Seguritecnia 444

SEGURITECNIA Julio - Agosto 2017 109 Artículo Técnico para adquirir los conocimientos nece- sarios al respecto. 4. Especialización sectorial en segu- ridad. La diversidad de las compa- ñías que operan actualmente nos obliga a una mayor especialización por las diferencias de amenazas en cada sector. 5. Asignatura pendiente: los idiomas. En un mundo globalizado, el director de Seguridad que realmente quiere estar en las grandes multinacionales debe tener un conocimiento real de dos o más idiomas. Esta es una con- dición sine qua non para alcanzar este objetivo. 6. La formación específica. La perfila- ción delincuencial, el comportamiento no verbal y la detección de la men- tira son otros conocimientos esencia- les en la formación de un director de Seguridad. 7. La seguridad lógica. En este con- cepto se englobará la seguridad de la información, la seguridad y la protec- ción de la infraestructura y los siste- mas de información y todos aquellos procesos y flujos de tratamiento de la información que se han convertido en el core del negocio de la gran mayo- ría de las compañías. La obligación del director de Seguridad va más allá del propio conocimiento de la existencia o de las referencias a la protección y la seguridad de la información porque también es fundamental su involucra- ción e integración en todos los proce- sos referentes a la seguridad lógica de la organización. Seguridad corporativa Hablamos de las responsabilidades del director de Seguridad Corporativa. En ellas está el apoyo directo y la coopera- ción en el diseño y despliegue de un Sis- tema de Gestión de la Seguridad de la Información (SGSI), así como facilitar y adaptar los procedimientos operativos de seguridad dentro de la propia ope- rativa de gestión de los sistemas de in- formación y la operativa del negocio. La participación y la colaboración en adap- tar el entorno y adherirse a un sistema homologado y certificable le ayudarán a alcanzar una optimización de los re- cursos y una mayor eficacia y eficien- cia en la implantación de las medidas de protección de los activos. La certifi- cación ISO 27001 de sistemas de gestión de la seguridad de la información se pre- senta como un referente acompañado de otros estándares comunes como los relativos a la continuidad del negocio o la gestión de riesgos tecnológicos. Atendiendo a los procesos de audito- ría, integración de gobierno, monitoriza- ción y gestión de alertas, la responsabi- lidad del director de Seguridad no pasa por bloquear ni dar el visto bueno a to- das las propuestas, sino por conocer y entender la sinergia de los dos mode- los de protección corporativa como si de campos paralelos se tratara. La falsa creencia sobre la protección de la información con medidas básicas y populares ha puesto en jaque a la ma- yoría de grandes corporaciones, ban- cos, holdings y redes internacionales de comunicaciones e infraestructuras críti- cas. Esto es un indicio de la necesidad de cooperación y alineamiento del di- rector de Seguridad con el área de siste- mas informáticos y la necesidad de inte- grar un plan de gestión de la seguridad de la información dentro del plan de se- guridad corporativo. Existen razones básicas y elementales para que el nuevo director de Seguridad global esté en consonancia y camine de manera unida al responsable de Seguri- dad de la Información (CISO, por sus si- glas en inglés) y encuentre la sinergia en- tre las estrategias de seguridad y del ne- gocio, facilitando la integración. Si imaginamos nuestro diseño de se- guridad física y lo plasmamos en un di- bujo, obtenemos un conjunto de medi- das de seguridad del entorno a prote- ger. A partir de ahí, nuestro diseño de seguridad lógica lo incluiremos en el di- bujo cubriendo todas las áreas a seme- janza de la física. Se trata de un diseño de seguridad perimetral donde se re- quiere una arquitectura capaz de pro- teger y controlar el acceso desde el ex- terior a nuestra red corporativa, un sis- tema de gestión de accesos a la red, un procedimiento claro y eficiente de ges- tión de entidades y las medidas de se- guridad básicas –físicas o lógicas– para la protección de cada activo. Me refiero a medidas de seguridad fí- sicas para los activos físicos, las áreas de almacenamiento, los dispositivos, etc., así como a medidas lógicas para la pro- tección de la información como nive- les de encriptación, monitorización en tiempo real, definición de objetivos de control, establecimiento de controles de seguridad, etc. El futuro está en el conocimiento y en la experiencia del día a día. Sólo una combinación inteligente de ambos fac- tores, la formación continuada y mul- tidisciplinar en las áreas que definen a nuestra profesión y el conocimiento práctico que aprendemos del desem- peño diario de la misma nos posibilitará estar a la altura de los nuevos requisitos que se exigen al director de Seguridad del siglo XXI. “He obtenido mi título de director de Se- guridad y empiezami largo camino…”. S