¿Cuál es el mayor desafío de seguridad que será enfrentado en 2017? ¿Cómo debiera ser enfrentado?
Lograr que las PyMEs reconozcan que los riesgos de seguridad necesitan considerarse desde el principio. Los factores de riesgo necesitan ser resueltos mediante educación y siendo alarmistas.
¿Cuáles son tus tres metas para 2017?
- Mejorar la seguridad en línea de 10 organizaciones de caridad
- Crear un ambiente de apoyo para ayudar a mujeres a alcanzar sus metas
- Pasar unas vacaciones de 6 semanas en Navidad visitando a mi hija en Australia
¿Qué está sobre tu escritorio en este momento?
- Muchos accesorios (una cámara web externa, unos auriculares)
- Una pila de tarjetas de presentación, de la última reunión de redes de contacto, esperándome a que les dé seguimiento
- Un marco fotográfico con un montaje de fotos de la familia hecho por mi hija
- Una plantilla de mis últimos proyectos de cerámica
¿Cuál es tu blog favorito?
El sitio Barkly blogs. https://blog.barkly.com/. Siempre de actualidad, fácil de leer y de jerga limitada.
¿Cuál es tu consejo número uno para otros profesionales en Seguridad de la Información?
Nunca digas no a las oportunidades hasta que entiendas qué es lo que estás rechazando.
¿Qué haces cuando no estás en el trabajo?
Soy una aficionada a la cerámica. Durante el último par de años, en lugar de llenar alacenas con platos y tazones, he estado creando murales de cerámica dimensional de 2½. Pasé noches sin dormir tratando de resolver los desafíos de trabajar con arcilla!
¿Cómo piensas que el rol de los profesionales de seguridad de la información está cambiando o ha cambiado?
En el cambio de siglo, la seguridad de TI era un rol que estaba comenzando a volverse más predominante. Sin embargo, mucha gente en estos roles tenía pocas cualificaciones externas. Los equipos de seguridad eran parte de la función de TI teniendo a otros profesionales de TI como principales clientes para asesorar, y muchas de estas personas eran entusiastas tecnológicos (techies). Cualquier factor de riesgo de seguridad de TI solo era parte de un registro de riesgos de TI.
Las compañías ahora requieren que sus profesionales de seguridad tengan cualificaciones externas para demostrar su conocimiento y profesionalismo. En varias organizaciones la seguridad de TI ya no se encuentra dentro de la organización de TI sino integrada con otros equipos de riesgos del negocio. Dentro del equipo de seguridad los profesionales están teniendo que desarrollar un entendimiento más amplio del liderazgo y habilidades de negocio, regularmente teniendo conversaciones con líderes de negocio y miembros del directorio explicando amenazas, riesgos y acciones mitigantes. La mayoría de las compañías ahora tienen el riesgo asociado con amenazas de ciberseguridad en sus 10 factores de riesgo del negocio, con los miembros del directorio discutiéndolos varias veces al año.
¿Cómo es que desarrollaste tu carrera en ciberseguridad y has logrado un balance entre tu vida laboral y tu vida personal como un padre trabajador?
Como principal proveedor para mis hijos, cuando ellos nacieron las aspiraciones de mi carrera se pausaron. Cuando mis hijos tuvieron la edad de prescolar, fue más fácil trabajar tiempo completo.
Durante este tiempo me he esforzado duro para minimizar los viajes de trabajo, comúnmente bajo viajes de todo el día a los Estados Unidos.
A medida que mis hijos se hicieron grandes, regresar del trabajo a las 7 p.m. no funcionó. Tras mucha deliberación, pregunté si podía trabajar tiempo parcial. Tuve un empleador empático y convenimos un acuerdo flexible.
Durante la etapa escolar trabajé días cortos que coincidieran con el día de escuela. Y durante las vacaciones escolares trabajé días normales, solo que menos. A través de los ocho años que trabajé tiempo parcial, me moví de un 60 por ciento a un 90 por ciento a medida que mis hijos fueron creciendo y pasaban más tiempo en la escuela. Mientras colegas y gerentes cercanos sabían que yo trabajaba tiempo parcial, yo dudo que los clientes con los que trabajé se dieran cuenta que estaba trabajando tiempo parcial. Durante la primera mitad de mi carrera corporativa, tuve un rango de roles estándares de TI. Al moverme a tiempo parcial, me convertí en un consultor de operaciones, tomando tres roles relacionados de coordinador de seguridad de TI, gestor TI de cambios y coordinador de planificación de desastres. Cuando la compañía para la que trabajé estableció su función de seguridad de TI, fui invitada a formar parte de este equipo. Sin conocer mucho al equipo senior de gestión de seguridad, ellos estaban inciertos de qué hacer con una persona que trabajaba tiempo parcial.
Fui nombrada el gerente del conocimiento—responsable de diseñar, implementar y dar soporte a la seguridad de TI del sitio web para su uso a través de la compañía y diseñé cursos de capacitación para los usuarios finales. A medida que la administración entendió mi compromiso y capacidades, me moví a un rol de consultor de seguridad, y al poco tiempo me nombraron oficial en jefe de seguridad de la información (CISO por sus siglas en inglés) para las funciones del negocio. Por los primeros tres años que estuve desempeñando el rol, trabajé de tiempo parcial. Mi último rol en la vida corporativa fue oficial en jefe de seguridad de la información para la parte más alta del negocio, entregando un programa global de seguridad en línea con el apetito de riesgo.
¿Cuáles sientes que son las habilidades de liderazgo críticas para que una mujer sea exitosa en el campo de la seguridad de la información?
Una de las principales habilidades es la confianza. Necesitamos tener confianza en nosotras mismas y ganar la confianza de todas nuestras partes interesadas (stakeholders) —los clientes a todos los niveles en la organización, incluyendo los miembros del directorio; compañeros líderes en la jerarquía organizacional; y el equipo que nos apoya.
Y entonces, debemos tener confianza para aplicar y solicitar por los roles que queremos.
¿Cuál es la mejor manera para que alguien desarrolle esas habilidades?
Desarrollar una fuerte red tanto dentro como fuera de tu organización. Uno necesita tener personas de apoyo que nos conozcan y que conozcan nuestras capacidades, aquellos quienes te ayudarán a obtener las oportunidades que te mereces. Uno tiene que saber quiénes son los especialistas en quienes puede uno depender y con quienes en conjunto se puede entregar cosas extraordinarias. Mantenerse expandiendo los límites de uno. Si uno se siente incómodo, debe recordar que es un resultado natural de expandir sus propios límites. La incomodidad equivale a crecimiento.
Crear una reputación de uno mismo de una persona que entrega conforme a lo prometido. Muy temprano en mi carrera, tuve un gran gerente quien me dio dos invaluables consejos: uno, asegúrate que las malas noticias le llegaran rápido a ella. Proveerle un estado de reporte honesto de manera temprana le daba la oportunidad de tomar acciones para minimizar el impacto. Las malas noticias de último minuto no te dan la oportunidad de tomar acciones evasivas con todo el mundo de mala manera. Y dos, cuando las decisiones se necesiten, toma una y no mires hacia atrás. Una resuelta mala decisión frecuentemente conlleva a mejores resultados de largo plazo que una decisión intrascendente que resulte estar bien.
¿Cómo es que las certificaciones que has obtenido te han ayudado a avanzar o potenciar tu carrera profesional?
Cuando me comencé en roles de seguridad, aun siendo una profesional de Ti experimentada, no tenía las cualificaciones para estos roles. Mi entrenamiento formal comenzó con un curso de seguridad esencial de la institución SANS, llamado GIAC Security Essentials. En los siguientes años obtuve mucha experiencia en el trabajo y conseguí la certificación de administrador de seguridad de la información certificado (CISM® por sus siglas en inglés). A medida que obtuve cualificaciones profesionales mis roles cambiaron de consultor de seguridad a CISO.
¿Cuáles piensas que son las formas más efectivas de atender el problema de la falta de mujeres en el ámbito laboral de seguridad de la información?
Todas necesitamos convertirnos en mejores embajadoras, cambiando la percepción que todos aquellos que trabajan en ciberseguridad son todos altamente técnicos y fanáticos por la tecnología (geeks).
El campo es amplio y requiere gente con muchas y diferentes habilidades y pasiones. Ciertamente, existe el extremo de las operaciones de TI, pero no todo se trata de unos y ceros. Y, ¿qué sucede con la investigación, auditoría y cumplimiento, la administración del riesgo y la educación? Explorar los aspectos más emocionantes—nosotros frecuentemente conocemos acerca de cosas que potencialmente pueden tirar abajo a una compañía y eventual y seriamente también a personas que estén muy alto en la organización. Promover el prestigio que los roles pueden brindar.
¿Qué desafíos enfrentaste cuando comenzaste tu propio negocio y cómo los enfrentaste?
Cambiar de ser empleada a convertirse en dueña de un negocio requiere un cambio de mentalidad. Como empleada, era valorada como una experta, podía enfocarme en mi experiencia con el trabajo que me era asignado.
Como dueña de un negocio, necesito tener un amplio conocimiento de cómo funciona un negocio y dar seguimiento a todas las partes que se mueven. Necesito priorizar lo que es importante que yo haga por mi cuenta y aquello que se puede externalizar. Al principio necesité encontrar oportunidades para intercambiar habilidades. Y al mismo tiempo, necesité convertirme una vendedora competente, convertirme en mi propio fan y vender mi negocio en toda oportunidad, mostrar la misma clase de confianza requerida para ser un líder. Yo necesité tener mucha confianza en mí misma.