Les comparto la siguiente publicación que encontré en el siguiente sitio
Un Difícil Trabajo Corporativo hace la pregunta: ¿Lo puedes hackear?
SAN FRANCISCO — Ten lástima del pobre Chief Information Security Officer (CISO) - Jefe de Seguridad Informática.
“Somos como ovejas esperando ser sacrificadas,” dice David Jordan, el Jefe de Seguridad Informática (CISO) para el condado de Arlington en Virginia. “Sabemos cual va a ser nuestro destino cuando ocurre una brecha. Este trabajo no es para los débiles de corazón.”
Los CISOs tienen uno de los trabajos más difíciles en el mundo de los negocios: Deben estar un paso adelante de mentes maestras criminales en Moscú y hackers militares en Shangai, revisar una lista creciente de checklists de cumplimiento, y vigilar de cerca a vendedores clandestinos y empleados imprudentes que suben datos sensitivos a cuentas de Dropbox y iPhones desbloqueados.
Deben ser hábiles en el manejo de crisis y comunicaciones, y expertos en las tecnologías más sofisticadas, aunque han venido a aprender a las malas, que incluso las trampas de seguridad más nuevecitas no son a prueba de tontos.
Y se enfrentan a rimbombantes noticias sobre vulneraciones — como el arresto de un ruso este mes bajo cargos de hackear tiendas de Estados Unidos — que constantemente les recuerdan de lo que hay bajo riesgo.
“Tenemos que estar en lo correcto el 100% del tiempo,” dijo Tom Kellermann, el CISO de Trend Micro, una firma de Seguridad. Los cibercriminales, dijo, “deben estar en lo correcto una vez.”
Hace una década, pocas organizaciones tenían un CISO dedicado en el puesto. Ahora, mas de la mitad de las corporaciones con más de 1,000 empleados tienen un ejecutivo a tiempo completo o parcial según un estudio llevado a cabo el año pasado por el Ponemon Institute, una firma de investigación.
Compañías como VeriFone, proveedor de sistemas de pago electrónico; Brown-Forman, la empresa de bebidas; las Universidades de Carolina del Norte y Chicago; y empresas jóvenes como Fitbit, todas están buscando oficiales de seguridad dedicados. Neiman Marcus, que sufrió una violación de seguridad importante el año pasado, está en búsqueda de su primero.
El trabajo se ha vuelto tan crítico, dicen los reclutadores, que las compañías han suavizado el trato. Según un estudio, están ofreciendo bonificaciones y salarios por el rango de $188,000 a $1.2 millones, ofreciendo ventajas como la habilidad de trabajar desde casa y generosos tiempos libres, y promesas de presupuestos más grandes para comprar más protección para sistemas porosos.
Aun así, es visto como un trabajo desagradecido. Muchos de los CISOs que tomaron parte en el estudio de Ponemon clasificaron su puesto como el más difícil de la organización. La mayoría de los interrogados dijeron que era un mal trabajo, o el peor trabajo que habían tenido en la vida.
Cuando Target fue vulnerada el año pasado, no tenía un CISO a tiempo completo; contrataron al primero en Junio. Beth Jacobs, quien supervisaba la protección de datos de Target, entre otras labores, fue forzada a renunciar. Gregg Steinhafel, el Ejecutivo en Jefe y Presidente de la Junta Directiva, también perdió su empleo.
Stephen Fletcher, quien supervisaba la seguridad de los datos para el estado de Utah, renunció luego de que una violación hace dos años revelara los datos de 780,000 destinatarios de Medicaid. En Enero, Justin Somaini, el CISO de Yahoo, abandonó su puesto justo antes de que la compañía reconociera una violación de algunas de sus nuevas cuentas de buzón de correo electrónico.
El trabajo tiene tanta presión que muchos terminan yéndose — voluntariamente o no — luego de dos años, de acuerdo al estudio de Ponemon. Esto comparándolo con los Ejecutivos Jefes, que permanecen en promedio 10 años, de acuerdo a otra investigación.
De todos los dolores de cabeza a los que se enfrentan los CISOs, uno de los mayores es averiguar en qué productos de seguridad confiar.
“En los tiempos de antaño, había un dicho, ‘Nunca nadie fue despedido por comprar IBM,’ porque podías confiar en IBM,” dijo Andrew Caspersen, anteriormente CISO en Charles Schwab. “Pero las firmas de Seguridad nunca han podido ser capaces de establecer ese nivel de credibilidad.”
Lo que es más, mientras muchos oficiales de Seguridad Informática concuerdan que un programa antivirus, una forma tradicional de protección, fracasa para defender de las amenazas del mundo moderno, algunos dicen que los productos nuevos tampoco son mucho mejor. También se quejan de que se ha vuelto casi imposible evaluar productos en contra del marketing despiadado y el miedo.
Un reporte de marzo de NSS Labs, un grupo de investigación independiente, señaló el problema. Al comparar productos de detección de violaciones, NSS Labs encontró que productos vendidos por FireEye, el una vez consentido de Wall Street, no rindió tan bien como el Sourcefire de Cisco, Trend Micro y ofertas más económicas de General Dynamics’ Fidelis y Fortinet.
El reporte inmediatamente arrancó una disputa luego de que FireEye declarara que la metodología utilizada tenía “graves irregularidades”, una afirmación que NSS Labs desafió. Y mandó las acciones de FireEye, que se habían triplicado desde su debut en el mercado público, en caída libre.
Pero los oficiales de seguridad dicen que la prueba no les dijo nada de lo que ya no supieran. Dicen que no hay balas de plata cuando se trata de defenderse de las violaciones. Es una cuestión de cubrirse con capas con ayuda de las tecnologías más efectivas, contratando al mejor personal, y esperar por tener buena suerte.
Los candidatos para un trabajo como lo es un oficial de seguridad de la información son cuidadosos de tener las conversaciones difíciles de frente, dicen los reclutadores. Antes de aceptar una oferta, algunos aplicantes quieren asegurarse de que la Junta esté de acuerdo en que las brechas de seguridad son inevitables, y que necesitan alojar un porcentaje lo suficientemente alto de presupuesto de Tecnología en Seguridad.
“Si sabes que vas al matadero, quieres una razón suficiente para tomar el trabajo,” dijo John Kindervag, un Analista de Seguridad en la firma de investigación de mercados Forrester. “Las personas no hablan acerca de lo que le hacemos a estas pobres personas. Estamos poniendo toda esta complejidad en sus hombros , y al final todo es simplemente ‘Buena suerte!’ ”
Para hacer frente a tanta angustia, muchos CISOs dicen que recurren al humor. Una broma — recontada a este reportero 3 veces en una semana — es la historia del nuevo Oficial de Seguridad que conoce a su predecesor.
Un Difícil Trabajo Corporativo hace la pregunta: ¿Lo puedes hackear?
SAN FRANCISCO — Ten lástima del pobre Chief Information Security Officer (CISO) - Jefe de Seguridad Informática.
La profesión apenas existía hace una generación. Pero combatir la creciente amenaza de violaciones en línea, las compañías y gobiernos están contratando ejecutivos cuya principal responsabilidad es asegurarse que los Sistemas de Datos estén seguros. Cuando las cosas salen mal — que ocurre a menudo — estos ejecutivos ya esperan cargar con la culpa.
Y se enfrentan a rimbombantes noticias sobre vulneraciones — como el arresto de un ruso este mes bajo cargos de hackear tiendas de Estados Unidos — que constantemente les recuerdan de lo que hay bajo riesgo.
Hace una década, pocas organizaciones tenían un CISO dedicado en el puesto. Ahora, mas de la mitad de las corporaciones con más de 1,000 empleados tienen un ejecutivo a tiempo completo o parcial según un estudio llevado a cabo el año pasado por el Ponemon Institute, una firma de investigación.
El trabajo tiene tanta presión que muchos terminan yéndose — voluntariamente o no — luego de dos años, de acuerdo al estudio de Ponemon. Esto comparándolo con los Ejecutivos Jefes, que permanecen en promedio 10 años, de acuerdo a otra investigación.
De todos los dolores de cabeza a los que se enfrentan los CISOs, uno de los mayores es averiguar en qué productos de seguridad confiar.
“En los tiempos de antaño, había un dicho, ‘Nunca nadie fue despedido por comprar IBM,’ porque podías confiar en IBM,” dijo Andrew Caspersen, anteriormente CISO en Charles Schwab. “Pero las firmas de Seguridad nunca han podido ser capaces de establecer ese nivel de credibilidad.”
El predecesor le da tres sobres numerados y le dice que sólo los abra en caso de emergencia. Tras una violación, el nuevo oficial de seguridad abre el primer sobre. el mensaje se lee, “Culpa a tu predecesor.” Luego de un segundo incidente, abre el segundo, el cual sugiere, “culpa a tu personal.” Después de una tercera brecha, el oficial de seguridad abre el tercer sobre.
El mensaje lee, “Prepara tres sobres.”
El mensaje lee, “Prepara tres sobres.”
Comentarios
Publicar un comentario