El sistema de información de una empresa es un entorno en constante evolución. Entre la diversidad de usos (teletrabajo, BYOD, OT, etc.) y la pluralidad de infraestructuras (on-premise, híbrida, full cloud), la empresa necesita implicar a todos sus empleados para reforzar su posición como ciberseguridad.
Ante tanta complejidad, el responsable de seguridad de los sistemas de información ya no puede ser el parangón de la seguridad informática de la empresa. Debe pasar de solista a director de orquesta, para poder inculcar su visión de ciberseguridad a toda la organización.
Pero, ¿cómo implicar a sus equipos en este proyecto común? ¿Cómo fomentar la colaboración entre distintos departamentos? Descúbralo y explíquelo en este artículo.
El CISO ya no es el único responsable de la empresa ciberseguridad
Plataformas de mensajería segura, CRM, colaboración en línea, almacenamiento de datos en la nube... el entorno de trabajo corporativo nunca ha estado tan conectado.
Esta observación está provocando un replanteamiento del papel del CISO. El CISO ya no está en condiciones de gestionar en solitario todos los asuntos de la empresa ciberseguridad , como recuerda el informe de Gartner sobre las tendencias de ciberseguridad para 2022. Según el informe, la gestión de ciberseguridad se está descentralizando en las empresas, y ahora requiere la implicación de los distintos departamentos para garantizar requisitos uniformes en términos de ciberseguridad.
Esto puede implicar :
- formar a los empleados en materia de ciberriesgos;
- el uso de herramientas de protección adecuadas;
- Una colaboración más estrecha entre el CISO y los departamentos, con la introducción de un coordinador de SI en cada equipo.
¿El objetivo? Desarrollar una comprensión mutua de los problemas de ciberseguridad dentro de la empresa. De este modo, los referentes comparten sus limitaciones operativas a la hora de aplicar las mejores prácticas cibernéticas, y el CISO adquiere una visión global del funcionamiento de la empresa.
Aunque esta estrategia funciona sobre el papel, hay que adaptarla a los equipos y al contexto de la colaboración.
El Comité Ejecutivo
Con la próxima aplicación de la nueva directiva NIS 2, la responsabilidad de la correcta aplicación de los requisitos de ciberseguridad recaerá ahora en parte en la dirección de la empresa.
Como resultado, el CISO debe trabajar más estrechamente con el Comité Ejecutivo (COMEX) para integrar ciberseguridad en la estrategia de gobernanza de la empresa.
Esta colaboración pretende garantizar una comprensión común de los riesgos y de las medidas de protección necesarias que deben desplegarse a todos los niveles de la organización.
Recursos humanos
Los CISO y los recursos humanos deben trabajar juntos, sobre todo cuando se trata de gestionar los derechos de acceso para los movimientos de personal. Y con razón: RRHH es responsable de controlar las entradas y salidas de los empleados, lo que repercute directamente en la gestión del acceso a los datos de la empresa.
Al notificarlo al equipo de SSI, esta cooperación garantiza que los nuevos empleados reciban el acceso estrictamente necesario para su función, y que se desactive el acceso de los empleados salientes para evitar cualquier riesgo de seguridad.
Departamento de Compras y Equipos Comerciales
La colaboración entre el CISO y el departamento de Compras y los equipos empresariales garantiza la seguridad de la cadena de suministro.
Los equipos empresariales deben proporcionar a los CISO información detallada sobre los proyectos en curso y los proveedores con los que trabajan.
Por ejemplo, aplicando un plazo de entrega al mantenimiento de los equipos por parte de un subcontratista, el equipo de SSI podrá interpretar de forma diferente cualquier alerta relacionada con la conexión de los equipos a la red interna de la empresa.
Esta colaboración no sólo refuerza la visión de la empresa sobre el SSI, sino que también evita que se pongan en marcha medidas correctoras por error o por falta de información.
Departamento de Comunicación
El CISO debe colaborar con el departamento de Comunicación, especialmente en el marco de campañas de sensibilización sobre ciberseguridad dentro de la empresa o la gestión de crisis.
Juntos, desarrollan y despliegan campañas de comunicación adecuadas. Por lo tanto, es aconsejable que el CISO identifique lo antes posible las soluciones informáticas utilizadas por el equipo de comunicación y sensibilice a los miembros del equipo sobre la gestión de crisis.
Cómo Tenacy le ayuda a colaborar eficazmente con sus equipos
Explique claramente sus necesidades a su personal
Para asegurarse de que los empleados entienden exactamente lo que se les pide que hagan, el CISO debe ser capaz de proporcionar instrucciones claras y detalladas.
La plataforma Tenacy permite al CISO comunicarse eficazmente con los distintos responsables de SI de la empresa, distinguiendo entre "pilotos", que supervisan la gestión de la solución, y "colaboradores", a los que se asigna la introducción de datos específicos.
La nueva interfaz proporciona más información a los contribuyentes, permitiéndoles comprender exactamente lo que se espera de ellos, sobre todo en lo que respecta al cumplimiento de la norma ISO 27001 y la gestión de riesgos.
Trazabilidad de las operaciones
Comunicarse con otros departamentos también significa que el CISO debe asegurarse de que se puede hacer un seguimiento de las operaciones. Esto significa saber qué se ha enviado, a quién, cuándo y por qué.
Para responder a esta necesidad, Tenacy dispone de funciones de envío de notificaciones y alertas a los colaboradores. Este componente facilita la comunicación y garantiza el registro y la trazabilidad de cada acción, mejorando la transparencia y la eficacia de la gestión de ciberseguridad en la empresa.
Un formato único para sus solicitudes
Los CISO se encuentran a menudo con problemas a la hora de recopilar información. Reciben datos en diferentes formatos, como hojas de cálculo Excel o correos electrónicos, en particular de los departamentos de RRHH en relación con la información sobre los nuevos empleados. Esto genera una enorme carga de trabajo a la hora de consolidar y normalizar la información.
Tenacy ofrece un formato único y estándar para recopilar información, que puede ser utilizado por todo el personal. Esto facilita enormemente la tarea del CISO al centralizar los datos y garantizar su uniformidad, lo que permite un análisis y una gestión más eficaces y coherentes de los riesgos de seguridad en toda la organización.