Los profesionales de seguridad pueden obtener una gran cantidad de problemas, o incluso ser despedidos, por no dar rienda suelta a los CEOs sobre sus sistemas, incluso si eso significa permitir excepciones a las mejores prácticas y políticas de ciberseguridad.
Si esto es cierto, ¿cuáles son algunas maneras de lidiar con los ejecutivos no cooperativos que pueden estar poniéndose a sí mismos en riesgo?
El peligro de los profesionales de la seguridad que se meten en problemas o posiblemente son despedidos por desplegar medidas de seguridad en los recursos informáticos del CEO o de ejecutivos –las cuales se requieren para todo el resto del personal– plantea un dilema interesante.La seguridad de la información se refiere a la protección de los datos de la divulgación accidental o intencional a personas no autorizadas, o modificaciones no autorizadas o su destrucción. Si el director ejecutivo insiste en que está exento de los niveles de protección impuestas al resto de la organización, el profesional de la seguridad tiene básicamente tres opciones: (1) Educar al ejecutivo sobre los riesgos y responsabilidades de no desplegar la seguridad; (2) documentar las excepciones de seguridad ejecutivas y la aceptación de riesgos de negocio; o (3) reconsiderar su empleo actual.
En primer lugar, el profesional de la seguridad debe tratar de educar al ejecutivo sobre los riesgos y responsabilidades. En algunas leyes y regulaciones como Sarbanes-Oxley, el director general se tiene como personalmente responsable si la compañía es negligente en implementar protección prudente de la información y los activos críticos. Por ejemplo, el director general de Target fue una víctima resultante de la desastrosa la violación de datos que ocurrió en noviembre de 2013.
Si el CEO insiste en que la protección de seguridad no se aplicará a él, entonces el profesional de seguridad debe documentar la excepción de seguridad del ejecutivo y pedirle que acepte los riesgos de negocio. Esto es por protección, ya que, cuando se produce una brecha, invariablemente el profesional de seguridad se convierte en la primera víctima. Documentar donde el CEO acepta el riesgo de negocios potencialmente podría salvar el trabajo del profesional de seguridad.
Si el CEO no hará ninguna de estas opciones, entonces es el momento de que el profesional de seguridad reconsidere su empleo actual.
Cada certificación profesional y membresía en seguridad de la información, garantía o gobernanza tiene un Código de Ética Profesional (por ejemplo,SANS, ISC)2, ISSA). Se requiere que los miembros estén obligados a cumplir con estos códigos para mantener la membresía y certificación. Todos los códigos se centran en la integridad, la honestidad, los principios de cumplimiento de la ley y el respeto por la privacidad y confidencialidad. El código de ética de la ISSA, por ejemplo, establece que el profesional de seguridad "no herirá intencionadamente o impugnará la reputación profesional o la práctica de colegas, clientes o empleadores”. Sea apasionado y comprometido con su profesión y eso se traducirá en el compromiso de su empleador.