El BISO: llevar la seguridad a los negocios y los negocios a la seguridad

A lo largo de su carrera en seguridad de TI, Irina Singh ha prosperado en proyectos difíciles. Con una licenciatura en ciencias en administración de sistemas de información y una especialización en negocios internacionales, ahora administra un equipo de enlaces de seguridad de la información comercial que prestan servicios a cuatro unidades comerciales fundamentales en la empresa de dispositivos médicos Medtronic. “Uno de mis lemas es que llevamos el negocio a la seguridad y la seguridad al negocio”, dice.

Singh se llama a sí misma socia de seguridad de la información comercial, pero el título más comúnmente empleado para este rol es oficial de seguridad de la información comercial (BISO). Las personas en estos roles son responsables de una o más áreas del negocio y, por lo general, informan al CISO o al CTO, según el trabajo. descripciones encontrados en línea y los presentados por múltiples fuentes entrevistadas para este artículo. Las personas que ocupan estos roles también provienen de diversos antecedentes educativos y experienciales, en el centro de los cuales se encuentran una gran familiaridad con las regulaciones de cumplimiento, bases sólidas de seguridad cibernética y perspicacia empresarial.

“Me gradué justo después del 11 de septiembre cuando los trabajos escaseaban, así que fui a una empresa de energía y aprendí todo desde cero: cómo construir una computadora desde cero, administrar servidores y bases de datos, y mucho más. Después de ese trabajo, pasé a la auditoría de TI con una firma de auditoría y contabilidad de Fortune 100 y aproveché la tutoría y la capacitación, donde aprendí cuánto disfruto el trabajo basado en proyectos”, dice Singh.

Superar las brechas de seguridad y comunicación empresarial

Como parte de su trabajo de consultoría con la firma de consultoría Fortune 100, Singh auditó instituciones financieras centrándose en las auditorías GLBA, PCI y SAS 70 (el predecesor de SOC II, con el que también está familiarizada). Luego, comenzó a trabajar para un gran grupo de servicios de TI para el cuidado de la salud, donde también se enfocó en el cumplimiento del gobierno. Finalmente, terminó en Medtronic, donde forjó el rol de BISO antes de que se definiera oficialmente. Prefería mantenerse alejada del título de “oficial”, en lugar de llamarse a sí misma socia de seguridad de la información comercial, pero sabía que necesitaba abordar las dificultades de comunicación entre la seguridad cibernética y los departamentos comerciales que afectan a muchas organizaciones grandes.

“Empecé incorporándome directamente a la función de seguridad. Fui a todas las reuniones del equipo que pude, aprendiendo su cultura y flujo de trabajo para que pudieran verme como una extensión confiable del equipo de seguridad”, explica Singh. Luego, cuando llegó el momento de guiar a las partes interesadas del negocio a través de los procesos de ciberseguridad relevantes o de obtener una prioridad de iniciativa comercial altamente visible, su mensaje fue bien recibido. También ayudó a crear un tablero de riesgos para informes y cumplimiento, uno que incluye riesgos de proveedores externos, riesgos de cumplimiento y riesgos de fusiones y adquisiciones. Singh pudo replicar el tablero en todas las unidades comerciales de la empresa.

Luego, hace dos años, a Singh se le ofreció la oportunidad de extender su programa a cuatro unidades comerciales separadas. Ahora tiene cinco gerentes de relaciones comerciales en su equipo que se asocian con los respectivos vicepresidentes comerciales y de TI y otros líderes, aportando su experiencia en seguridad, riesgo y cumplimiento.

“Escuché a personas decir que cada CISO debería ser un BISO. Es posible en una organización pequeña con un solo enfoque. Pero en un entorno complejo, el CISO no puede llegar a todos los niveles de la organización de seguridad ni a todas las unidades de negocio. No tienen tiempo para educar sobre las tecnologías en cada proyecto en el que están trabajando sus unidades. Estas luchas son comunes en todas las grandes organizaciones”, dice. “Entonces, el BISO debe vender la sociedad a ambas partes. Es una posición crítica basada en relaciones que requiere una comprensión de los conceptos técnicos y el negocio que están respaldando”.

Los BISO deben comprender los riesgos específicos del negocio

Renee Guttmann, quien ha sido CISO de varias compañías Fortune 50, dice que lo más importante que busca en un BISO es una comprensión profunda de la unidad de negocios que respaldan, lo que incluye identificar las “joyas de la corona” de la empresa: cuáles son los activos más importantes. están, dónde están y los ataques dirigidos a los que son potencialmente vulnerables. El BISO debe poder identificar los riesgos y trabajar con otros, como los administradores de arquitectura e infraestructura, para priorizar los riesgos. Deben ser la persona a la que acudir cuando una unidad de negocio quiere iniciar un nuevo proyecto de tecnología, comprometiéndose desde el principio para garantizar que la empresa no adquiera tecnología que pueda exponerla accidentalmente a ataques.

“Si está escribiendo la descripción del trabajo para contratar a un BISO, debe decir algo como: ‘Usted es el lado de seguridad que está orientado al cliente’”, dice Guttmann. “Tuve que ser muy particular para asegurar que los BISO que contraté tuvieran conocimiento en el grupo al que apoyarían. Si están apoyando las finanzas, es mejor que conozcan los balances, las reglas de auditoría, los riesgos y los controles. Además, el jefe de esa unidad de negocios debe estar involucrado en la entrevista y contratación del BISO que va a respaldar su función”.

En un caso, Guttmann describe cómo contrató a un BISO con habilidades “en las trincheras” que ayudó a capacitar a un grupo de comunicaciones corporativas sobre cómo responder a un incidente. Las personas del grupo pensaron que sabían todo lo que necesitaban para responder adecuadamente a un incidente de seguridad. Pero entonces el BISO abrió los ojos a lo que sería Realmente se espera de ellos durante un evento. Ella agrega: “Todos los de relaciones públicas asistieron a la sesión y luego respondieron que fue una de las sesiones más fascinantes a las que habían asistido y que aprendieron mucho porque la sesión estaba completamente dedicada a ellos”.

Detener prácticas potencialmente riesgosas

El BISO también necesita aprender a frenar proyectos que pueden ser peligrosos. En un caso, cuando un cliente quería instalar acceso remoto a bases de datos de misión crítica a las que se accede solo a través de contraseñas débiles, el BISO de Guttmann no explicó que no podían hacerlo con su tecnología existente y que tendrían que encontrar opciones más seguras. como la autenticación multifactor. “Ese problema me surgió porque mi BISO no podía tener la conversación difícil con el vicepresidente ejecutivo de esa unidad de negocios”, recuerda. “Entonces, inicié más capacitación para mis BISO sobre cómo tener esa conversación difícil y cómo presentar opciones”.

Según la experiencia de Guttmann, como en la mayoría de las empresas que emplean BISO, los BISO le reportan a ella con una línea punteada a los líderes de las unidades de negocios que apoyan. A veces, los BISO informan al CTO y otros informan directamente a los líderes de la unidad de negocios.

Independientemente de la estructura de informes, el rol es lo suficientemente importante para la función de liderazgo en seguridad que la comunidad de Mujeres en Ciberseguridad (WiCyS) tiene una Afiliado WiCyS BISO con 95 miembros. Barbee Mooneyhan, líder de la filial WiCyS BISO, incorpora metodologías BISO en sus responsabilidades de seguridad y privacidad como directora de seguridad y privacidad de la información de Woebot Health.

En las pequeñas empresas, los CISO están los BISO

Ella usa muchos sombreros porque su empresa es más pequeña y porque Woebot se enfoca en ser un aliado de la salud mental a través de un chatbot de IA con capacidad guiada por el usuario para ayudar a procesar la ansiedad y la depresión leves a moderadas. Debido a la naturaleza confidencial de los productos, necesita apoyar la innovación mientras protege los datos confidenciales del cliente y del usuario. Como tal, sus conversaciones con otros líderes de la unidad de negocios se basan en la ética y el cumplimiento, en particular cuando aportan nuevas ideas que pueden tener un impacto en los datos confidenciales.

“Cumplo intencionalmente el rol de BISO dentro de mi rol de seguridad, que es común en las pequeñas y medianas empresas. Paso gran parte de mi tiempo en reuniones con nuestros líderes empresariales y otros miembros de la fuerza laboral para comprender sus necesidades y brindarles orientación sobre cómo satisfacer esas necesidades en cumplimiento de las leyes de privacidad y las obligaciones éticas”, dice, y agrega: “El papel de BISO es una posición fascinante y absolutamente necesaria para permitir que las empresas avancen”.

Derechos de autor © 2023 IDG Communications, Inc.

We would love to thank the author of this article for this remarkable content

El BISO: llevar la seguridad a los negocios y los negocios a la seguridad


Explore our social media profiles along with other pages related to themhttps://lmflux.com/related-pages/