El Chief Information Security Officer (CISO), también conocido como director de seguridad de la información es responsable de la seguridad de los datos y la información en toda la organización. El CISO desarrolla una estrategia de seguridad con medidas de protección adecuadas y las alinea con los objetivos comerciales generales. Este profesional media entre las áreas de TI, seguridad y negocio.
¿Cuál es el rol de un CISO?
En el curso de la transformación digital, cada vez más empresas recurren a soluciones de software. Esto aumenta la eficiencia, pero también aumenta significativamente las probabilidades de sufrir un ciberataque que puede costar a las empresas millones de euros.
Hay ya muchos perfiles especializados en ciberseguridad, entre ellos el Chief Information Security Officer (CISO), el mayor responsable de la seguridad de la información y datos de la empresa.
Sin embargo, su función y responsabilidades puede variar mucho en función de la empresa y el sector y tamaño de ésta. Por eso, situar al CISO en el organigrama de empresa no es sencillo, ya que algunos CISO reportan directamente al CEO (sólo el 32% de los CISO según este estudio), mientras que la mayoría están debajo en el organigrama.
Por otro lado, unos CISO participan en el consejo de administración y otros no, etc. En general, cuanto más grande sea la empresa, más riesgos potenciales asume y más protagonista es el CISO.
Además de responder a las violaciones de datos y otros incidentes de seguridad, el Chief Information Security Officer (CISO), tiene la tarea de anticipar, evaluar y gestionar activamente las amenazas nuevas y emergentes.
¿Qué amenazas y ataques preocupan más a los CISO?
- Fraude por correo (33%)
- Amenazas internas (30%)
- Fallos o compromisos en la nube (29%)
- Ataques DDoS (29%)
- Ataques en la cadena de suministro (27%)
- Ataques ramsomware (27%)
- Smishing/vishing/phishing (27%)
- Malware (26%)
Datos: Cybersecurity: The 2022 Bard Perspective report
El CISO debe trabajar con otros ejecutivos de diferentes departamentos para alinear las iniciativas de seguridad con objetivos comerciales más amplios y mitigar los riesgos que plantean diversas amenazas de seguridad para la misión y los objetivos de la organización.
¿Qué es un Chief Information Security Officer (CISO)?: Sus funciones
Las responsabilidades del CISO variarán según la organización. Tradicionalmente, un Chief Information Security Officer (CISO) se enfoca en desarrollar y liderar el programa de seguridad de la información. Esto implica proteger los activos, las aplicaciones, los sistemas y la tecnología de la organización al tiempo que permite y promueve los resultados comerciales.
Los deberes del Chief Information Security Officer (CISO) pueden incluir realizar capacitaciones de concienciación sobre la seguridad de los empleados, desarrollar prácticas comerciales y de comunicación seguras, identificar objetivos y métricas de seguridad, elegir y comprar productos de seguridad de los proveedores, garantizar que la empresa cumpla con las normas de los organismos pertinentes, y hacer cumplir las prácticas de seguridad.
Otros deberes y responsabilidades que realizan los Chief Information Security Officer (CISO), incluyen garantizar que la privacidad de los datos de la empresa esté segura, administrar el equipo de respuesta a incidentes de seguridad informática y realizar descubrimientos electrónicos e investigaciones forenses digitales.
Responsabilidades del Chief Information Security Officer (CISO)
- Desarrollar y ejecutar una estrategia integral de seguridad de la información
- Evaluar amenazas y vulnerabilidades
- Establecer políticas y estándares de seguridad
- Diseñar programas de concienciación y capacitación para el personal
- Identificar y evaluar los riesgos de seguridad y mitigarlos
- Implementar medidas de seguridad técnicas, como firewalls, sistemas de detección de intrusos, encriptación de datos, y políticas de acceso y control de usuarios
- Asegurar el cumplimiento normativo en materia de seguridad de la información
- Realizar auditorías internas y externas e implementar controles para garantizar el cumplimiento
- Coordinar y dar respuesta a incidentes de seguridad de la información
- Diseñar y establecer plan de respuesta y formar a un equipo de repuesta
- Establecer planes para evitar futuros incidenets similares en el caso de ocurrir
- Control y mejora de la arquitectura de seguridad de la información
¿Estás buscando un Chief Information Security Officer?
Conecta con un CISO experimientado que proteja a tu empresa
¿Qué se necesita para ser un CISO?
Un Chief Information Security Officer (CISO) requiere un conocimiento profundo de programación y administración de sistemas y además, debe entender perfectamente la tecnología de seguridad (por ejemplo, DNS, enrutamiento, VPN, servicios de proxy y mitigación de DDoS).
Su forma de trabajar se caracteriza por la diligencia, un agudo sentido del peligro y una rápida comprensión.
Un CISO debe tener muy buenas habilidades comunicativas, ya que tiene un perfil ejecutivo (C-Suite) y parte de su trabajo va a ser comunicarse con otros ejecutivos y trabajadores de la empresa. También va a necesitar ser líder para poder gestionar al equipo de seguridad de la información de la empresa.
El CISO tiene que ser capaz de explicar problemas técnicos mucho más allá del lenguaje técnico. En este trabajo es importante motivar a los empleados y concienciarlos de los peligros. El perfil de requerimientos se complementa con talento organizacional, resiliencia y buen manejo del tiempo.
¿Qué habilidades debe tener un Chief Information Security Officer (CISO)?
- Sólidos conocimientos técnicos en seguridad de la información y tecnología de la información
- Comprensión de sistemas operativos, redes, bases de datos y otras tecnologías
- Conocimientos de ciberseguridad, últimas amenazas y tendencias en el campo de la seguridad IT
- Necesita estar al día de últimos ataques, vulnerabilidades y mejores prácticas de seguridad
- Experiencia en evaluación de riesgos y toma de medidas para mitigarlos
- Experiencia en gestión de proyectos para planificar, ejecutar y monitorizar poyectos completos de seguridad de la información
- Pensamiento estratégico para tomar decisiones basadas en la visión y objetivos de la empresa
- Habilidades de liderazgo y comunicativas
- Conocimiento de estándares legales y éticos en materia de seguridad de la información (GDPR o ISO 27001)
- Responsabilidad y ética para asegurar la confidencialidad de la información
¿Qué hay que estudiar para ser Chief Information Security Officer?
Ya sabemos qué es un CISO, pero, ¿qué hay que estudiar para ser considerado para el puesto? Como nos podemos imaginar, es necesario tener una base técnica sólida.
Por lo general, se suele requerir una licenciatura en informática, tecnología de la información o en un área relacionada ya que éstos dan una base sólida en fundamentos de tecnología y seguridad de la inforamción.
Pero al ser un perfil senior, es normal que además se pidan varios años de experiencia (a partir de 7). Esta experiencia les brindará un conocimiento técnico profundo y práctico en áreas clave como seguridad de redes, seguridad de aplicaciones, gestión de riesgos, criptografía, etc.
Por otro lado, necesitará conocimientos en gestión empresarial, gestión de proyectos y toma de decisiones. Para ello, es frecuente que estos profesionales IT realicen cursos o formaciones en gestión de proyectos o incluso un MBA.
Por úlltimo, cabe mencionar que un Chief Information Security Officer (CISO) necesita estar actualizado constantemente. Con la digitalización siguen apareciendo nuevas amenazas (por ejemplo, phishing, fraude por correo electrónico o ingeniería social) que requieren de nuevas medidas técnicas de protección por parte de las empresas. Para ello, es importante participar en conferencias, capacitarse con cursos y semminarios y leer nuevas publicaciones especializadas en seguridad de la información.
Los másters y las certificaciones en ciberseguridad también se piden cada vez más.
¿Qué certificaciones debe tener un CISO?
Aunque no hay una certificación obligatoria para eser Chief Information Security Officer, existen varias certificaciones reconocidas dentro del sector de la seguridad cibernética y la seguridad de la información.
Algunas empresas utilizarán estas certificaciones para considerar si un candidato está capacitado para el puesto o no. Algunas de las certificaciones más populares para un CISO son:
- Certified Information Systems Security Professional (CISSP): Esta es una de las certificaciones más reconocidas y respetadas en el campo de la seguridad de la información. Cubre una amplia gama de temas, como gestión de riesgos, seguridad de redes, seguridad de aplicaciones y criptografía.
- Certified Information Security Manager (CISM): Esta certificación se centra en la gestión de la seguridad de la información en el contexto corporativo. Cubre temas como la gobernanza de la seguridad de la información, la gestión de riesgos y el desarrollo de políticas y procedimientos.
- Certified Information Systems Auditor (CISA): Esta certificación se enfoca en la auditoría de sistemas de información y la evaluación de los controles de seguridad. Cubre temas como la auditoría de TI, la gestión de riesgos y la gobernanza de TI.
- Certified Ethical Hacker (CEH): Esta certificación se centra en las habilidades y técnicas utilizadas por los hackers éticos para identificar y solucionar vulnerabilidades de seguridad. Explora las técnicas utilizadas por los atacantes y cómo mitigarlas.
- Certified Cloud Security Professional (CCSP): Esta certificación está enfocada en la seguridad de la información en el entorno de la nube. Cubre temas específicos relacionados con la seguridad en la nube, como la gestión de riesgos, los servicios en la nube y la seguridad de los datos en la nube.
- ISO 27001 Lead Auditor: Esta certificación se enfoca en la gestión de la seguridad de la información según los estándares de la norma ISO 27001. Proporciona conocimientos sobre cómo implementar y auditar un sistema de gestión de seguridad de la información.
Como en todos los nichos, también hay muchos recursos, masterclases y cursos online con los que puedes adentrarte en este rol del Chief Information Security Officer. Aquí tienes algunas opciones:
- CISO Masterclass – Udemy
- Programa Certified CISO (CCISO) – EUD Academy (Accredited Training Center por el EC Council®en LATAM)
- Hacking Ético Avanzado. Prácticas en Kali Linux – Udemy
¿Quieres acceder a proyectos en IT sin pagar comisiones?
¡freelancermap.com lo hace posible 🚀!
Salario de un director de seguridad de la información (CISO)
El director de seguridad de la información (CISO) es un profesional muy bien pagado de acuerdo con sus responsabilidades y su puesto de alto nivel en la empresa.
¿Cuánto gana un CISO en En Estados Unidos? El sueldo del Chief Information Security Officer es muy atractivo en USA y oscila entre los 210.000 y 270.000 $/anuales de media.
Hablando de Europa, el salario medio del CISO en Alemania para este trabajo ronda los 14.000 euros al mes. Los salarios oscilan entre los 10.000 euros y los 18.000 euros brutos mensuales.
Un CISO español también va a tener uno de los sueldos más atractivos del país, junto con otros directivos tecnológicos como el CTO o el CIO. En 2020, un estudio apuntaba a salarios entre los 85.000 y 110.000 € anuales para los CISO con 7 – 15 años de experiencia. Pudiendo llegar hasta los 170.000 €/año para perfiles con más experiencia.
Las fluctuaciones en el salario pueden explicarse por el tamaño del empleador, la industria, la región, la experiencia profesional individual y las calificaciones, así como las habilidades de negociación.
¿Cuánto gana un CISO?
| en Estados Unidos | 210.000 – 270.000 $/año |
| en Alemania | 120.000 – 216.000 €/año |
| en España | 85.000 – 170.000 €/año |
| en Argentina | 130.000 – 300.000 de pesos argentinos |
| en Chile | 2,7 y 7 millones de pesos chilenos |
¿Qué es un «fractional CISO»?
Un fractional CISO, al también podríamos referirnos como CISO a tiempo parcial, CISO freelance o CISO externo, es un profesional de seguridad de la información que brinda servicios de consultoría y asesoramiento de forma parcial o temporal a las empresas.
En lugar de ocupar el cargo de CISO a tiempo completo dentro de una organización, un fractional CISO puede ser contratado de manera externa y trabajar en horarios flexibles según las necesidades de la empresa.
La principal ventaja de contratar a un fractional CISO es que las empresas pueden acceder a los conocimientos y experiencia de un CISO sin tener que mantener un puesto a tiempo completo.
Como ya hemos visto, mantener un puesto fijo para un CISO no es barato y sobre todo, las empresas más pequeñas puede que no tengan los recursos para afrontar estos costes. Sin embargo, ellas también necesitan enfocarse en la seguridad de la información.
Entre los servicios y responsabilidades de un CISO freelance o CISO externo están:
- Asesorar estratégicamente en seguridad de la información
- Desarrollar e implementar políticas y procedimientos de seguridad
- Realizar evaluaciones y auditorías de seguridad
- Diseñar y la supervisar programas de concienciación y entrenamiento en seguridad para trabajadores
- Gestionar incidentes de seguridad
¿Necesitas uno de estos profesionales externos?
> 200+ CISO con experiencia disponibles <
¿Cuánto cobra un CISO freelance o CISO externo?
Según los datos de freelancermap, los Chief Information Security Officer o CISO cobran de media:
La mayoría de profesionales freelance en el área cobran entre 33 y 106 $/hora.
Los CISO trabajando a tiempo completo (8 horas/día) cobrarían:
💡 No olvides que el CISO externo freelance puede estar trabajando con otras empresas y su disponiblidad puede estar limitada. Para evitar malentendidos, las empresas deben establecer objetivos, expectativas y acuerdos antes de empezar a trabajar.
¿Necesitas ayuda? 📖 Consejos para empezar a trabajar con freelancers
