Conozca las habilidades de un gestor de riesgos de ciberseguridad
Objetivos de aprendizaje
Después de completar esta unidad, podrá:
- Describir las responsabilidades de un gestor de riesgos de ciberseguridad.
- Enumerar las habilidades clave de un gestor de riesgos de ciberseguridad.
Responsabilidades del gerente de riesgos de ciberseguridad
¿Es usted un gran analizador, influencer y solucionador de problemas? ¿Le gusta entender las amenazas y analizar los datos para comprender mejor los riesgos? ¿Le gusta idear planes de mejora orientados a la acción? Si es así, ¡la gestión de riesgos de ciberseguridad puede ser el trabajo perfecto para usted!
Conozcamos a David. Es gestor de riesgos de ciberseguridad en una compañía de servicios de ciberseguridad. David identifica y analiza los riesgos a los que se enfrentan la organización y sus sistemas y, a continuación, prioriza los riesgos de ciberseguridad más probables e impactantes. Comprende las amenazas y los retos a los que se enfrenta la organización, y recopila y utiliza datos para evaluar los riesgos para la empresa. Su objetivo es permitir que los propietarios de los sistemas empresariales, los ejecutivos y otras partes interesadas tomen decisiones informadas sobre los riesgos para gestionarlos a un nivel aceptable.
David tiene un papel difícil pero fundamental. Su trabajo consiste en intentar mitigar los riesgos mediante la colaboración con las principales partes interesadas y los líderes para reducir la probabilidad y el impacto de un riesgo determinado.
Al hacerlo, David tiene que equilibrar riesgos y recompensas, como quien hace equilibrio cuidadosamente mientras camina por la cuerda floja. Su compañía se enfrenta a muchas amenazas para sus valiosos sistemas y datos, como ataques de denegación de servicio de actores malintencionados que quieren saturar sus servidores para que sus clientes no puedan acceder a ellos. También dispone de una cantidad limitada de recursos financieros, de personal y tecnológicos para hacer frente a los riesgos que plantean estas amenazas. Una vez que ha trabajado con sus socios para identificar los riesgos más probables y de mayor impacto, su trabajo consiste en ayudar a la organización a priorizar los riesgos de forma lógica.
A David le gusta entender cómo encajan todas las piezas del rompecabezas de los riesgos en su organización. Investiga los marcos aplicables a su sector y los utiliza para evaluar las protecciones vigentes y ofrecer oportunidades de mejora, con el fin de gestionar los riesgos hasta un nivel aceptable. También trabaja con equipos de toda la empresa para ayudarlos a mejorar su postura ante el riesgo. Se asegura de que cada parte de la organización comprenda su papel en la gestión de riesgos. Una vez que él y sus colaboradores han evaluado el riesgo y las protecciones actuales, asesora a los propietarios de los sistemas sobre la implementación de controles técnicos para ayudar a mitigar el riesgo, y documenta las decisiones de riesgo para la organización.
David es como un detective que busca constantemente indicios sobre la actual postura de riesgo de su compañía. Una vez implementadas las medidas de mitigación, recopila datos para ayudar a supervisar la postura de riesgo de la organización, y establece estrechas relaciones en toda la empresa para validar y evaluar la postura de riesgo con precisión. Conoce en todo momento la situación de riesgo de la organización y detecta los problemas a tiempo. Su trabajo nunca termina, y hace evolucionar su estrategia de gestión de riesgos a medida que evolucionan las amenazas y el panorama tecnológico.
Habilidades del gestor de riesgos de ciberseguridad
Al igual que David, usted está preparado para comprender las amenazas que afectan a las organizaciones y averiguar cómo evitarlas para reducir los riesgos. ¿Qué habilidades necesita para conseguir el trabajo de sus sueños?
En primer lugar, ayuda tener un título académico. No tiene por qué ser en un área específica, pero los gestores de riesgos suelen tener un título académico en informática, ciencias de la información, ingeniería, análisis de sistemas, tecnología de la información, ciberseguridad o incluso contabilidad. También hay certificaciones que puede obtener para reforzar sus conocimientos de seguridad, como las certificaciones Certified Information Systems Security Professional (CISSP), Certified Information Security Manager (CISM), o Certified in Risk and Information Systems Control (CRISC), por nombrar algunas.
En términos de habilidades técnicas, como gerente de riesgos de ciberseguridad será un gran analista, que entiende la ciberseguridad y la tecnología, la gestión de sistemas y la gestión de proyectos. Tiene habilidades para el análisis cuantitativo y cualitativo de datos, el modelado de amenazas y el análisis de escenarios. El modelado de riesgos es otra gran habilidad que hay que tener, incluso si se ha practicado en otra industria, como las finanzas.
Los conocimientos técnicos lo ayudarán como gestor de riesgos a comprender y resolver los problemas de seguridad, pero también debe tener conocimientos de negocios. Utiliza sus habilidades de influencia y persuasión para asesorar sobre decisiones con un impacto organizativo significativo. Es un gran comunicador al que le gusta colaborar para hacer las cosas y defender las mejores prácticas de seguridad. Le gusta generar confianza y consenso entre los equipos de la organización, y es detallista a la vez que piensa estratégicamente para resolver problemas.
Por último, como gerente de riesgos de ciberseguridad, le apasiona investigar, analizar y aplicar diferentes marcos normativos y políticos para ayudar a su organización a cumplir las normas del sector de forma eficaz. Algunos de los marcos más comunes con los que debería estar familiarizado son el Reglamento general de Protección de datos (GDPR), el Marco de Ciberseguridad del Instituto Nacional de Estándares y Tecnología (NIST) y las normas de tecnología de la información ISO/IEC 27001/2, ¡aunque hay muchos más sobre los que aprender!
Comprobación de conocimientos
¿Listo para revisar lo que aprendió? La comprobación de conocimientos a continuación no está puntuada; solo es una forma sencilla de hacerse una prueba. Para empezar a trabajar, ordene la lista de elementos de la columna de la derecha en la secuencia correcta arrastrándolos desde la izquierda hacia la derecha en el orden en que deben aparecer. Cuando termine de ordenar todos los elementos, haga clic en Enviar para comprobar su trabajo. Para volver a empezar, haga clic en Reiniciar.
Resumen
En este módulo, se le han presentado los objetivos de la gestión de riesgos de ciberseguridad, ha aprendido más sobre la importancia de la gestión de riesgos y ha descubierto las responsabilidades y habilidades de un gestor de riesgos de ciberseguridad. En el siguiente módulo, aprenderá cómo un gestor de riesgos de ciberseguridad identifica los riesgos y protege a la organización. También aprenderá a trabajar en equipo para detectar riesgos y responder y recuperarse de incidentes. Para obtener más información sobre ciberseguridad y conocer a profesionales del sector, visite el Centro de aprendizaje sobre ciberseguridad.
Recursos
- Trailhead: Explorar el Marco de trabajo de ciberseguridad NIST
- Trailhead: Método de evaluación de riesgos de seguridad del Center for Internet Security
- Sitio externo: Los 20 empleos más interesantes en ciberseguridad SANS