¿Cuál es el mayor desafío de seguridad que será enfrentado en 2017? ¿Cómo debiera ser enfrentado?
El cibercrimen. El crecimiento año con año es astronómico.
¿Qué está sobre tu escritorio en este momento?
- Un globo terráqueo que tiene marcado los lugares del mundo a los que he viajado
- Un muñeco de cabeza sobre resorte (bobble head) de un basquetbolista que tiene la foto de la cara de mi hijo
- Un “proyecto de arte” hecho de desperdicios que mi nieta hizo cuando ella estaba en maternal.
- Una placa conmemorativa de United Airlines del millón de millas aéreas que he volado con ellos
¿Cuál es tu consejo número uno para otros profesionales en Seguridad de la Información?
Conoce tu materia, mantente actualizado respecto de las cambiantes tecnologías y entiende tu negocio y a dónde se dirige.
¿Cuál es tu beneficio favorito de tu membresía de ISACA?
Ser parte del programa “Conectando a las mujeres líderes en tecnología”. También aprecio las publicaciones del ISACA Journal por mantenernos actualizados en materia de seguridad.
¿Qué haces cuando no estás en el trabajo?
Soy una gran fanática de los Broncos de Denver, así que durante la temporada de fútbol americano sigo al equipo y sus juegos. De otra forma, paso el tiempo con mi familia: mi esposo, quien sucede que también es un CISO (se pueden imaginar nuestras conversaciones en la cena), mis seis hijos (as) y sus parejas matrimoniales, y mis ocho, pero próximamente nueve nietos.
¿Cómo piensas que el rol de los profesionales de seguridad de la información está cambiando o ha cambiado?
Hoy en día los líderes de seguridad están dando consultoría a la alta gerencia sobre el riesgo de información. Se han ido aquellos días cuándo la gente de seguridad era únicamente técnicos quienes otorgaban los accesos a los archivos de información o configuraban los firewall para permitir y denegar el tráfico desde y hacia la red interna. Entonces, la seguridad era vista como un tema de TI.
Pero ahora, los negocios descansan más que nunca en la tecnología para entregar productos y servicios. Ahora, la seguridad está defendiendo a la empresa de ciberataques externos y habilitando al negocio para que siga funcionando. Con la frecuencia y la magnitud de las brechas de seguridad y el impacto de negocio resultante, el tema del riesgo de información se ha movido a la agenda del directorio.
Este incremento de la importancia de la seguridad de la información dirigió a muchas empresas a establecer el rol de oficial en jefe de seguridad de la información chief information security officer (CISO por sus siglas en inglés). Inicialmente los CISO eran muy tácticos y posicionaban las metas de seguridad sobre las metas de negocio. Ellos fueron menospreciados a medida que objetaron que las metas de negocio eran inseguras. Se les conocía como aquellos quienes ponían el "no" en el conocimiento.
Hoy en día, los CISO necesitan ampliar sus habilidades técnicas para incluir entendimiento de negocio. Ellos necesitan comunicar el riesgo en términos de negocio y ayudar a guiar el balance del riesgo de seguridad y la estrategia de negocio, conociendo que habrá veces en las que la compañía acepte más riesgos de seguridad con el objetivo de mover hacia adelante el negocio.
¿Cuáles sientes que son las habilidades de liderazgo críticas para que una mujer sea exitosa en el campo de la seguridad de la información?
Primera y principalmente uno debe ser culto en temas de seguridad de la información, cumplimiento y privacidad. La credibilidad de uno como líder depende de ello.
También debe uno entender su negocio y la estrategia de éste, y estar organizacionalmente consciente de quienes son los líderes y cuáles son sus metas globales. Con esta información, uno puede usar la seguridad como un habilitador para ayudar al negocio a tener éxito y lograr sus metas dentro de un nivel aceptable de riesgo.
También los líderes de seguridad exitosos son muy buenos en sus habilidades para influir, ellos son capaces de articular el riesgo en el lenguaje de los líderes de negocio y tecnología. Esta habilidad permite ayudar a obtener recursos para los objetivos de los oficiales de seguridad.
¿Cuáles piensas que son las formas más efectivas de atender el problema de la falta de mujeres en el ámbito laboral de seguridad de la información?
Necesitamos ponernos en frente de las jóvenes mujeres de estudios previos a la licenciatura y hacerles saber las oportunidades que existen en este campo, mientras que contemplan sus opciones de estudios superiores. También teniendo presencia en grandes conferencias en las que se hable de las oportunidades o paneles de mujeres líderes que inspiren a mujeres ingenieras o auditoras técnicas a explorar la seguridad de la información como una opción.
Tú tomaste un camino no convencional hacia tu actual campo profesional. ¿Cómo es que llegaste a una carrera profesional de seguridad de la información?
Me gradúe de la universidad (college) con el título de ciencias de la computación. Me encanta resolver problemas y soy una pensadora lógica, así que fue perfecto para mí. Pero ser una desarrolladora de sistemas algunas veces requiere largas o inusuales horas de trabajo. Cuando comencé una familia eso se volvió difícil. Por ello acepté un trabajo como auditor de TI para un gran banco local. Disfruté al utilizar mis habilidades para resolver problemas para buscar debilidades en los sistemas.
Después de un número de años como auditor de TI estuve trabajando para una gran compañía de sistemas de información de reservaciones de aerolíneas cuando internet comenzó a utilizarse para la entrega de servicios.
La compañía se estaba transformando del uso de mainframes y conexiones alámbricas hacia la computación distribuida, y eventualmente hacia las conexiones de internet. El gerente de seguridad de la información se decidió retirar y no solo me fue solicitado que tomara ese rol sino que también remediara todas las debilidades de seguridad que identifiqué cuando yo era su auditor.
Un par de años más tarde fui contratada por J.D. Edwards para ayudar a formar un programa de seguridad. Fui nombrada la CISO en el año 2000. En 2003, J.D. Edwards fue adquirido por PeopleSoft y me fue solicitado que siguiera en el mismo rol para PeopleSoft, la cual fue adquirida después por Oracle en 2005.
Hay mucha discusión acerca de las brechas en las habilidades globales en materia de ciberseguridad. ¿Cuál crees que es la mejor forma de alentar a las mujeres a entrar al campo de la ciberseguridad y permanecer en él?
Esta es una profesión tan entretenida y desafiante—nunca hay dos días que sean iguales. En algunas compañías se ofrecen oportunidades para trabajar en horarios flexibles o días de trabajo desde casa que pueden ayudar a proveer un balance entre el trabajo y la vida personal. Sin embargo, es una carrera de alto estrés y la demanda de tiempo existe aún con los arreglos flexibles de trabajo. Aún puede ser desafiante comenzar una familia propia, pero puede ser más fácil hoy en día que en un principio cuándo yo comencé.
La ciberseguridad es una profesión que continuará creciendo y la experiencia en esta área será mayormente buscada, lo cual permitirá compensaciones.
¿Cuál ha sido el mayor desafío de tu lugar de trabajo o de carrera profesional y cómo lo enfrentaste?
Fue un desafío llegar a una nueva compañía como parte de una adquisición y tomar un rol de liderazgo. Hubo un poco de escepticismo entre los otros rangos. Sabía que llegaste debía establecer mi propia credibilidad.
Realicé varias preguntas y escuché todas las respuestas. Compartí y justifiqué lo que pensaba con mi equipo —luego solicité su retroalimentación. Tomé decisiones difíciles y en ocasiones no muy populares, pero fui capaz de explicar mi forma de pensar ante mi gerencia y mis pares. Y me aseguré, a través de mi influencia, que mi equipo directo estuviera a bordo. También me aseguré que todas las partes interesadas conocieran y entendieran los planes del equipo.
Existieron detractores quienes decían que ya se habían intentado acciones con anterioridad, pero nosotros si logramos el éxito y el negocio se vio beneficiado. Y debido al éxito obtenido el siguiente objetivo no fue tan desafiante, o al menos existieron menos detractores.