La decisión del CISO
El CISO de una empresa enfrenta desafíos en el día a día. Uno de estos desafíos es tomar decisiones importantes que afectan la seguridad de la información de nuestra organización. Hay tres preguntas clave que nos hacemos a menudo:
- ¿Debo elegir el Blue Team o Red Team?
- ¿Debo optar por open source o software comercial?
- ¿Debo centrarme en la operación de ciberseguridad o en el gobierno de ciberseguridad?
La primera pregunta, ¿Blue Team o Red Team?, es una decisión importante. El Blue Team se centra en la defensa y protección de los sistemas y datos de la empresa apoyándose en políticas y estándares, mientras que el Red Team se centra en simular ataques para evaluar la seguridad de la empresa. Ambos equipos son importantes y tienen sus ventajas y desventajas. Personalmente, creo que es importante tener un equilibrio entre ambos equipos para garantizar una seguridad óptima y probar frecuentemente las defensas de nuestra organización.
La segunda pregunta, ¿open source o software comercial?, también es una decisión importante. El software open aource es gratuito y puede ser modificado por cualquier persona, lo que puede ser una ventaja en términos de flexibilidad y personalización. Sin embargo, el software comercial nos puede ofrecer más soporte y garantías. En mi opinión, depende de las necesidades específicas de la empresa y del presupuesto disponible. Gracias a la innovación constante en ambos sentidos, podemos hacernos esta pregunta cada vez que necesitemos implementar una nueva solución para mitigar un nuevo riesgo.
La tercera pregunta, ¿operación de ciberseguridad o gobierno de ciberseguridad?, es una cuestión de enfoque. La operación de ciberseguridad se centra en la implementación y mantenimiento de medidas de seguridad, mientras que el gobierno de ciberseguridad se centra en la gestión y supervisión de la seguridad a nivel estratégico o regulatorio. Creo que ambos enfoques son importantes y deben ser equilibrados para garantizar una seguridad óptima. Mi carrera en seguridad de la información me ha permitido enfocarme en gobierno de seguridad de la información cumpliendo con las disposiciones de la CNBV y BANXICO así como los estándares CIS v8, NIST CSF v2, ISO 27001:2022.
En conclusión, como CISOs nos enfrentamos a muchos desafíos y decisiones importantes cada día. Es importante considerar cuidadosamente cada una de estas preguntas y tomar decisiones analizadas para garantizar la seguridad óptima de la empresa. Por supuesto, las respuestas e inclusive las preguntas pueden variar en el tiempo y de acuerdo a tu organización en particular.
Comentarios
Publicar un comentario