Home » Blog » 21 preguntas que deben hacer los CISO para guiar la transformación digital
volver

21 preguntas que deben hacer los CISO para guiar la transformación digital

CISO - Transformación digital - Servicios financieros

CISO son las siglas en inglés para Chief Information Security Officer. Es decir, Oficial en Jefe de la Seguridad de la Información. Este es un puesto ejecutivo que se encarga de toda la ciberseguridad de la compañía y su trabajo es crucial en las empresas que ofrecen servicios financieros, especialmente en el proceso de transformación digital y migración a la nube. 

¿Qué preguntas debe hacer un CISO para que el proceso de transformación digital sea exitoso?

El factor más importante en el proceso de transformación digital de cualquier empresa es la ciberseguridad. Hacer las preguntas correctas les brindará a los CISO una visión más clara de cómo abordar cada paso o fase de la gestión, sin perder el enfoque estratégico ni poner en riesgo la información de la compañía.  

A partir de la experiencia de los especialistas en Ciberseguridad de Canvia, estos son los aspectos más importantes que deben tomar en cuenta. 

CISO - servicios financieros - transformación digital

Inicio de la conversación

Para empezar la conversación, es de suma importancia que el CISO tenga una idea clara de los objetivos, visión y misión de la empresa. La pregunta correcta para dar el primer paso es: ¿cómo se define la cultura de la organización?

Teniendo la respuesta anterior, la siguiente pregunta es: ¿cómo se puede integrar la cultura a los objetivos de seguridad de mejor manera? 

Es común pensar que la transformación tecnológica busca mejorar el área de TI de las empresas, pero ese concepto está alejado de la realidad. La evolución digital abraza a todas las áreas en la búsqueda de optimización de procesos. De allí la importancia de considerar a todos los actores para encontrar puntos de mejora importantes en la compañía.

Preguntas de los CISO a los líderes de negocio

Los líderes de negocio comúnmente son los encargados de gestionar toda la información sensible o importante de las empresas que ofrecen servicios financieros, convirtiéndose en pilares fundamentales para su funcionamiento. El CISO debe tener contacto directo con esos líderes para obtener información vital en el proceso de transformación digital. 

 En este punto se requieren respuestas a las siguientes interrogantes:

  • ¿Cómo miden el éxito de una transformación digital? Para la empresa, ¿qué se considera como exitoso?, ¿una mejora en los procesos?, ¿migración de una base de datos?, ¿el ahorro en términos de operatividad?, ¿resguardo de la data? 
  • ¿Cuáles son los objetivos clave de la transformación?: ¿Que busca la empresa al hacer la transformación digital?, ¿cuáles son sus objetivos al migrar a la nube?
  • ¿Qué datos son (más) valiosos? Con esta pregunta se tiene noción de cuál es la información más delicada para la empresa, con el fin de tener una mayor seguridad durante y después de la migración. 
  • ¿Qué datos pueden retirarse, reclasificarse o migrar?: Uno de los beneficios de la migración a la nube es la optimización de los procesos. Clasificar la data mejora la velocidad de las operaciones.
  • ¿Qué pérdidas se permiten asumir y seguir funcionando? Para las empresas de servicios financieros es esencial siempre mantenerse en funcionamiento. Sin embargo, es importante ser realistas y tener un  margen de riesgos sostenible. Definir esto ayudará a los CISO a tomar decisiones en situaciones de crisis asociadas con el proceso de transformación tecnológica.
  • ¿Cuál es el riesgo real que la organización está dispuesta a aceptar? Va muy de la mano con lo anterior. Una planificación en el manejo de riesgo siempre es una buena estrategia para desarrollar planes de contingencia.

Preguntas de los líderes de negocio a los CISO 

Así como es importante que los CISO cuestionen a los líderes de negocio, también debe existir el feedback. Este intercambio de ideas es de mucho valor antes de abordar procesos de transformación digital que, mal gestionados, puede poner en riesgo la información de la empresa, un problema de mucho cuidado en el rubro de servicios financieros, donde es común el manejo de una gran cantidad de información sensible.

Algunas de las preguntas más importantes son las siguientes:

  • ¿Qué prácticas serán ejecutadas para proteger los datos valiosos? El CISO debe tener total claridad sobre los esfuerzos que serán invertidos en favor del resguardo de la información durante el proceso de migración a la nube.
  • ¿Cuál es el impacto empresarial en la aplicación de estas prácticas? Las acciones de seguridad que serán requeridas deben armonizar con las demás operaciones de la empresa. 
  • ¿Cuáles son las principales amenazas a las que estarán expuestos? Los oficiales de seguridad deben hacer un estudio de las fortalezas y debilidades, actuales y futuras, a las que se puede enfrentar la compañía, como ransomware, robo de contraseñas, espionaje, malware, entre otros. 

Preguntas para los CISO y los líderes de negocio

En este punto, las incógnitas tienen que ser resueltas por las dos partes: CISO y el líder empresarial. 

  • ¿Qué amenazas ya no son tan importantes? Después de elegir la estrategia a usar se puede deducir cuáles son las amenazas que pueden ser atacadas y no afectar, o tienen menos posibilidades de afectar las operaciones empresariales. 
  • ¿Qué soluciones de ciberseguridad son más rentables? Si existe claridad sobre las principales amenazas en el proceso de transformación digital se puede deducir qué soluciones (como cortafuegos o antivirus) son necesarias.
  • ¿Qué beneficios se obtienen al refactorizar las aplicaciones? Con la reestructuración de las aplicaciones, se presentan una serie de cambios que traen grandes utilidades para la empresa y los usuarios. Entender cuáles de estos beneficios mejora el proceso de refactorización de las aplicaciones. 
  • ¿Estamos realmente transformando o levantando y cambiando? ¿La migración generó una transformación completa de los procesos? ¿o solo cambió el medio donde corren dichos procesos?
  • ¿Cómo se debe realizar la gestión de roles y accesos para cumplir con los objetivos empresariales? Esta pregunta es para delimitar cuáles son los pasos para la gestión de las identidades digitales. Cómo se deben crear, mantener, controlar y eliminar los roles que operan la red, y asegurar que los permisos se obtengan para realizar algunos trabajos o limitar otros, según sea el caso. En este punto también se delimita el proceso de autentificación. 
  • ¿Cuáles son los controles básicos necesarios para garantizar un rendimiento de nivel empresarial para las primeras cargas de trabajo? La migración a la nube no es un procedimiento de un solo día. Para tener una continuidad en las operaciones de la empresa es necesario hacer la migración por partes, así que es necesario contar con los controles de seguridad básicos para asegurar que no haya inconvenientes con las primeras cargas de trabajo. 

Preguntas para los CISO y los equipos de riesgo

Los equipos de riesgo y CISO trabajan juntos para anticipar las posibles fallas, además de desarrollar un plan de acción para las deficiencias que se presenten. 

  • ¿Cómo se puede utilizar la reestructuración de un cuerpo de código existente para racionalizar las funciones de seguridad? Junto al equipo de riesgo se estudia cómo puede ser reutilizado parte del código. Esto se hace para que las funciones de seguridad se adapten al cuerpo del sistema y no exista un conflicto entre las nuevas funciones de seguridad y las ya existentes. 
  • ¿Cómo se debe supervisar la postura de seguridad para asegurar la alineación con el apetito de riesgo? Con esta pregunta se busca delimitar el proceso de supervisión de la seguridad, y que este tenga confluencia con las capacidades de riesgo. 

Preguntas para los equipos empresariales y técnicos 

Los equipos empresariales y técnicos se encargan del manejo de la operatividad de las empresas. Algunas preguntas vitales que deben hacerse los actores de este equipo son las siguientes:

  • ¿Cuál es el plan de respaldo? Tener un plan de respaldo es una buena práctica de seguridad. De surgir cualquier tipo de emergencia ajena a las operaciones de la empresa, la operatividad y seguridad de los datos no se verán afectadas de gran manera si se cuenta con un plan de respaldo. 
  • ¿Qué hacer si falla el sistema de respaldo? Es importante plantearse los peores escenarios posibles para encontrar soluciones, no detener la operatividad de la empresa y esperar el menor daño en la infraestructura posible. Es esencial estar preparado para cualquier contexto posible. 

Las empresas que ofrecen servicios financieros, como bancos, empresas de seguros, agencias de bolsa y fondos de inversión, deben poner en manos de expertos su proceso de transformación digital para reducir los posibles riesgos. Si quieres más información, revisa nuestro más reciente artículo sobre proveedores de ciberseguridad y migración a la nube en Perú. También puedes conocer nuestro servicio Journey to cloud.

últimos artículos
Ciberseguridad en la Cadena de Suministro

La importancia de la ciberseguridad en la cadena de suministro

En la actualidad, la cadena de suministro se enfrenta a desafíos significativos en términos de ciberseguridad. Desde la adquisición de materias primas hasta la entrega del producto final, cada paso en el proceso puede ser vulnerable a ataques cibernéticos. En CANVIA, entendemos la importancia de proteger cada eslabón de esta cadena para garantizar la integridad […]

Analítica predictiva para empresas

Analítica predictiva: transformando la toma de decisiones empresariales

En el vertiginoso mundo empresarial actual, la capacidad para anticipar el futuro y tomar decisiones informadas es más valiosa que nunca. La analítica predictiva, una rama avanzada del análisis de datos, se ha convertido en una herramienta esencial para las empresas que buscan obtener una ventaja competitiva. En CANVIA, estamos comprometidos con la innovación y […]

más artículos