Ciberseguridad al día

Carlos Solís Salazar
Ciberseguridad al día

El podcast "Ciberseguridadal día" está enfocado a desarrollar esos temas que ayuden de una forma u otra en el desarrollo de los profesionales de la Ciberseguridad.

  1. Construir una Relación Efectiva con la Junta Directiva. Parte I

    12/08/2019

    Construir una Relación Efectiva con la Junta Directiva. Parte I

    Suscríbete al podcast en iTunes, Ivoox, Castbox o Spotify La interacción y la construcción de una relación efectiva con la junta directiva de una organización es vital parar las funciones del CISO, este también debe manejar las expectativas y compartir narrativas que resuenan... No todas las juntas directivas son iguales, la composición de una reunión de la junta directiva y las diferentes personalidades asociadas con ella son elementos que debes tener en consideración. ¿Quieres saber más al respecto? entonces, sigue escuchando este episodio. Bienvenido a un nuevo episodio de Ciberseguridad al día. Hoy hablaremos de Construir una Relación Efectiva con una Junta Directiva. Parte I En mi experiencia he visto CISO que parecieran ser de otro planeta, porque no sabe cómo comunicarse con la Junta directiva, la semana pasada hablamos sobre algunas de las cualidades que debe tener el CISO. Hoy te comparto mis impresiones, siempre basándome en mi experiencia... Qué tienen en común el CISO y la Junta Directiva El CISO y la junta directiva comparten algo en común, que es gestionar el riesgo y hacer que el negocio tenga éxito. Sin embargo, el CISO tiene que ganarse la confianza de la junta incluso cuando está bien establecido que él es el experto en la materia de seguridad. Las relaciones exitosas deben ser nutridas, y ésta no es diferente. Cada miembro de la junta llega a la mesa con un punto de vista, antecedentes, expectativas y personalidad diferentes. Conocer a la junta y cómo comunicarse mejor con ellos es una de las principales prioridades de CISO. Consejos para un yo más joven La primera regla es conocer tu junta directiva, porque cada miembro es diferente. Algunos son inteligentes y cibernéticos, mientras que otros tienen poca exposición a la tecnología y la seguridad. Tú necesitas hacer la tarea para entender mejor las áreas de especialización y experiencia de los miembros de la junta. Necesitas saber si alguno de ellos ha tenido un incidente o violación de seguridad en el pasado, y si tienen un profundo conocimiento de la seguridad. Otra pregunta importante que debes hacerte es si conoce a algún líder de seguridad que haya trabajado con algunos de los miembros de su junta. También es importante conocer su forma de comunicar; ¿cuál es el plan de seguridad para su función?, ¿cómo mide el progreso, ¿cómo se comunica mejor y se gana la confianza y el apoyo de la junta? He visto a muchos CISO (y también otros miembros de la junta directiva) frente a los comités de junta y el error más común que veo es que el presentador no está preparado para la audiencia de la junta. El presentador que conoce su trabajo, pero no logra comunicarlo de manera que se gane la confianza de la junta, es alguien que perdió su ventana de oportunidad de ganarse la junta. Esa habilidad para contar historias es muy importante porque la junta va a recordar la narrativa que les cuentas. Pueden resonar con las estadísticas que se les presentan temporalmente, pero a los pocos meses no van a recordar los números. Ellos recordarán la narrativa que le diste, ese ejemplo en el que enfatizaste el punto que querías transmitir. Los Diferentes Tipos de Juntas Directivas Hay diferentes tipos de junta directivas, donde algunos son expertos en seguridad y otros no. Por lo general, no les importa, tienen experiencia en TI o no. Pero, ha llegado el día del juicio final. Ellos necesitan comprender y no seguir ignorando estos temas o desestimarlos. Deberían saber lo que hace la unidad de seguridad, y especialmente lo que hace el CISO. Sin embargo, el tema de la seguridad con la junta directiva es relativamente nuevo y todavía está en pañales. Realmente, no saben cómo medir si ese programa de seguridad o si líder de seguridad está siendo efectivo. La Asociación Española para el Fomento de la Seguridad de la Información publicó El libro blanco del CISO. Este libro puede ayudar a educar a la junta y...

    11 min
  2. 5 Cualidades que tu próximo CISO debería tener (O que debería adquirir el que ya tienes).

    05/08/2019

    5 Cualidades que tu próximo CISO debería tener (O que debería adquirir el que ya tienes).

    Suscribete al podcast en iTunes, Ivoox, Castbox o Spotify ¿Conoces lo que debe saber un CISO? ¿Sabes la importancia de tener un CISO? ¿Tienes idea de las funciones de un CISO? Quédate, porque de esto hablaremos hoy... Bienvenido a un nuevo episodio de Ciberseguridad al día. Hoy hablaremos de 5 Cualidades que tu próximo CISO debería tener. (o que debería adquirir el que ya tienes) En un mundo donde el culto a los datos se ha convertido en la nueva norma para las organizaciones, la seguridad se ha convertido en una alta prioridad. O al menos, debería ser una prioridad para tu organización. Desafortunadamente, la realidad es diferente, para algunas empresas, y cada año muchas personas siguen siendo víctimas de una de las cientos de filtraciones de datos que hay en el año. Cualquier organización puede ser pirateada, y sin suficientes medidas de seguridad, puede resultar muy costosa. Retos de la seguridad de la información para las organizaciones Desafortunadamente, proteger tu organización de ciberdelincuentes es difícil. Las organizaciones se enfrentan a muchos retos a la hora de garantizar la seguridad de la información. Vamos con un caso "hipotético": En tu organización careces de personal adecuado en operaciones de seguridad y respuesta a incidentes. Como resultado, careces de los ingenieros y analistas de datos necesarios para garantizar una supervisión y detección adecuadas de los incidentes. En consecuencia, la organización se enfrentan a muchos falsos positivos debido a la falta de análisis inteligente, lo que resulta en demasiado ruido. Además, en la organización, el monitoreo todavía depende de demasiados procesos manuales, herramientas que no están integradas y la organización carece de un panorama general completo. Ojala y esto solo fuera hipotetico... Aquellas empresas que no implementen las medidas de seguridad adecuadas, o que al menos se aseguren de que sus datos estén encriptados para que sean inútiles en caso de que se produzca una violación de datos, pueden ser consideradas responsables. Especialmente bajo las regulaciones de GDPR (para mis amigos europeos). Por lo tanto, es vital que las organizaciones desarrollen las políticas y los procesos adecuados para garantizar la seguridad de los datos y el CISO debe ser responsable. ¿Todavía no tienes el puesto del CISO? Entonces, abre la vacante.. El Oficial de Seguridad de la Información El CISO (por sus siglas en ingles) es responsable de gestionar los riesgos empresariales relacionados con la información, desplegar análisis de seguridad dentro de la organización para hacerlo y garantizar el cumplimiento de las normativas relacionadas con la seguridad de los datos. El CISO debería crear un entorno capaz de manejar grandes cantidades de datos. No sólo los datos creados dentro de la organización, sino también los datos relacionados con el análisis de seguridad. Los análisis de seguridad generalmente involucran terabytes o petabytes de datos debido a la información de registro de la monitorización de su red, información de la base de datos, información de identificación y todo tipo de datos del sistema que necesita ser analizada en tiempo real para saber qué está sucediendo (Esta es una buena entrada para la Big Data). El papel del CISO es importante, pero ¿cuáles son las cinco características principales a tener en cuenta al contratar a tu próximo Oficial de Seguridad de la Información? 1. Entender el entorno técnico El CISO tiene que desarrollar la columna vertebral de la seguridad de una organización, a menudo partiendo de cero. El CISO debe participar activamente en actividades como la gestión de las actividades de riesgo operacional, la identificación de objetivos y métricas de protección que estén alineadas con el plan estratégico y la priorización de las iniciativas de seguridad dentro de las organizaciones. Por supuesto, el CISO debe ser responsable de implementar...

    16 min
  3. Los dominios de la ciberseguridad

    29/07/2019

    Los dominios de la ciberseguridad

    ¿Tienes tiempo en el área de tecnología y estás viendo en qué especialidad de la ciberseguridad te puede especializar?... ¿Ya estás en el área de ciberseguridad pero te gustaría cambiar de especialidad dentro de la ciberseguridad? ¿Quisieran tener una visión general de todos los dominios donde podemos desarrollarnos en ciberseguridad? O como fue mi caso, ¿No eres del área pero te interesa la ciberseguridad? Pues prepárate, porque este episodio te va a gustar.. Bienvenido a un nuevo episodio de Ciberseguridad al día. Hoy hablaremos de Los dominios de la ciberseguridad. Este episodio fue inspirado, después de tener una conversación con uno de mis clientes, cuando comenzábamos a trabajar sus interés en la ciberseguridad... ¿Adivinen que fue lo que me dijo que se iba a poner a estudiar? Que se pondría a hacer un curso de Ethical Hacking... No pude evitar reírme... Y es que muchas personas aún creen que lo único que es ciberseguridad o el primer paso que hay que dar es el Ethical Hacking. No me mal interpretes, esa es un área bastante compleja y llena de retos, pero no es lo único que hay, conozco personas que están en la ciberseguridad desde hace muchos años y jamás han ejecutado un comando en la terminal, ¿Eso está mal? ¿Está bien? no creo que ni siquiera valga la pena discutirlo. Lo importante es que debemos descubrir cual es el mejor rol que podemos desempeñar dentro de la ciberseguridad de acuerdo a nuestras capacidades, conocimientos previos y lo que nos gusta. En una publicación de Henry Jiang en LinkedIn, nos comparte de forma gráfica un mapa mental donde muestra los dominios de la ciberseguridad, aunque la información está en ingles, Yolanda Baker tradujo el mapa mental al español... Este y todos los demás enlaces están en las notas del episodio. Este mapa mental tiene dominios como "Desarrollo profesional" donde habla de algo muy importante y es que hay que trabajar duro, se debe estudiar por cuenta propia, hacer entrenamientos, certificaciones, mindmaster o grupos de profesionales, asistir a conferencias y utilizando la magia de la tecnología asistiendo a webinarios. Después tiene otro dominio denominado "Marcos de referencias y estándares" aquí menciona en líneas generales los marcos que utilizamos dentro de la ciberseguridad como COBIT, NIST, OWASP, ISO y muchos más.. Ok, estarán pensando, pero nada de esto me dice en que áreas me puedo desempeñar o desarrollar ¿Cierto? Ahí vamos, no se me apuren pero tampoco se me atrasen. Análisis de riesgos En esta parte se enmarcan todos las actividades que nos ayudan a determinar los riesgos, como los análisis de código programáticos (ese análisis que se hace sobre los códigos fuentes), los pentesting que a su vez se dividen en las actividades de BlueTeam (actividades defensivas) y RedTeam (Actividades de ataque), también hay actividades, como las evaluaciones de riesgo per sé (Esas actividades más documentales donde se gestionan los mismo... ¿recuerdan mitigar, transferir,evitar, aceptar? eso es lo que hacen aquí) Gobernabilidad Aquí están las actividades relacionadas de alguna forma con la alta gerencia de la organización, porque por ejemplo, la auditoría (que es uno de los apartados de este dominio) es una actividad realizada por un personal específico, la alta gerencia debe tomar decisiones en función de los resultados que arrojen la auditoría. En este dominio también se encuentra los controles administrativos, como políticas, normas procedimientos, indicadores clave de desempeño (KPI) y por último pero no menos importante está todo relacionado al cumplimiento legal, aquí es donde los abogados tiene un rol vital dentro de la ciberseguridad, porque no importa si los ciberdelicuentes no pueden entrar en nuestra organización, si incumplimos con alguna regulación, ese será el fin de nuestra organización. Inteligencia de amenazas - también conocido como Threat...

    12 min
  4. Lo que se puede esperar para esta nueva temporada.

    22/07/2019

    Lo que se puede esperar para esta nueva temporada.

    Te estabas preguntando, ¿y este donde estaba? ¿y eso que ahora publicó? ¿Seguirá publicando sobre ciberseguridad? ¿De qué nos va hablar?(...) Lo importante es que les traigo novedades para ustedes y para volver a darle vida a este podcast... Bienvenido a un nuevo episodio de Ciberseguridad al día... Después de mucho tiempo... Hoy hablaremos de lo que se puede esperar para esta nueva temporada. Si aun estabas suscrito, lo primero quiero decirte es GRACIAS por aun estar allí, a pesar de que tenía un rato sin publicar. A principios de años me había puesto el reto de hacer una publicación diaria, ciertamente fue un reto bastante exigente, y como puedes escuchar (sobretodo si ya estabas suscrito) es que no lo he cumplido, puedo pasar horas y horas dándoles razones y excusas del porqué había parado, pero, nada de eso vale la pena ya... lo importante es que aquí estoy... La cuestión fue que en estos días recibí una solicitud de conexión en Linkedin de una persona, y lo primero que me comentó es que estaba escuchando los episodios del podcast, le dije que ciertamente debía volver a activarme con eso y pues aquí estoy, gracias José Rivera por darme ese impulso... Eso me hace pensar que como pequeñas cosas, pequeños detalles, pequeñas palabras de aliento pueden darnos los impulsos que necesitamos... por eso, nunca escatimemos en felicitar a las personas por un trabajo bien hecho (así sea su responsabilidad) o regalen una sonrisa a un extraño en la calle, eso pudiera cambiarle el día o incluso la vida a alguien.. En fin, este es un podcast de Ciberseguridad, y ¿qué es lo que puede esperar en esta nueva temporada?... eso fue un tema que le dio muchas vueltas en mi cabeza, ver de que forma puedo ayudar y apoyar a mi comunidad de la mejor manera posible, por supuesto, todo desde mi experiencia. Decidí, de forma unilateral y autoritaria (jajaja), que me enfocaré en esos temas que ayuden de una forma u otra en el desarrollo de los profesionales de la Ciberseguridad. En este momentos muchos se dirán que *"Los temas de desarrollo para profesionales en la Ciberseguridad es muy amplio, ¿No?"*... Y esa es la idea, la idea es hablar de: • Aspectos técnicos, que requerimos en nuestro trabajo. • Aspectos de cumplimiento, porque al final seremos sancionados o no las leyes, lo interesante es como aplicar eso en este mundo tan globalizado. • Aspectos tecnológicos, como influyen o como podemos utilizar estas tecnologías en nuestra labor. • Aspectos procedimentales, administrativos, porque a veces la mejor seguridad es un procedimiento o una norma y no necesariamente algún software. • Aspectos de liderazgo, auto liderazgo como liderazgo hacia los demás... • Lo que también nos lleva a aspectos del talento humano en relación a la Ciberseguridad. El activo más importante de una organización no es su información, es su gente. • Revisiones de libros, esto me obligará a leer más... Además que serán libros que estén relacionado con la Ciberseguridad y también libros que no estén directamente relacionado con la misma. • De temas que yo esté desarrollando en el momento, de nuevo, relacionado con la Ciberseguridad, porque no creo que les interese lo que estoy haciendo para poder bajar de peso... • Entrevistas, nunca he hecho entrevistas pero me gustaría mucho empezar a entrevistar a personas del sector, donde nos puedan dar sus puntos de vista de lo que necesitamos para desarrollarnos. Si conocen a alguien que podría entrevistar, mandenme sus datos de contacto. • Y si se les ocurre alguna temática o tema que podamos desarrollar pues cuéntemelos... Habrá dos grupos de publicaciones y les diré la frecuencia y duración de cada uno de ellos: Primero, Los episodios principales, donde hablaremos de los diferentes temas, pero de forma más profunda. Los voy a publicar una vez a la semana, para ser más específicos los voy a publicar los domingos en la...

    13 min

About

El podcast "Ciberseguridadal día" está enfocado a desarrollar esos temas que ayuden de una forma u otra en el desarrollo de los profesionales de la Ciberseguridad.

To listen to explicit episodes, sign in.

Stay up to date with this show

Sign in or sign up to follow shows, save episodes and get the latest updates.

Select a country or region

Africa, Middle East, and India

Asia Pacific

Europe

Latin America and the Caribbean

The United States and Canada