Una de las cosas que más perturba el sueño de un responsable de la seguridad informática de una gran empresa es una fuga masiva de datos. Y desgraciadamente, para los Chief Information Security Officers o CISO, esta es una realidad cotidiana con la que tienen que lidiar. Algunos números contrastados pueden ayudar a entender la dimensión del problema.
De acuerdo con el Breach Level Index, cada día se pierden o se roban más de cinco millones de perfiles personales. Los datos de las mayores fugas de información o data leaks de la historia dan que pensar. Una de las más graves de los últimos años ha sido la que sufrió en septiembre de 2017 Equifax, proveedor de información comercial y de crédito, que afectó a casi 148 millones de cuentas. Los hackers se hicieron con direcciones postales, números de carnets de conducir y perfiles financieros.
Sin ir más lejos en tiempo y espacio, hace sólo unas semanas, el IESE tenía que admitir que había sido objeto de varios ataques. Los hackers accedieron a bases de datos de la prestigiosa escuela de negocios entrando por un servidor antiguo cuya misión era mantener una de las páginas web de la institución.
Una fuga de datos puede tener grandes consecuencias, y también, tras la entrada en vigor definitiva del GDPR, el reglamento europeo de protección de datos, puede obligar a la empresa afectada a pagar multas millonarias de decenas o cientos de millones de euros. De hecho, según una encuesta realizada por F5, fabricante de soluciones de seguridad para grandes empresas, entre casi 200 CISO de todo el mundo, preservar la confianza de los clientes es una de las misiones más importante que tienen entre manos estos profesionales.
El perfil técnico del CISO
Félix Muñoz, CEO de Innotec System, firma especializada en seguridad que cuenta con más de 350 profesionales y con clientes a ambos lados del Atlántico, nos comenta que los incidentes de seguridad que llegan al dominio público son una pesadilla para los CISO porque requieren de unas dotes de comunicación con las ellos generalmente no cuentan, porque, por lo general, suelen tener un perfil bastante técnico.
En cualquier caso, el de CISO es unos de los perfiles tecnológicos más pujantes de los últimos años, rivalizando muchas veces protagonismo con el propio CIO, el jefe máximo de la informática en las grandes empresas. Hasta no hace mucho, el responsable de la seguridad informática era uno más en el equipo tecnológico, pero hoy es una estrella cuya voz empieza a ser escuchada en los máximos órganos de dirección de la compañía.
En muchas ocasiones, el mayor enemigo de la seguridad corporativa no está en oscuros y temibles hackers que viven a miles de kilómetros, sino dentro, en los propios empleados que se convierten en la primera puerta de entrada del malware
Esto es así desde hace relativamente poco tiempo, porque en el pasado su labor se limitaba a procurar los sistemas, como antivirus o cortafuegos, que defendían a las compañías de los ataques exteriores. Pero hoy el CISO no sólo es el encargado de preservar la integridad y el control de los datos corporativos. De él también depende, hasta cierto punto, la gestión de esa información. Y, como todo el mundo va asumiendo en estos tiempos de economía digital, el dato va a ser al final el gran activo de las compañías, por encima de la maquinaria y las instalaciones que poseen, o el stock de producto que mantienen en un momento dado.
Conocimientos legales y de negocio
Por eso, a día de hoy, al CISO se le pide que combine su perfil técnico con el de un hombre de negocios. Y que incluso se empape de las cuestiones legales que cada vez marcan más la gestión de la información en las compañías. Un buen CISO debe conocer en profundidad la ISO 27001, que describe cómo gestionar la seguridad de la información en las empresas, pero también la Ley Orgánica de Protección de Datos, la famosa LOPD, y su continuación, el GDPR, que, como decíamos antes, endurece las multas por fugas de información y obliga a ser más transparentes a la hora de comunicar estos episodios a los usuarios, entre otras muchas cosas. Además, debe estar al tanto de otras certificaciones internacionales en materia de auditoría de seguridad.
Por otra parte, al CISO también se le exige que lidere cambios en los procesos de las compañías y en los hábitos de los empleados. Y es que, en muchas ocasiones, el mayor enemigo de la seguridad corporativa no está en oscuros y temibles hackers que viven a miles de kilómetros y actúan desde países permisivos en materia de fraude, sino que está dentro, en los propios empleados que, por descuido o desconocimiento, se convierten en la primera puerta de entrada del malware. Son los que los anglosajones llaman “malicious insiders”.
Un ejecutable en un e-mail aparentemente normal puede desembocar en una crisis. Uno de los tipos de ataque que más ha dado que hablar en los últimos años, el ransomware, que cifra los datos del disco duro, muchas veces ha proliferado desde e-mailings totalmente anodinos. Es lo que lleva años pasando con el phishing.
Complica la vida de un CISO la cantidad de hardware y software que hay en una gran empresa relacionado con la seguridad, desde los tradicionales antivirus, a los cortafuegos de la red, pasando por las soluciones destinadas al correo, las redes WiFi, la nube, la gestión de accesos…
Por eso, los CISO y los equipos de seguridad de las compañías tienen el trabajo extra de promover la concienciación en la plantilla sobre la importancia de la seguridad, desde el consejero delegado al último subalterno. Esta labor, además, se complica más porque, como recuerda Félix Muñoz, “los modelos de concienciación basados en charlas están obsoletos” y, como alternativa, muchos están apostando por nuevas técnicas de gamificación. A nivel general, hoy empiezan a dar resultados “los juegos de empresa” basados en el manejo de los tradicionales bloques de plástico de Lego, o la plataforma virtual Game Learn, que prima las dotes de observación y la intuición del jugador, que puede tomar riesgos y decisiones sin tener que leer ningún manual de instrucciones.
Wannacry marcó un punto de inflexión
En este sentido, Muñoz cree que episodios muy mediáticos como Wannacry, el ransomware que cogió por sorpresa a cientos de grandes empresas y organismos en todo el mundo el 12 de mayo de 2017, ha cambiado, para mejor, la percepción de muchos empleados. “Creo que el hecho de que la seguridad se haya convertido en un asunto de portada está cambiando la percepción y generando conciencia de forma generalizada”. Eso sí, Muñoz advierte también de que en las empresas que no fueron afectadas los directivos por lo general no han cambiado las pautas de comportamiento.
Otro de los asuntos que complican la vida a un CISO es la cantidad de hardware y software que hay en una gran empresa y tiene que ver con la seguridad, desde los tradicionales antivirus de los PC y portátiles, a los cortafuegos de la red, pasando por las soluciones destinadas al correo, las redes WiFi, la nube, la gestión de accesos o la generación de copias de respaldo (backup), entre otras cosas.
En el mercado, un CISO tiene disponible cientos de proveedores con miles de tecnologías y referencias de producto. Esto supone un reto para el profesional de la seguridad, que tiene que actualizarse casi a diario en materia de ataques, pero también debe poner al día sus conocimientos sobre las tecnologías a su alcance para hacerles frente.
Un perfil muy demandado y bien pagado
Precisamente, estos constantes cambios tecnológicos y de los comportamientos de los ciberdelincuentes hacen que no haya tantos profesionales formados como harían falta. Este déficit provoca un quebradero de cabeza a las empresas y también ha disparado en los últimos años los salarios de todos los perfiles profesionales que tienen que ver con el mundo de la seguridad. Felix Muñoz asegura que en algunas áreas de su compañía el coste salarial se ha incrementado más de un 20% cada año.
En Estados Unidos, el salario de los CISO ronda los 220.000 dólares anuales, mientras que en España si trabaja para una empresa mediana puede ganar entre 100.000 y 150.000 euros. En compañías más pequeñas, el sueldo oscila entre 50.000 y 90.000 euros
En Estados Unidos, el salario medio de los CISO ronda los 220.000 dólares anuales, según la web salary.com. En algunos casos, en mercados grandes como el estadounidense o el británico, hay responsables de seguridad que pasan del millón de dólares o de libras. En España, y según un informe de Robert Walters, firma de selección de personal, un CISO que trabaje para una empresa mediana de entre 300 y 1.000 empleados puede ganar entre 100.000 y 150.000 euros anuales. En compañías más pequeñas, el sueldo oscila entre 50.000 y 90.000 euros. Un reciente estudio de Spring Professional, la división de Adecco especializada en colocación de informáticos, también confirma que los CISO en este país pueden llegar a los 120.000 euros de remuneración.
Es la recompensa económica a tantos desvelos. Al fin y al cabo, y como hemos visto a lo largo de este artículo, el CISO es hoy un profesional que tiene que estar siempre a la última en materia de ataques y tecnologías para prevenirlos, así como en aspectos relacionados con la legislación, las auditorías y las ISO que velan por la protección de datos en las compañías. Un trabajo apasionante, pero ciertamente muy exigente.
Imágenes / iStock
