políticas de seguridad y con las estrategias establecidas para la protección de la información.
  • Debe trabajar con los principales interesados para desarrollar un sistema integral de gestión de riesgos de seguridad de TI dentro de la organización.
  • Siempre debe evaluar los sistemas actuales y asegurarse de que estén seguros de acuerdo con los estándares definidos. Esto podría hacerse a través de auditorías programadas en dichos sistemas para garantizar que la seguridad se mantenga en buen estado.
  • Debe mantenerse siempre actualizado con toda la infraestructura moderna para diferentes sistemas de seguridad dentro de la organización.
  • Siempre debe pensar en amenazas de seguridad potenciales y predecirlas en el momento en que ocurren para la organización.
  • Debe buscar las vulnerabilidades o debilidades, amenazas o eventos existentes dentro de las redes o sistemas de su organización.
  • Debe trabajar en el desarrollo de una estrategia perfecta para manejar los incidentes de seguridad. Además, debe organizar algunas actividades de investigación que se realizarán en los diferentes sistemas de seguridad dentro de la organización.
  • Siempre debe ser el punto focal para cualquier investigación dentro del departamento de seguridad de TI. También debe dirigir un estudio completo con cursos de acción recomendados.
  • Siempre debe trabajar en la asignación de los recursos de la manera más eficiente. El uso de dichos recursos de seguridad con la máxima eficiencia y corrección ahorra a su empresa enormes cantidades de dólares.
  • Los asuntos financieros también se consideran uno de sus principales puntos focales cuando se trata de procedimientos de ciberseguridad que la organización emprendería. De hecho, siempre debe hacer predicciones de costos de cada paso o proyecto que se va a realizar en los departamentos de ciberseguridad. También debe estimar los costos necesarios para el mantenimiento de todos los activos de seguridad propiedad de la organización.
  • Debe ser un líder real para todo el personal que trabaja debajo de usted en la jerarquía de puestos. Esto significa que siempre debe realizar diferentes capacitaciones para ellos, brindarles asistencia cuando sea necesario mejorar sus habilidades de liderazgo de modo que sean capaces de ascender en la escala de posiciones a posiciones gerenciales superiores en el corto y largo plazo.
  • Siempre debe diseñar e implementar programas educativos que tengan como objetivo aumentar el conocimiento de los usuarios y el cumplimiento de la seguridad.
  • Siempre debe trabajar con la alta gerencia para asegurarse de la implementación, revisión, mantenimiento y gobierno efectivo de las políticas de protección de seguridad de TI dentro de la organización.
  • Por lo general, será responsable de muchas otras tareas no técnicas dentro de su organización. De hecho, en las empresas de gran escala, generalmente no se espera que usted se ocupe de sus asuntos técnicos. Sin embargo, en compañías bastante pequeñas, se espera que trabaje con sus manos en algunas tareas técnicas, así como en sus tareas de gestión.
  • Siempre debe informar al CIO o al CEO de su organización sobre los aspectos de seguridad de la organización.

What career paths can lead me here?

Debería esperar permanecer en la seguridad de la información durante años y años antes de convertirse en el CISO de una organización. A lo largo de estos años, usted gana experiencia en asuntos técnicos, así como en muchos otros asuntos no técnicos. También desarrollará muchas más habilidades y obtendrá acreditaciones en el campo de la seguridad de la información. Esta sección le muestra las rutas completas y las más eficientes que puede tomar si está interesado en convertirse en el gran jefe de seguridad.

Puede considerar comenzar en una posición de nivel inicial tal como:

  • Administrador de seguridad
  • Administrador de red
  • Administrador de sistema

Puede pasar suficiente tiempo en una de estas posiciones hasta que tenga la confianza suficiente para pasar al siguiente paso. Ahora puede trabajar en muchas de sus habilidades interpersonales, así como técnicas en una de estas posiciones:

  • Especialista en seguridad
  • Analista de seguridad
  • Ingeniero de seguridad
  • Consultor de seguridad
  • Auditor de seguridad

Su siguiente paso después de obtener experiencia de uno de estos trabajos es pasar a una posición de alto nivel dentro de una organización. Este puesto de trabajo de nivel superior le proporcionará muchas habilidades diversas relacionadas con el liderazgo, la gestión de proyectos y las políticas organizacionales. Puede considerar uno de estos trabajos para este propósito:

  • Gerente de seguridad
  • Gerente de Proyectos de TI
  • Arquitecto de seguridad
  • Director de seguridad

Tu próximo paso debe ser el CISO. ¡Buena suerte! Sube la escalera.

What are the similar jobs to a CISO position?

La mayoría de las empresas se refieren a la posición de gran jefe en el dominio de seguridad de TI como CISO. Sin embargo, algunos otros empleadores se refieren al mismo trabajo conotros términos. La siguiente lista da ejemplos de estos otros términos.

  • Director de Seguridad (CSO)
  • Oficial de Seguridad de la Información (ISO)
  • Jefe Global de Seguridad de la Información

Es importante tener en cuenta que muchas organizaciones pequeñas tienen a su director de seguridad actuando como CISO. No tienen un puesto de trabajo CISO.

How much money should be expected from this job?

En cuanto a las cifras de PayScale, existen principalmente dos categorías de Oficiales de seguridad de la información para las cuales los salarios varían.

La primera categoría es CISO. Para esta posición, el salario promedio es de $ 131,322. Sin embargo, existe una gran brecha entre los salarios mínimos y máximos para este trabajo nuevamente de acuerdo con el tamaño de la organización. El mínimo es de $ 74,082 mientras que si trabaja para una organización que depende en gran medida de la ciberseguridad, debe esperar hasta $ 239,307 para ganar anualmente.

La segunda categoría es CSO. Sin embargo, esta posición tiene un salario promedio más alto de $ 139,763. Además, la brecha entre los salarios mínimos y máximos para esta posición es realmente enorme. Uno puede esperar ganar un salario de $ 58,734 y hasta $ 223,558.

Puede observar que las cifras de pago totales incluyen su salario base anual, bonificaciones, participación en los beneficios, propinas, comisiones, pago por horas extra y otras formas de ganancias en efectivo, según corresponda.

What degree is suitable for this position?

En primer lugar, se espera que tenga una licenciatura en informática, seguridad cibernética o un campo técnico relacionado. Además, muchos empleadores empezaron a exigir a sus candidatos que también cursaran una maestría técnica con especialización en seguridad de TI. Esto se debe a la creciente conciencia sobre la seguridad cibernética que los empleadores comenzaron a ganar. Por último, siempre debe buscar la formación continua en el campo, así como certificados profesionales. Te hacen realmente atractivo para todos los empleadores.

How much experience in expected for this job?

Se espera que tenga al menos 7 a 12 años de experiencia en el campo de TI y seguridad. Este suele ser el requisito básico para que cualquier empleador comience a considerar su solicitud. Más específicamente, de estos años de experiencia, debe gastar al menos 5 años de experiencia en el campo de la administración de operaciones de seguridad y el liderazgo de los equipos de seguridad.

What kind of hard skills are required for this job?

A medida que se asciende en la jerarquía laboral, se deberá adquirir muchas habilidades técnicas hasta convertirse en el CISO.  Se debe tener las mismas habilidades técnicas que tienen loss mejores ingenieros dentro de la organización o las mismas habilidades técnicas que tiene el director de seguridad. La siguiente lista señala las habilidades técnicas más importantes que se deben tener para esta posición.

  • Debe conocer tanto las arquitecturas de empresa como las de seguridad.
  • También debe conocer las prácticas y los métodos cuando se trata de la estrategia de TI.
  • Debe tener una sólida formación en conceptos de redes de computadoras desde una perspectiva de seguridad como DNS, autenticación, VPN, servicios de proxy y tecnologías de mitigación de DDOS. Además, la experiencia con TCP / IP, enrutamiento y conmutación es necesaria.
  • Debe sentirse cómodo al tratar con marcos como ISO 27001/27002, ITIL y COBIT.
  • Debe tener experiencia con las evaluaciones de cumplimiento comunes como PCI, HIPAA, NIST, GLBA y SOX.
  • Definitivamente, debería sentirse cómodo al tratar con sistemas operativos similares a Windows y Unix.
  • Debe tener experiencia práctica trabajando con diferentes lenguajes de programación como C, C ++, C #, Java y PHP.
  • Debe estar de pie sobre una base sólida cuando se trata de protocolos que se ocupan de la detección de intrusos, la prevención de intrusos y los cortafuegos.
  • El conocimiento de los conceptos de prácticas para la codificación segura también es esencial. Además, debe tener experiencia con técnicas para el pirateo ético y el modelado de amenazas.
  • Debe conocer cómo se puede definir y desarrollar la arquitectura de seguridad de la red.
  • Debe obtener conocimiento a lo largo de las reglas y metodologías utilizadas para la auditoría de terceros y la evaluación de riesgos de la nube.

What kind of soft skills are required for this job?

Debes tener muchas habilidades básicas para poder encajar perfectamente en esta posición. Los empleadores quieren ver que tienes excelentes habilidades orales y de comunicación. Además, quieren ver la organización, pensamiento orientado a procesos, planificación estratégica y ataque creativo. De hecho, se espera que usted sea un general de cinco estrellas para el departamento de seguridad de TI, lo que hace que los empleadores establezcan estándares muy altos para las habilidades sociales de sus candidatos.

Las habilidades que están relacionadas con sus aspectos interpersonales y habilidades de negociación son altamente recomendables para este trabajo. Debido a los requisitos de su trabajo, se espera que, como CISO, trate con diferentes partes interesadas dentro de su organización e influya en ellos. Entonces debería poder dirigir grandes equipos, colaborar con ejecutivos de alto nivel y establecer relaciones sólidas con varios departamentos dentro de su organización.

Al menos, seguramente se espera que, como CISO, enfrente mucha presión cuando se trata de requisitos legales o normativos. También es probable que enfrente las posibles limitaciones financieras para los proyectos y aplicaciones previstos; Tiene que ser capaz de adaptarse en consecuencia. También debe poder adoptar nuevas tecnologías cuando se utilizan dentro de su organización para continuar con sus proyectos y programas planificados. De hecho, todas estas habilidades son elogiadas por los empleadores y quieren verlas durante el proceso de la entrevista.

What certifications are suitable for a CISO?

Como gerente de nivel sénior, se requiere que usted tenga las certificaciones CISSP y CISM. Sin embargo, hay muchas otras certificaciones que puede considerar para agregar sus habilidades, conocimientos y experiencia, lo que aumenta sus posibilidades de ser seleccionado para esta posición. La siguiente lista proporciona ejemplos de algunas certificaciones importantes que debe tener en cuenta para esta posición.

  • CISA: Certified Information Systems Auditor// Auditor Certificado de Sistemas de Información.
  • CISM: Certified Information Security Manager// Gerente Certificado de Seguridad de la Información.
  • GSLC: GIAC Security Leadership// Liderazgo de Seguridad GIAC.
  • CCISO: Certified Chief Information Security Officer// Director de seguridad de la información certificado.
  • CGEIT: Certified in the Governance of Enterprise IT// Certificado en el Gobierno de TI Empresarial.
  • CISSP: Certified Information Systems Security Professional// Profesional Certificado en Seguridad de Sistemas de Información.
  • CISSP-ISSMP: Information Systems Security Management Professional// Profesional de Gestión de Seguridad de Sistemas de Información